Ketä NIS2 koskee ja mitä se vaatii? - Uusi tietoturvalaki astuu voimaan 17.10.2024
NIS2 on EU:n verkko- ja tietoturvadirektiivi, joka pyrkii parantamaan EU:n kyberturvallisuuden yleistä tasoa ja edellyttää yrityksiä varautumaan suunnitelmallisesti kyberuhkiin.
NIS2:n vaatimukset astuivat Suomessa voimaan 17.10.2024.
Lataa tästä maksuton NIS2-oppaamme.
Millaisia yrityksiä NIS2 koskee?
NIS2 koskettaa suoraan tai välillisesti merkittävää osaa suomalaisista yrityksistä. Direktiivin kohteena olevat organisaatiot ovat joko keskeisiä tai tärkeitä riippuen niiden koosta, toimialasta ja kriittisyydestä.
Oman yrityksen NIS2:een piiriin kuuluminen kannattaa selvittää Kyberturvallisuuskeskuksen taulukon avulla sekä tarvittaessa varmistamalla asia toimialan valvovalta viranomaiselta.
Vaikka NIS2 ei suoraan koske kaikkia yrityksiä, vaativat monet organisaatiot sen toteuttamista myös alihankkijoiltaan.
Mitä NIS2 vaatii yritykseltä ja sen johdolta?
NIS2 asettaa yrityksen johdolle aiempaa tiukemmat vastuut kyberturvallisuuteen liittyen.
- Johdon on varmistettava, että organisaation toiminta täyttää direktiivin vaatimukset, ja heidän on oltava tietoisia kyberturvallisuusriskien hallinnasta
- Johtoa voidaan asettaa vastuuseen laiminlyönneistä, mikäli organisaatio ei noudata direktiivin määräyksiä
- Johdon on varmistettava, että organisaatiossa on asianmukaiset prosessit ja resurssit tietoturvaan ja riskienhallintaan
Kyberturvallisuuskeskus on ohjeistanut, Kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on huomioitava ja ylläpidettävä ajantasaisena vähintään seuraavat asiat:
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
- Poikkeamien käsittely
- Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
- Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
- Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
- Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
- Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa
Kuinka voimme auttaa?
NIS2-projektia ei voi tehdä kenenkään puolesta ”avaimet käteen”. Yrityksen johto vastaa NIS2-vaatimusten täyttymisestä, valvoo sitä ja myöntää tarvittavat resurssit. Toimenpiteet ovat vain osittain teknisiä; suurelta osin kyse on hallinnollisesta toiminnasta.
Tarjoamme tukea, materiaaleja sekä apua dokumentoinnissa ja toimissa, joiden avulla yrityksesi tietoturva saadaan halutulle tasolle ja täyttää NIS2:n vaatimukset.
Ota yhteyttä