Mitä NIS2 ja CER -direktiivit tuovat mukanaan, ketä ne koskevat, ja mitä yrityksen tulisi tehdä

NIS2 ja CER – direktiivit ovat tällä hetkellä monessa yrityksessä tapetilla. Mitä ne vaativat organisaatiolta, milloin ne tulevat voimaan, ja mitä meidän oikeasti tulee tehdä? Molempien direktiivien tavoitteena on pyrkiä vahvistamaan yritysten kyberturvallisuutta, kasvattamalla yrityksen kyvykkyyttä vastata nykypäivän kyberuhkiin, ja samalla varmistamaan kriittisten palveluiden jatkuvuutta häiriötilanteissa. Direktiivit tuovat mukanaan merkittäviä velvoitteita, mutta antavat myös selkeät toimintalinjat, miten vaatimuksiin voidaan vastata.

Molemmat direktiivit ovat osa Euroopan Unionin vuonna 2022 julkaisemaa kyberturvallisuusstrategiaa. Jäsenmaiden piti ottaa direktiivit osaksi omaa lainsäädäntöään jo 17.10.2024, mutta tämä työ on vielä monissa maissa kesken, mukaan lukien Suomessa. Se on kuitenkin varmaa, että lait tulevat. Organisaatioiden tuleekin ottaa direktiivit haltuun viimeistään nyt – ensinnäkin näitä direktiivejä seuraamalla organisaatioiden kyberturvataso on hyvällä tasolla, mutta myös sen takia, että sanktiot voivat olla kovat.

NIS2

kyberturva tietoturvallisuus riskienhallinta

NIS2 – direktiivi koskee kriittisiä toimijoita, jotka jaetaan keskeisiin ja tärkeisiin riippuen organisaation koosta, liikevaihdosta, toimialasta ja kriittisyydestä. Molempia ryhmiä koskevat samat vaatimukset, mutta sanktioissa on pieniä eroja. Direktiivin vaatimukset painottuvat kyberturvan hallintaan ja raportointiin, mutta samalla NIS2 asettaa ylemmän johdon selkeämpään vastuuseen direktiivin vaatimusten täyttämiseen. Tämä muuttaa peliä merkittävästi siinä mielessä, että nyt jos milloinkaan yritysten on otettava kyberturva osaksi strategiaa, muutoin johto voi joutua henkilökohtaiseen vastuuseen häiriötilanteissa. 

Huomioitavat asiat

NIS2 asettamat keskeisimmät vaatimukset, jotka on huomioitava ja ylläpidettävä:

  • Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
  • Poikkeamien käsittely
  • Toiminnan jatkuvuuden hallinta (esim. varmuuskopiointi, palautussuunnittelu ja kriisinhallinta)
  • Toimitusketjun turvallisuus
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  • Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  • Perustason kyberhygieniakäytännöt ja koulutus
  • Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja salauksen käyttöä
  • Henkilöstöturvallisuus, pääsynhallinta ja omaisuudenhallinta
  • Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen käyttö toimijan toiminnassa

Edellä mainittujen vaatimusten lisäksi merkittävänä muutoksena aikaisempaan on ilmoitusvelvollisuus poikkeamista. Mikäli organisaatiossa huomataan kyberpoikkeama, on organisaation:

  • Tehtävä ensi-ilmoitus valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta
  • Tehtävä jatkoilmoitus valvovalle viranomaiselle 72 tunnin kuluessa
  • Poikkeamatilanteen päätyttyä toimitettava valvovalle viranomaiselle loppuraportti
  • Ilmoitettava viipymättä organisaation tuottamien palveluiden vastaanottajille, jos poikkeama todennäköisesti haittaa palvelutuotantoa

Vaatimukset voivat vaikuttaa kovin vaativilta, mutta loppupeleissä kyse on pitkälti kyse prosesseista ja dokumentaatiosta, ja näiden jatkuvasta ylläpidosta. Kaikki nämä edesauttavat yritystä ylläpitämään tietoturvallisuutta hyvällä tasolla.

Direktiivin alaiset toimijat:

Erittäin kriittiset toimialat:

  • Energia
  • Liikenne
  • Pankkiala
  • Finanssimarkkinoiden infrastruktuuri
  • Terveys
  • Juomavesi
  • Jätevesi
  • Digitaalinen infrastruktuuri
  • ICT-palveluiden hallinta
  • Avaruus
  • Julkishallinto

Muut kriittiset toimialat:

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalit
  • Elintarvikkeet
  • Valmistus
  • Digitaalisen palvelun tarjoajat
  • Tutkimustoiminta
  • Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat

Edellä mainittujen toimialoilla toimivien toimijoiden lisäksi, myös CER – direktiivin alaiset toimijat ovat NIS2 – direktiivin alaisia.

