‹ Blogi

NIS2-direktiivi – 5 tärkeää nostoa muuttuvista vaatimuksista

28.02.2025

NIS2 on herättänyt keskustelua ja osittain myös epätietoisuutta jo toista vuotta, sillä kansallinen lainsäädäntö ei ole vielä astunut voimaan. Moni yritys odottaa kuumeisesti, keitä vaatimukset viime kädessä koskettavat, mitä konkreettisesti tullaan vaatimaan, missä laajuudessa ja mitä seuraamuksia on luvassa, jos yritys eiytä asetettuja vaatimuksia.

NIS2-vaatimukset koskevat pääasiassa erikseen listattujen toimialojen suuria ja keskisuuria yrityksiä, mutta saattavat ulottua myös PK-yrityksiin. Vaatimusten täyttäminen kokonaisuudessaan on kova ponnistus etenkin PK-yrityksille, jos turvallisuuden perustaso ei ole kunnossa. Pelkästään arvioinneissa käytettävät kysymyspatteristot ja niiden suuri kysymysmäärä (100+) antavat suuntaa asiakokonaisuuden laajuudesta.  

Yritysten kannalta keskeisintä on se, miten vaatimuksiin suhtaudutaan, miten toimenpiteet ymmärretään ja tunnistetaanko, mitä tämä kaikki tarkoittaa juuri oman yrityksen kannalta katsottuna. Kuten aina turvallisuusasioissa, ei ole yhtä kaiken ratkaisevaa keinoa – saati sellaista, jonka voisi tilata verkkokaupasta helposti, kertamaksulla ja mielellään edulliseen Black Friday -hintaan. Turvallisuus on aina pitkäjänteistä ja jatkuvaa kehittämistä, päivittäistä yhteistoimintaa ja useista toimenpiteistä muodostuva kokonaisuus. Vahva turvallisuuskulttuuri on erityisen tärkeää. Kaikki vaikuttaa kaikkeen.

NIS2-direktiivin tausta

NIS2-direktiivi on EU:n verkko- ja tietoturvadirektiivi, jonka perimmäisenä tarkoituksena on kehittää korkeampi ja yhdenmukaisempi kyberturvallisuuden perustaso EU-maissa. Versio 2 laadittiin muun muassa sen takia, että digitaaliset palvelut ovat kehittyneet edellisen version jälkeen (2016–2024) merkittävästi. Samanaikaisesti kyberrikollisuus on kasvanut. Lisäperuste päivittämiselle on se, että ensimmäinen versio ei ollut riittävän yhtenevä EU-maissa, minkä vuoksi sen käyttöönotto ja toteuttaminen eivät vastanneet alkuperäistä tarkoitusta.

Direktiivi koskee digitaalisia palveluita tarjoavia yrityksiä ja asettaa velvoitteita tietoturvallisuuden jatkuvasta ylläpitämisestä ja kehittämisestä. Direktiivi on erityisen tärkeä organisaatioille, joiden tehtäviin kuuluu tarjota kriittisiä tai olennaisia palveluita yhteiskunnalle. Huomion kohteena ovat etenkin organisaatiot, joiden toiminnan häiriöillä voi olla vakava vaikutus yhteiskunnan toimintaan, turvallisuuteen tai talouteen.

Mistä on siis kyse? Avaan asiaa omasta näkökulmastani katsottuna ja nostan esille viisi mielestäni keskeisintä uutta asiaa, jotka NIS2 tuo yrityksille toteutettavaksi. Tässä blogikirjoituksessa keskitytään direktiivin tuomiin hallinnollisen kyberturvallisuuden vaatimuksiin. Blogin seuraavassa osassa asiaa tarkastellaan lisää teknisen turvallisuuden ja muun muassa ohjelmistojen sekä tekoälyn näkökulmasta.

Viisi tärkeää nostoa päivitetyistä vaatimuksista 

  1. Direktiivin uusimmassa versiossa päivitettyjen turvallisuusasioiden lisäksi vaatimukset koskevat aiempaa laajempaa sektoria. Sektoreiden toimialat on jaettu nyt kahteen toimialalohkoon: 1) erittäin kriittisiin ja 2) muihin kriittisiin toimialoihin. Näiden kahden ryhmän välinen ero on käytännössä siinä, että katkos erittäin kriittisen toimijan toiminnassa voi vaikuttaa vakavasti yhteiskunnan talouteen. Kuten aina, tyhjentävää listaa direktiivin vaatimusten piiriin kuuluvista yrityksistä ei ole, vaan nimettyjen toimialojen lisäksi löytyy myös poikkeuksia, jonka perusteella yritys voi kuulua NIS2-vaatimusten piiriin. Direktiivi pätee poikkeuksena esimerkiksi, jos yrityksen toiminnan keskeytys olisi riski julkiselle turvallisuudelle tai terveydelle.

