NIS2 on uusi Euroopan tietoturvadirektiivi, joka korvaa nykyisen verkko- ja tietoturvadirektiivin. Sen keskeisenä tavoitteena on parantaa kriittisten ja keskeisten palveluiden kyberresilienssiä ja valmiutta kyberuhkia vastaan. Direktiivi astuu voimaan lokakuussa 2024.

Direktiivi koskee alempana määritellyillä aloilla toimivia yrityksiä, joissa on yli 250 henkeä, sekä yrityksiä, jotka ovat toimitusketjujensa kautta mukana direktiivin alaisten yritysten toiminnassa. Artikkelin lopussa on lista toimialoista, joita NIS2-direktiivi koskee.

NIS2 ei edellytä organisaatiolta sertifiointia, mutta direktiivillä on joitain päällekkäisyyksiä esimerkiksi ISO27001-sertifikaatin kanssa.

NIS2-direktiivin vaikutukset organisaatiossa jakautuu kahteen segmenttiin.

Kyberturvallisuusriskien hallinta

Organisaatiossa tulee tunnistaa kyberturvallisuusriskit, ottaa käyttöön ajantasaiset suojausmenetelmät, kuten monivaiheinen tunnistautuminen ja salaus, kouluttaa työntekijät tunnistamaan ja suojautumaan kyberrikollisia vastaan. Organisaation täytyy myös ennakoida ja pyrkiä hallitsemaan tietoturvapoikkeamia ja mahdolliset poikkeamat tulee käsitellä ennalta määritellyn prosessin mukaisesti.


Ilmoitusvelvollisuus

Yritysten on käsiteltävä tietoturvapoikkeamat ennalta määritellyn prosessin mukaisesti ja ilmoitettava merkittävistä poikkeamista viranomaisille tietyn ajan kuluessa. Poikkeamat on pyrittävä selvittämään ja pystyttävä raportoimaan asianmukaisesti.

Toimialat

Lista toimialoista, joihin NIS2 tulee vaikuttamaan.

Erittäin kriittiset toimialat:
-Energia
-Liikenne
-Pankkiala
-Finanssimarkkinoiden infrastruktuurit
-Terveys
-Jätevesi
-Digitaalinen infrastruktuuri
-Yritystenvälinen TVT-palvelujenhallinta
-Avaruus
-Julkishallinto

Muut kriittiset toimialat:
-Posti
-Jätehuolto
-Kemikaalit
-Elintarvikkeet
-Valmistus
-Digitaalisen palvelun tarjoajat
-Tutkimus

Lista toimialoista taulukossa: NIS2 Liitteet (kyberturvallisuuskeskus.fi)

Direktiivin piiriin kuuluvat myös yritykset niiden kokoon katsomatta, mikäli yrityksen toiminnalla on kriittinen vaikutus yhteiskuntaan. Nämä vaikutukset voivat kohdistua esimerkiksi talouteen, yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.

Direktiivi edellyttää, että yritykset ja organisaatiot ottavat huomioon alihankintaketjunsa kyberturvallisuuden riskienhallinnassa ja varmistavat, että niiden alihankkijat täyttävät samat turvallisuusstandardit. Tämä tarkoittaa esimerkiksi tietoturvatoimenpiteiden vahvistamista, säännöllisiä riskiarviointeja ja valvontamekanismien käyttöönottoa. Tietoturvan rooli toimittajien valintakriteerinä tulee direktiivin myötä siis kasvamaan.

Microsoftin tuoteportfoliosta löytyy useita direktiivin vaatimukset täyttäviä tietoturvatuotteita sekä ominaisuuksia. Huolehdimme siitä, että M365-tuotteenne ja IT-ympäristönne täyttävät NIS2-direktiivin vaatimukset. Autamme teitä myös kouluttamaan työntekijänne kyberturvallisuudesta ja tietototurvan parhaista käytännöistä.

Olemme ISO 27001-sertifioitu IT-kumppani ja ymmärrämme tietoturvakäytänteet perusteellisesti. Seuraamme jatkuvasti alan uutisia, uusia säädöksiä sekä direktiivejä. Voit luottaa siihen, että meillä on ajantasainen tieto ja välineet kyberturvallisuudesta huolehtimiseen.