Seuraamukset

NIS2 -direktiivissä luodaan myös yhtenäinen malli seuraamuksista vaatimusten rikkomisesta:

  • Sitovat ohjeet
  • Turvatarkastuksen suositusten toteuttaminen
  • Turvatoimien saattaminen NIS2-vaatimusten mukaisiksi
  • Hallinnolliset sakot

Hallinnollisten sakkojen enimmäismäärä riippuu siitä, onko kyseessä keskeinen vai tärkeä toimija. Keskeiselle toimijalle enimmäismäärä on 10 000 000 euroa tai 2 prosenttia kokonaisliikevaihdosta, sen mukaan kumpi näistä on suurempi. Tärkeälle toimijalle sakon enimmäismäärä on 7 000 000 euroa tai 1,4 prosenttia kokonaisliikevaihdosta.

CER

data analytiikka tekoäly

CER – direktiivi puolestaan korostaa toimijoiden liiketoiminnan jatkuvuuden suunnittelua, palautusmahdollisuutta häiriötilanteista, sekä tilojen fyysistä suojautumista. Toisin sanoen, direktiivi parantaa toimijoiden häiriöiden sietokykyä, eli resilienssiä. 

Huomioitavat asiat

Keskeisimmät vaatimukset:

  • Riskinarviointi ja sen ylläpitäminen
  • Häiriönsietokyvyn varmistaminen. Toteutettava asianmukaisia ja oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä:
  • Häiriönsietokyvylle on luotu suunnitelma
  • Taustatarkistukset
  • Poikkeamista ilmoittaminen
  • Yhteyshenkilön nimeäminen

Direktiivin alaiset toimijat

  • Energia
  • Liikenne
  • Pankki
  • Finanssimarkkina
  • Terveys
  • Elintarvikkeet
  • Vesihuolto
  • Jätevesihuolto
  • Digitaalinen infrastruktuuri
  • Julkishallinto
  • Avaruus

Tarvitsetko apua tietoturvan kehittämisessä ja NIS2- tai CER-direktiivin vaatimusten viemisessä käytäntöön?

Minulla on monen vuoden työkokemus yksityiseltä ja julkiselta sektorilta. Olen urani aikana työskennellyt monien eri direktiivien ja viitekehyksien parissa, kuten NIS2, Katakri ja Pitukri, ja auttanut monia yrityksiä parantamaan kyberturvatasoaan. Viitekehysten konsultoinnin lisäksi on kokemusta muun muassa tietosuojasta ja poikkeamahallinnasta.

Monet viitekehykset kulkevat rinnakkain, ja täydentävät ainakin osin toisiaan. Uuden direktiivin tullessa vastaan, kannattaakin organisaation tarkastaa voiko aikaisempia tuotoksia käyttää hyödykseen joko suoriltaan, tai pienillä muokkauksilla. Avuksi löytyy myös työkaluja, joiden avulla on helpompi lähteä liikkeelle, esimerkiksi Traficomin julkaisema ilmainen Kybermittari. Ja jos missään vaiheessa tulee tunne, että asiat ovat haastavia, tai aika ei vaan riitä, muista että asiantuntijoita, jotka tekevät tätä lähes päivittäin on saatavilla avuksi. 

Sitowise tarjoaa kattavat palvelut niin hallinnollisen kuin teknisen tietoturvan osalta. Erityiseksi tietoturvapalvelumme tekee kattava ja laaja osaamisemme eri toimialoilta - meillä on asiantuntijoita, jotka tuntevat alaanne ja toimintaympäristöänne, ja yhdessä voimme auttaa teitä saamaan parhaan palvelun juuri teidän tarpeeseenne.

Ihmiset juttelevat portaikossa.

Resilienssi - yhteiskunnan selkäranka muuttuvassa maailmassa

Aki Aapaojan blogi käsittelee resilienssiä ja sen merkitystä yhteiskunnan eri osa-alueilla, kuten infrastruktuurin ja kriittisten järjestelmien kestävyyden parantamisessa. Kirjoituksessaan Aki korostaa ennakoinnin, riskienhallinnan, yhteistyön ja kunnossapidon tärkeyttä resilienssin lisäämiseksi muuttuvassa maailmassa.
Lue Akin blogikirjoitus!