Ketä NIS2 koskee ja mitä se vaatii? - Uusi tietoturvalaki astuu voimaan 17.10.2024

NIS2 on EU:n verkko- ja tietoturvadirektiivi, joka pyrkii parantamaan EU:n kyberturvallisuuden yleistä tasoa ja edellyttää yrityksiä varautumaan suunnitelmallisesti kyberuhkiin.

NIS2:n vaatimukset astuivat Suomessa voimaan 17.10.2024.

DG NIS2 -opas yrityksille

Lataa tästä maksuton NIS2-oppaamme.

Millaisia yrityksiä NIS2 koskee?

NIS2 koskettaa suoraan tai välillisesti merkittävää osaa suomalaisista yrityksistä. Direktiivin kohteena olevat organisaatiot ovat joko keskeisiä tai tärkeitä riippuen niiden koosta, toimialasta ja kriittisyydestä. 

Oman yrityksen NIS2:een piiriin kuuluminen kannattaa selvittää Kyberturvallisuuskeskuksen taulukon avulla sekä tarvittaessa varmistamalla asia toimialan valvovalta viranomaiselta.

Vaikka NIS2 ei suoraan koske kaikkia yrityksiä, vaativat monet organisaatiot sen toteuttamista myös alihankkijoiltaan.

Mitä NIS2 vaatii yritykseltä ja sen johdolta?

NIS2 asettaa yrityksen johdolle aiempaa tiukemmat vastuut kyberturvallisuuteen liittyen. 

  • Johdon on varmistettava, että organisaation toiminta täyttää direktiivin vaatimukset, ja heidän on oltava tietoisia kyberturvallisuusriskien hallinnasta
  • Johtoa voidaan asettaa vastuuseen laiminlyönneistä, mikäli organisaatio ei noudata direktiivin määräyksiä
  • Johdon on varmistettava, että organisaatiossa on asianmukaiset prosessit ja resurssit tietoturvaan ja riskienhallintaan

Kyberturvallisuuskeskus on ohjeistanut, Kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on huomioitava ja ylläpidettävä ajantasaisena vähintään seuraavat asiat:

  1. Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
  2. Poikkeamien käsittely
  3. Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  4. Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  5. Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  6. Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  7. Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  8. Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  9. Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  10. Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa

Kuinka voimme auttaa?

NIS2-projektia ei voi tehdä kenenkään puolesta ”avaimet käteen”. Yrityksen johto vastaa NIS2-vaatimusten täyttymisestä, valvoo sitä ja myöntää tarvittavat resurssit. Toimenpiteet ovat vain osittain teknisiä; suurelta osin kyse on hallinnollisesta toiminnasta. 

Tarjoamme tukea, materiaaleja sekä apua dokumentoinnissa ja toimissa, joiden avulla yrityksesi tietoturva saadaan halutulle tasolle ja täyttää NIS2:n vaatimukset.

Ota yhteyttä

 

 

Lue myös nämä

ChatGPT - Tekoälyn sähkönkulutus

Voiko amerikkalaisiin pilvipalveluihin luottaa? - Tekoäly, pilvipalvelut ja tietosuoja

Lue lisää

Tekoälyn käytännönläheinen hyödyntäminen pk-yrityksessä – mistä kannattaa aloittaa?

Lue lisää
Puhelimen tietoturva

Puhelimen tietoturva on nyt tärkeämpää kuin koskaan - Vinkit suojaukseen

Lue lisää
ManagerIT liittyi Data Group -ketjuun

Data Group vahvistuu pääkaupunkiseudulla! - Manager IT liittyi Data Group -ketjuun

Lue lisää

Ota yhteyttä

Hyväksyn verkkopalvelun käyttöehdot.