EU-NIS2-direktiivi

Kyberuhkia vastaan

NIS2-DIREKTIIVI

NIS2-direktiivi on Euroopan unionin säädös, jonka myötä yhä useampien organisaatioiden on pian suunnitelmallisesti varauduttava kyberuhkiin. Kyberuhka viittaa mahdolliseen tilanteeseen, tapahtumaan tai toimintaan, joka voi vahingoittaa tai häiritä verkko- ja tietojärjestelmiä.

EU:n NIS2-direktiivi parantaa organisaatioiden sietokykyä kyberuhkia vastaan

NIS2-direktiivin pääasiallinen tavoite on varmistaa yhteinen korkea kyberturvallisuustaso koko Euroopan unionissa – sekä yksityisellä että julkisella sektorilla.

Määräaika NIS2-direktiivin saattamiseksi osallista kansallista lainsäädäntöä on 17.10.2024 mennessä ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024

Autamme organisaatiotasi NIS2-direktiivin vaatimusten täyttämisessä

Lue lisää NIS2-arvioinnista

NIS2-direktiivi  I Insta
NIS1 > NIS2

NIS2-direktiivi lyhyesti

Tammikuussa 2023 voimaan tullut kyberturvallisuusdirektiivi eli NIS2-direktiivi korvaa aikaisemman NIS1-direktiivin ja määrittää soveltamisalaan kuuluville organisaatioille yhtenäiset kyberturvallisuusriskien hallintatoimenpiteet, raportointivelvoitteet sekä valvontatoimenpiteet. Jokaisen EU:n jäsenmaan tulee sisällyttää NIS2-direktiivin säännökset kansalliseen lainsäädäntöön lokakuuhun 2024 mennessä. Suomessa direktiivin velvoitteet tulee osaksi uutta lakia kyberturvallisuuden riskienhallinnasta.

Insta Security Operations Center
NIS2

Keitä direktiivi koskee?

NIS2-direktiivi laajentaa edeltäjänsä, vuonna 2016 voimaantulleen NIS1-direktiivin soveltamisalaa, kattaen laajasti sekä yksityisen että julkisen sektorin toimijoita. NIS2-direktiiviä sovelletaan lähtökohtaisesti organisaatioihin, jotka toimivat direktiivissä määritellyillä kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria. Lisäksi direktiivissä on myös tarkempia määritelmiä soveltamisalaan kuuluvista toimijoista ja joidenkin toimialojen sisällä myös pienet ja mikroyritykset voivat kuulua sääntelyn piiriin.

Kyberturvallisuus kädet ja tietokone
nis2

Velvoitteet ja sanktiot

Uusi direktiivi sisältää vaatimuksia sekä jäsenvaltioille että soveltamisalaan kuuluville organisaatioille. NIS2-direktiivi velvoittaa organisaatiot toteuttamaan teknisiä, operatiivisia ja organisatorisia toimenpiteitä kyberturvallisuuden parantamiseksi sekä muun muassa raportoimaan tietoturvaloukkauksista 24 tunnin sisällä niiden havaitsemisesta.

Sanktiot velvoitteiden laiminlyönnistä voivat olla jopa 10 miljoonaa euroa tai 2 % toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi. Kansallisesti maksimisanktio voidaan säätää myös tätä suuremmaksi.

NIS2

Mihin direktiivi velvoittaa organisaatioita?

Insta ikoni yhteistyö tiimityö 56

Johdon vastuu

Organisaatioiden johdolla on vastuu kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisestä ja valvonnasta. Johto voidaan saattaa henkilökohtaiseen vastuuseen, jos organisaatio laiminlyö velvollisuutensa ottaa käyttöön direktiivin mukaiset kyberturvallisuusriskien hallintatoimenpiteet. Johdolla on lisäksi velvollisuus osallistua koulutukseen kyberturvallisuusriskeihin ja niiden hallintaan liittyen.

Kyberturvallisuusriskien hallintatoimenpiteet

Organisaatioiden tulee ottaa käyttöön toimenpiteitä hallitakseen kyberriskejä, joita kohdistuu niiden toiminnoissaan ja palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen, sekä estääkseen ja minimoidakseen poikkeamista aiheutuvia vaikutuksia. Riskienhallintatoimenpiteiden taso suhteutetaan organisaatioiden riskeihin ja niiden tulee perustua kaikki vaarantekijät huomioivaan toimintamalliin.

Sininen ikoni, jossa kädet pitelevät tablettia ja säätävät sen näkymän säätimiä.

Raportointi ja valvonta

Organisaatioiden tulee raportoida merkittävistä poikkeamista valvovalle viranomaiselle 24 tunnin kuluessa siitä, kun tilanne on tullut toimijan tietoon, ja edelleen yksityiskohtaisemmin 72 tunnin kuluessa. Lisäksi viranomaiselle tulee toimittaa loppuraportti viimeistään kuukauden kuluttua poikkeamailmoituksen toimittamisesta. Tarvittaessa häiriöstä tai sen uhasta on ilmoitettava myös palvelujen vastaanottajille.

Miten Insta voi auttaa?

Vaikka uusi sääntely sisältää useita hyvin yleisluonteisesti kuvattuja vaatimuksia, joiden kääntäminen konkreettisiksi toimenpiteiksi saattaa olla haastavaa, organisaatioiden on suositeltavaa aloittaa NIS2-direktiivin sekä kansallisen kyberturvallisuuden riskienhallintalain vaikutusten selvittäminen ja tarvittavien toimenpiteiden toteuttaminen jo nyt, sillä uusia velvoitteita tulee noudattaa lokakuusta 2024 lähtien.

Installa on laaja kyberturvallisuuden osaaminen ja autamme mielellämme organisaatiotasi tiellä NIS2-direktiivin vaatimusten noudattamiseen. Autamme selvittämään, kuuluuko organisaationne uuden sääntelyn soveltamisalaan, suunnittelemme organisaatiollenne toimenpiteet vaatimusten täyttämiseksi ja olemme mukana toteuttamassa näitä toimenpiteitä.

Palvelumme tukevat NIS2-vaatimusten täyttämisessä

Organisaationne pääsee alkuun NIS2-velvoitteiden täyttämisessä Instan NIS2 Arviointi -palvelun avulla, jossa Insta tuottaa arvion riskienhallintakeinojen nykytilasta ja kehityskohteista priorisoituna. Tämän lisäksi Instalta löytyy laaja valikoima palveluita, jonka avulla organisaatiot voivat vastata NIS2-direktiivin riskienhallintatoimenpiteiden velvoitteisiin, kuten kyberkonsultointi ja -koulutuspalvelut, kriisi- ja valmiusjohtamisen harjoitusratkaisut, Secure Development Lifecycle -palvelu, Instan varmennepalvelut, Insta Safelink VPN-ratkaisu sekä Insta Key Vault -palvelu. Näiden lisäksi Instan SOC-palvelu auttaa täyttämään vaatimuksia valvomalla organisaatioiden IT- ja OT-ympäristöjä ympärivuorokautisesti sekä mahdollistamalla raportointivelvoitteen täyttämisen.

Kriittiset toimialat

NIS2-direktiivin velvoitteet koskevat organisaatioita, jotka toimivat valtion toiminnan kannalta kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria. Kriittiset toimialat on direktiivissä jaoteltu erittäin kriittisiin toimialoihin sekä muihin kriittisiin toimialoihin.

Erittäin kriittiset toimialat

Erittäin kriittiset toimialat NIS2

Muut kriittiset toimialat

Kriittiset toimialat NIS2

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.