Uusia velvoitteita tietojen ja verkkojen turvallisuuteen – Mikä on NIS 2 direktiivi?
NIS 2 eli Network and Information Security Directive (verkko- ja tietoturvadirektiivi) on uusi, päivitetty Euroopan unionin direktiivi, joka asettaa velvoitteita tietojen ja verkkojen turvallisuuteen. Se koskettaa tietyn kokoisia yrityksiä, mutta vaatimukset voivat valua myös muille, erityisesti ICT-alan toimijoille toimitusketjua sisältävien vaatimusten vuoksi.
NIS 2 tarkoituksena on varmistaa, että kriittisiin toimialoihin (tarjoavat kriittisiä tai olennaisia palveluita yhteiskunnalle) kuuluvat palveluntarjoajat ovat suojattuja kyberhyökkäyksiltä ja muilta tietoturvauhilta. NIS 2 laajentaa aiemmin voimaan tullutta NIS-direktiiviä ja poikkeamista ilmoittamisen lisäksi nyt yritysten täytyy huolehtia myös tietoturvan käytännöistä. Direktiivin tarkoituksena on vahvistaa Euroopan unionin digitaalisen yhtenäismarkkinan turvallisuutta.
Merkittävin muutos aiempaan direktiiviin on sen laajempi soveltumisala. NIS 2 -direktiivin soveltumisalaan kuuluvat
- energia-ala
- liikenne
- finanssiala
- vesihuolto
- terveydenhuolto
- digitaalinen infrastuktuuri
- tietoverkkopalvelut
- julkishallinto
- avaruusalan toimijat
- posti- ja kuriiripalvelut
- elintarvikkeiden valmistus, tuotanto ja jakelu
- valmistava teollisuus
- kemianteollisuus
- jätehuolto
- digitaalisten palveluiden tarjoajat sekä
- tutkimustoiminta
Mitä organisaatioiden pitää tehdä?
Uusi NIS 2 -direktiivi on tullut voimaan joulukuussa 2022 ja se tulee saattaa osaksi kansallista lainsäädäntöä lokakuun 17. päivään 2024 mennessä. Yrityksillä on siis vielä aikaa valmistautua ja varmistaa yrityksen tietoturvan vaatimuksenmukaisuus uudelle minimitasolle.
NIS 2 edellyttää, että tärkeät palveluntarjoajat toteuttavat tietoturvatoimenpiteitä ja raportoivat tietoturvauhista viranomaisille. Tämä tarkoittaa sitä, että yritysten on varmistettava, että niiden tietojärjestelmät ovat turvallisia ja että ne pystyvät havaitsemaan ja reagoimaan mahdollisiin tietoturvauhkiin. Lisäksi yritysten on laadittava tietoturvapolitiikka ja -suunnitelma, joka kattaa kaikki NIS 2 vaatimukset.
NIS 2 vaatimustenmukaisuuden saavuttamiseen sisältyy mm:
- Kattavan riskianalyysin tekeminen. Mitkä ovat yrityksen tietoturvaan liittyvät uhat ja haavoittuvuudet?
- Tarvittavien tietoturvatoimenpiteiden tekeminen. Miten varmistaa, että tietojärjestelmät ovat jatkuvasti valvottuja ja päivitettyjä?
- Henkilöstön kouluttaminen. Ovathan kaikki yrityksen työntekijät tietoisia tietoturvapolitiikasta ja -suunnitelmasta?
Mitkä ovat NIS 2 ja GDPR yhtymäkohtia?
Vaikka NIS 2 keskittyykin laajemmin tietoturvaan, sen vaikutukset tietosuojakäytäntöihin ovat merkittäviä, ja sen noudattaminen edellyttää yrityksiltä toimia myös tietosuojan osalta.
NIS 2 -direktiivi ja GDPR ovat molemmat EU-vetoista sääntelyä, jotka liittyvät datan käsittelyn turvaamiseen. Vaikka ne ovat erillistä sääntelyä, niillä on myös paljon yhteisiä piirteitä. Esimerkiksi molemmat edellyttävät yrityksiltä erilaisten riskiarvioiden tekemistä ja tarvittavien tietoturvatoimenpiteiden toteuttamista. Lisäksi sekä NIS 2 että GDPR pitävät sisällään vaatimuksen siitä, että yritykset raportoivat tietoturvauhista ja mahdollisista tietomurroista viranomaisille. Molempien säädösten rikkomuksista voi myös aiheutua seuraamuksia, kuten mainehaittoja tai jopa sakkoja.
GDPR ohjaa henkilötietojen käsittelyyn ja rekisteröidyn oikeuksien toteutumiseen liittyviä toimenpiteitä, kun taas NIS2 -direktiivi parantaa yritysten ja organisaatioiden kyberturvallisuutta kokonaisuudessaan.
Miksi NIS 2 ja GDPR ovat tärkeitä?
NIS 2 ja GDPR eivät ole vain pakollisia vaatimuksia, vaan ne ovat myös tärkeitä yritysten maineen ja luottamuksen kannalta. Tietoturvaongelmat voivat aiheuttaa merkittävää vahinkoa yrityksen julkisuuskuvalle ja luotettavuudelle, jotka vaikuttavat negatiivisesti liiketoimintaan. Tämän vuoksi on tärkeätä varmistaa, että yrityksesi on vaatimustenmukainen sekä NIS 2 -direktiivin että GDPR:n kanssa.
Yhteenvetona voidaan todeta, että NIS 2:n ja GDPR:n noudattaminen voi auttaa yritystäsi välttämään tietoturvauhkat ja vahvistamaan luottamusta asiakkaiden ja sidosryhmien keskuudessa. Jotta voit saavuttaa tämän vaatimuksenmukaisuuden, on yrityksessäsi huomioitava molemmat sääntelyt.
Vaikka siirtymäaikaa NIS 2 -direktiivin osalta on vielä jäljellä, kannattaa valmistautuminen siihen aloittaa jo nyt. Samalla on hyvä huolehtia, että myös GDPR -vaatimukset ovat yrityksessäsi toteutettuna!