Kuinka EU:n viimeisin kyberturvallisuuden direktiivi NIS2 vaikuttaa Euroopan tulevaisuuteen?

EU:n uudistettu tietoturvadirektiivi NIS2 tuo paljon muutoksia yhä useammalle toimialalle

Euroopan Unionin uudistettua NIS2-direktiiviä, joka korvaa aiemman NIS-direktiivin, on noudatettava kaikissa jäsenmaissa tämän vuoden lokakuusta lähtien. NIS2 tavoitteena on parantaa alueen kyberturvallisuutta ja toimitusketjujen turvallisuutta sekä selkeyttää raportointivelvoitteita.

NIS2-direktiivillä tulee olemaan laajat vaikutukset yhä laajempaan osaan yrityksiä ja sen keskeiset muutokset edelliseen NIS-direktiiviin ovat:

1. NIS2-direktiivi kattaa aiempaa useampia toimialoja

2. Yhdenmukaistetut seuraamukset ja sakot, jotka ovat linjassa mm. GDPR tietosuoja-asetuksen kanssa

3. EU-yhteistyön lisääminen

4. Kyberturvallisuusriskien hallinta

5. Suurempi johdonmukaisuus ja yhtenäisyys

Käsitellään näitä viittä kohtaa vähän paremmin:

1. Säädöksen piiriin kuuluvat toimialat ovat:

1. Terveydenhuolto ja sen johdannaiset valmistus tai tietyt kriittiset tuotteet (kuten lääkkeet, lääkinnälliset laitteet ja kemikaalit)

   1. Elintarvikkeet

   2. Julkishallinto

   3. Pankki- ja rahoitusmarkkinainfrastruktuuri

   4. Digitaalinen infrastruktuuri, digitaaliset palveluntarjoajat, sekä digitaaliset palvelut, kuten sosiaaliset verkostopalvelut ja datakeskuspalvelut

   5. Liikenne, avaruus sekä posti- ja kuriiripalvelut

   6. Vesihuolto sekä jätevesi- ja jätehuolto

   7. Energia, sekä yleisten sähköisten viestintäverkkojen tai -palvelujen tarjoajat

2. Yhdenmukaistetut seuraamukset ja sakot
   Säädöksen vaatimusten noudattamatta jättämisestä voidaan määrätä sakkoja enintään 10 miljoonaa euroa tai 2 prosenttia sen maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi, mikä on linjassa jo ennestään tutun GDPR-asetuksen kanssa. Sakkoja seuraa mm. kyberturvallisuusriskien hallinnan ja raportointivelvoitteiden rikkomisesta.

3. EU-yhteistyön lisääminen
   Säädöksellä perustetaan EU:n kyberkriisien yhteysorganisaation verkosto, jonka tarkoituksena on auttaa EU:n laajuisten kyberhyökkäysten ja kriisien koordinoidussa hallinnassa EU:n tasolla.  Tämä sisältää sekä laajempaa viranomaistietojenvaihtoa, että koordinoitua haavoittuvuuksien julkistamista uusien haavoittuvuuksien osalta.

4. Kyberturvallisuusriskien hallinta

   1. Säädöksessä ehdotettuja uusia toimenpiteitä ovat mm:

   2. Häiriötilanteiden käsittely ja kriisinhallinta sekä haavoittuvuuksien käsittely ja paljastaminen

      1. Kyberturvallisuusriskien hallinnan toimenpiteiden tehokkuuden arviointi

      2. Tietokonehygienian peruskäytännöt ja kyberturvallisuuskoulutus

      3. Salausmenetelmien tehokas käyttö

      4. Henkilöstön turvallisuus, pääsynvalvontakäytännöt sekä omaisuuden hallint

   Näiden lisäksi NIS2 keskittyy vahvistamaan keskeisten tieto- ja viestintätekniikoiden toimitusketjun kyberturvallisuutta. Tässä myös yrityksen johto on vastuussa kyberturvallisuusriskien hallintatoimenpiteiden noudattamisesta.

5. Suurempi johdonmukaisuus ja yhtenäisyys NIS2 säädöksen tavoitteena on, että jäsenmaiden ei enää tarvitse erikseen parantaa operatiivista häiriönsietokykyä ja kyberturvallisuutta koskevia sääntöjä, standardeja ja odotuksia.