  2. Jos yrityksen toimialaa ei ole suoraan mainittu, päivitetyn NIS2-version mukaisesti vaatimukset ulottuvat toimitusketjuihin asti. Käytännön esimerkki: jos yritys toimittaa palveluita lentoyhtiölle (asiakkaan toimiala: liikenne, toimialan osa: ilmaliikenne), NIS2-vaatimukset ulottuvat myös palvelun toimittajaan asti. Yritysten on tärkeää tunnistaa ja varmistaa kuuluvatko toimitusketjujen kautta NIS2-vaatimusten piiriin.

  3. Yrityksillä on kolmivaiheinen raportointivelvollisuus merkittävästä kyberpoikkeamasta. Ensimmäisessä vaiheessa ilmoitus on lähetettävä 24 tunnin kuluessa havainnosta valvovalle viranomaiselle. Toisessa vaiheessa jatkoilmoitus on tehtävä 72 tunnin kuluessa, ja kolmannessa vaiheessa on toimitettava loppuraportti kuukauden kuluessa tapahtumasta. Periaatteessa vaatimus on kohtuullisen helppo toteuttaa, jos aiemmin mainittu perustaso on kunnossa. Mikäli näin ei ole, yrityksen pitää luoda useita prosesseja kuntoon, jotta raportointi sekä aikamääreet toteutuisivat. Tämä ei tapahdu hetkessä.

  4. NIS2 perustuu riskienarviointiin ja riskienhallintaan, jonka avulla pyritään estämään tai pienentämään riskin vaikutuksia palveluihin ja samalla liiketoimintaan. Jotta tämä on mahdollista, riskienhallinnan tulee olla kokonaisvaltaista, systemaattista ja jatkuvaa. Toimenpiteille tai riskin ottamiselle tulee olla myös johdon hyväksyntä. Tämän kautta johdolle tulee riskienhallinnan osaamisen velvoite. Riskienhallintavelvoite tulee toteuttaa siten, että riskienhallintakäytännöt, tunnistetut riskit ja niiden hallintakeinot käydään säännöllisesti läpi.

  5. Viides ja viimeinen nosto on toimitusketjujen turvallisuudesta huolehtiminen. Tällä tarkoitetaan sitä, että aiemmin mainittuihin toimialoihin kuuluvien yritysten on varmistettava, että toimittajien ja alihankkijoiden toimenpiteet vastaavat NIS2-vaatimuksia. Tämä tarkoittaa muun muassa sitä, että eri prosessit ja politiikat ovat kuvattu ja otettu käyttöön ja henkilöstön kyberturvallisuuskoulutuksesta ja - tietoisuudesta huolehditaan.  

Kyberturvallisuuspalvelumme apuna NIS2-asioissa 

Direktiivien noudattaminen ei ole pelkkä lakisääteinen velvoite, vaan selkeä kilpailuetu, jota tulee miettiä kokonaisvaltaisen riskienhallinnan ja liiketoiminnan jatkuvuuden kautta. Kriittisten palveluiden suojaaminen ja tietoturvan vahvistaminen lisäävät organisaation resilienssiä ja luotettavuutta, mikä on ratkaisevaa nopeasti muuttuvassa geopoliittisessa- ja liiketoimintaympäristössä. Kokonaisvaltaisella lähestymistavalla toimenpiteisiin tehtävät investoinnit maksavat itsensä takaisin liiketoiminnan jatkuvuuden kautta. 

Tämä hetken suositukset ja vaatimukset ovat tulevaisuuden lähtökohtia. Asioiden tulee olla kunnossa, jotta sopimukset jatkuvat tai tarjouskilpailutuksiin ylipäätään pääsee mukaan.

 

Me Netumilla tarjoamme ammattitaitoa asiakkaan tueksi arvioimalla nykytilanteen ja suunnittelemalla yrityskohtaisesti prioriteettien mukaiset kehittämistoimet. Autamme myös tarvittaessa niiden suunnittelussa ja jalkauttamisessa.

Palvelumme sisältää:

  • Nykytilan arvio vaihtoehtoisilla työkaluilla (kybermittari tai digiturvamalli) 
  • Selkeä, visuaalinen raportti 
  • Yrityskohtainen, olennaisten kehityskohtien lista: ”näillä liikkeelle” JA 
  • CISO as a Service, apua kehitystoimenpiteiden toteuttamiseen 

Timo Ikonen
Vanhempi konsultti, Netum Oy
timo.ikonen@netum.fi

 

 

 

Haluatko lisätietoja? Ota meihin yhteyttä.

Tagit:
kyberturvallisuus, NIS2, tietoturva