• Ehdotuksia ei ole, koska hakukenttä on tyhjä.
Open search
EN

NIS2-direktiivi

EU:n NIS2-direktiivi parantaa organisaatioiden sietokykyä kyberuhkia vastaan

NIS2-direktiivi on Euroopan unionin säädös, jonka myötä yhä useampien organisaatioiden on pian suunnitelmallisesti varauduttava kyberuhkiin. Kyberuhka viittaa mahdolliseen tilanteeseen, tapahtumaan tai toimintaan, joka voi vahingoittaa tai häiritä verkko- ja tietojärjestelmiä.  

NIS2-direktiivin pääasiallinen tavoite on varmistaa yhteinen korkea kyberturvallisuustaso koko Euroopan unionissa – sekä yksityisellä että julkisella sektorilla. 

Autamme organisaatiotasi NIS2-direktiivin vaatimusten täyttämisessä

NIS2-direktiivi lyhyesti 

Tammikuussa 2023 voimaan tullut kyberturvallisuusdirektiivi eli NIS2-direktiivi korvaa aikaisemman NIS1-direktiivin ja määrittää soveltamisalaan kuuluville organisaatioille yhtenäiset kyberturvallisuusriskien hallintatoimenpiteet, raportointivelvoitteet sekä valvontatoimenpiteet. Jokaisen EU:n jäsenmaan tulee sisällyttää NIS2-direktiivin säännökset kansalliseen lainsäädäntöön lokakuuhun 2024 mennessä, jonka jälkeen uusia velvoitteita tulee noudattaa myös Suomessa. 

Keitä direktiivi koskee?  

NIS2-direktiivi laajentaa edeltäjänsä, vuonna 2016 voimaantulleen NIS1-direktiivin soveltamisalaa, kattaen laajasti sekä yksityisen että julkisen sektorin toimijoita. NIS2-direktiiviä sovelletaan lähtökohtaisesti organisaatioihin, jotka toimivat direktiivissä määritellyillä kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria. Lisäksi direktiivissä on myös tarkempia määritelmiä soveltamisalaan kuuluvista toimijoista ja joidenkin toimialojen sisällä myös pienet ja mikroyritykset voivat kuulua sääntelyn piiriin. 

Velvoitteet ja sanktiot 

Uusi direktiivi sisältää vaatimuksia sekä jäsenvaltioille että soveltamisalaan kuuluville organisaatioille. NIS2-direktiivi velvoittaa organisaatiot toteuttamaan teknisiä, operatiivisia ja organisatorisia toimenpiteitä kyberturvallisuuden parantamiseksi sekä muun muassa raportoimaan tietoturvaloukkauksista 24 tunnin sisällä niiden havaitsemisesta. 

Sanktiot velvoitteiden laiminlyönnistä voivat olla jopa 10 miljoonaa euroa tai 2 % toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi. Kansallisesti maksimisanktio voidaan säätää myös tätä suuremmaksi. 

Mihin direktiivi velvoittaa organisaatioita?

Insta-Icon33_NIS2

Johdon vastuu

Organisaatioiden johdolla on vastuu kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisestä ja valvonnasta. Johto voidaan saattaa henkilökohtaiseen vastuuseen, jos organisaatio laiminlyö velvollisuutensa ottaa käyttöön direktiivin mukaiset kyberturvallisuusriskien hallintatoimenpiteet. Johdolla on lisäksi velvollisuus osallistua koulutukseen kyberturvallisuusriskeihin ja niiden hallintaan liittyen.

Insta-Icon37_NIS2

Kyberturvallisuusriskien hallintatoimenpiteet

Organisaatioiden tulee ottaa käyttöön toimenpiteitä hallitakseen kyberriskejä, joita kohdistuu niiden toiminnoissaan ja palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen, sekä estääkseen ja minimoidakseen poikkeamista aiheutuvia vaikutuksia. Riskienhallintatoimenpiteiden taso suhteutetaan organisaatioiden riskeihin ja niiden tulee perustua kaikki vaarantekijät huomioivaan toimintamalliin.

Insta-Icon_teknologiat_NIS2

Raportointi ja valvonta

Organisaatioiden tulee raportoida merkittävistä poikkeamista valvovalle viranomaiselle 24 tunnin kuluessa siitä, kun tilanne on tullut toimijan tietoon, ja edelleen yksityiskohtaisemmin 72 tunnin kuluessa. Lisäksi viranomaiselle tulee toimittaa loppuraportti viimeistään kuukauden kuluttua poikkeamailmoituksen toimittamisesta. Tarvittaessa häiriöstä tai sen uhasta on ilmoitettava myös palvelujen vastaanottajille.

Kriittiset toimialat

NIS2-direktiivin velvoitteet koskevat organisaatioita, jotka toimivat valtion toiminnan kannalta kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria. Kriittiset toimialat on direktiivissä jaoteltu erittäinkriittisiin toimialoihin sekä muihin kriittisiin toimialoihin. 

Erittäin kriittiset toimialat

Muut kriittiset toimialat

 j

Miten Insta voi auttaa? 

Vaikka uusi sääntely sisältää useita hyvin yleisluonteisesti kuvattuja vaatimuksia, joiden kääntäminen konkreettisiksi toimenpiteiksi saattaa olla haastavaa, organisaatioiden on suositeltavaa aloittaa NIS2-direktiivin vaikutusten selvittäminen ja tarvittavien toimenpiteiden toteuttaminen jo nyt. Kansallisten viranomaisten ohjeistuksia odottamaan jäävälle tulee todennäköisesti kiire, etenkin jos kyberturvallisuusuhkiin varautuminen ei ole aikaisemmin ollut keskeinen osa organisaation toimintaa. 

Installa on laaja kyberturvallisuuden osaaminen ja autamme mielellämme organisaatiotasi tiellä NIS2-direktiivin vaatimusten noudattamiseen. Autamme selvittämään, kuuluuko organisaationne uuden sääntelyn soveltamisalaan, suunnittelemme organisaatiollenne toimenpiteet vaatimusten täyttämiseksi ja olemme mukana toteuttamassa näitä toimenpiteitä. 

Palvelumme tukevat NIS2-vaatimusten täyttämisessä

Organisaationne pääsee alkuun NIS2-velvoitteiden täyttämisessä Instan NIS2 Assessment -palvelun avulla, jossa Insta tuottaa arvion riskienhallintakeinojen nykytilasta ja kehityskohteista priorisoituna. Tämän lisäksi Instalta löytyy laaja valikoima palveluita, jonka avulla organisaatiot voivat vastata NIS2-direktiivin riskienhallintatoimenpiteiden velvoitteisiin, kuten kyberkonsultointi ja -koulutuspalvelut, kriisi- ja valmiusjohtamisen harjoitusratkaisut, Secure Development Lifecycle -palvelu, Instan varmennepalvelut, Insta Safelink VPN-ratkaisu sekä Insta Key Vault -palvelu. Näiden lisäksi Instan SOC-palvelu auttaa täyttämään vaatimuksia valvomalla organisaatioiden IT- ja OT-ympäristöjä ympärivuorokautisesti sekä mahdollistamalla raportointivelvoitteen täyttämisen. 

Ota yhteyttä

Haluatko kuulla lisää NIS2-direktiivistä ja miten voimme auttaa organisaatiotasi siihen liittyen? Jätä yhteydenottopyyntö: