NIS2 – Sääntelyä turvallisemman tulevaisuuden takaamiseksi
NIS2 on EU:n kyberturvallisuusdirektiivi, joka tuli voimaan lokakuussa 2024. NIS1:een verrattuna NIS2 tuo mukanaan merkittäviä muutoksia, jotka asettavat tiukempia kyberturvallisuusvelvoitteita useammalle organisaatiolle. Jäsenvaltioiden on noudatettava uusia säännöksiä, jotka sisältävät nämä tiukemmat valvonta- ja täytäntöönpanotoimenpiteet, joilla varmistetaan direktiivin toteutuminen. NIS2 korvaa NIS1-direktiivin, ja siinä on useita merkittäviä eroja NIS1-direktiiviin verrattuna. NIS2 laajentaa direktiivin soveltamisalaa koskemaan suurempaa osaa toimijoita, kuten kemikaalien ja lääkinnällisten laitteiden valmistajia, elintarvikevalmistajia ja verkkopalveluiden tarjoajia, jotka eivät aiemmin kuuluneet NIS1-direktiivin soveltamisalaan. NIS2:ssa korvataan ”keskeisen palvelun tarjoajan” ja ”digitaalipalvelujen tarjoajan” välinen ero ”keskeisellä toimijalla” ja ”kriittisellä toimijalla”. Luokittelu perustuu muun muassa organisaation kokoon ja toimialaan. Vaikka molemmilla luokilla on samanlaiset velvoitteet, keskeisiin yksiköihin sovelletaan tiukempia täytäntöönpano- ja valvontatoimenpiteitä. Valvontatoimenpiteistä vastaa alakohtainen valvoja.
NIS2:ssa asetetaan ”keskeisille” ja ”kriittisille” toimijoille uusia kyberturvallisuusvelvoitteita, kuten riskien ja toimitusketjun hallinta, kybertapahtumien raportointi ja tietojen jakaminen. Näiden vaatimusten noudattaminen edellyttää, että soveltamisalaan kuuluvat tahot kehittävät ja panevat täytäntöön uusia toimintatapoja ja menettelyjä. NIS2 edellyttää, että EU:n jäsenvaltiot parantavat kansallisia kyberturvallisuusstrategioitaan ja vastaavat kohtaamiinsa digitaalisiin uhkiin. Organisaatioiden on tärkeää pysyä ajan tasalla jäsenvaltioiden tulevista aloitteista tällä alalla.
Tehostetut turvallisuusvaatimukset
NIS2 tehostaa yritysten turvallisuusvaatimuksia, koska sen myötä otetaan käyttöön riskinhallintamenetelmä ja kymmenen keskeisen hallintatoimenpiteen luettelo. Direktiivi sisältää myös paljon yksityiskohtaisempia säännöksiä vaaratilanteiden raportoinnista, esimerkiksi raporttien sisällöstä ja ajoituksesta. Direktiivin mukaan ilmoitus on tehtävä 24 tunnin kuluessa vaaratilanteen tapahtumisesta, ja raportointiprosessi on aiempaa yksityiskohtaisempi. NIS2:ssa edellytetään myös toimitusketjun turvallisuuden varmistamista. Tähän sisältyy toimijoiden välisten suhteiden aiheuttamien riskien arviointi ja niihin varautuminen. NIS2:ssa korostetaan myös johdon vastuuta organisaation kyberturvallisuudesta ja asetetaan hallintoelimille, kuten yritysten hallituksille ja ylimmälle johdolle, vastuu kyberturvallisuusvaatimusten tehokkaan täytäntöönpanon varmistamisesta. Organisaatioihin voidaan kohdistaa erilaisia täytäntöönpanomääräyksiä, joiden noudattamatta jättäminen voi johtaa huomattaviin sakkoihin.
