Tietoturva on viime kädessä aina johdon vastuulla - Uusi kyberturvadirektiivi NIS2 voimaan lokakuussa

Lokakuussa 2024 voimaan astuva NIS2-direktiivi on EU:n laajuinen, yritysten kyberturvallisuutta parantava lainsäädäntökokonaisuus. Direktiivin tavoite on yksinkertainen – sen avulla halutaan yhtenäistää eurooppalaisten yritysten tietoturvauhkiin varautumista ja parantaa yritysten reagointikykyä mahdollisiin tietomurtoihin. Lue blogistamme, mitä NIS2-direktiivi pääpiirteissään sisältää, ketä se koskettaa ja miten se tulee vaikuttamaan juuri sinun liiketoimintaasi.

fellowmind-nis2-blogi-main.jpg

NIS2-direktiivi pyrkii estämään tietomurtoja eurooppalaisiin yrityksiin – Suomessa kansallinen laki voimaan lokakuussa 2024

Uutiset tietoturvahyökkäyksistä yrityksiin ovat nykyisin lähes viikoittaista luettavaa. Yritykset sekä Suomessa että maailmalla ovat jatkuvasti verkkorikollisten kohteena.

Digitalisaation ja tekoälyn myötä kasvaneet tietoturvauhkat sekä lisääntyneet kyberhyökkäykset haastavat kaikkia yrityksiä tekemään entistä systemaattisempaa varautumistyötä tietoturvan eteen. Tietoturva on otettava viimeistään nyt vakavasti.

Yritysten kannattaa tarkastella kriittisesti omaa tietoturvaansa. Toimintaympäristö on monimutkaistunut nopeasti. Vanhat säännöt eivät päde. Unohda se, mitä tietoturva oli vielä viisi vuotta sitten. Jo muutama vuosi sitten Fellowmind User Groupin tapaamisessa käytiin läpi ajankohtaisia tietoturvaperiaatteita, jotka kaikkien kannattaa ottaa käyttöön.

NIS2-direktiivi (Directive on Security of Network and Information Systems) tulee koskettamaan useita isoja ja keskisuuria organisaatioita sekä tietyillä kriittisillä toimialoilla toimivia pienempiä organisaatioita automaattisesti.

NIS2-direktiivi ei kuitenkaan suoraan ole EU-jäsenmaita velvoittava, vaan vaatii kansallista lainsäädäntöä. Laki kyberturvallisuuden riskienhallinnasta on Suomessa voimaan astuva laki, jolla tuodaan NIS2-velvoitteet osaksi Suomen lainsäädäntöä.

Uusi laki astuu voimaan Suomessa 18.10.2024 asettaen mittavia velvoitteita erityisesti keskisuurten ja suurten yritysten tietoturvalle. Aiempaan verrattuna uusi laki täsmentää yritysten turvallisuusvaatimuksia, lisää toimitusketjujen turvallisuutta sekä selkeyttää raportointivelvoitteita.

fellowmind-nis2-blogi-3.jpg

Direktiivin myötä otetaan käyttöön tiukempia valvontatoimenpiteitä ja täytäntöönpanovaatimuksia. Myös yrityksien johtoa voidaan uuden lain puitteissa asettaa henkilökohtaisesti vastuuseen, mikäli direktiivin mukaisen lainsäädännön velvoittamia kyberturvallisuusriskien hallintatoimenpiteitä laiminlyödään yrityksessä.

Lyhyesti summattuna: Lokakuusta 2024 alkaen direktiivin piirissä olevissa yrityksissä tulee olla käytössä lain vaatimat hallintajärjestelmät ja todennetut tietoturvakäytänteet. Yrityksiä velvoitetaan myös toteuttamaan riskienhallintaa, raportoimaan ja tiedottamaan tietoturvapoikkeamista entistä systemaattisemmin. 

Ketä NIS2-direktiivi koskettaa? Kuuluuko yrityksesi mukaan kriittisiin toimijoihin?

NIS2 laajentaa aikaisemman kyberturvallisuuteen liittyvän direktiivin soveltamisalaa niin, että useita uusia toimialoja ja yksityisiä toimijoita tulee direktiivin piiriin. Direktiivin kohteena olevat organisaatiot ovat joko keskeisiä tai tärkeitä riippuen niiden koon, toimialan ja määritellyn kriittisyyden mukaisesti, listaa Kyberturvallisuuskeskus. 

Direktiivi koskee lähes automaattisesti isoa osaa kriittisillä toimialoilla toimivia keskisuuria ja suuria yrityksiä. Määritelmät toimijoille ovat seuraavat: 

  • Suuri toimija: Yritys on suuri, kun sen palveluksessa on vähintään 250 työntekijää tai sen liikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa. 
  • Keskisuuri toimijat: yritys on keskisuuri, kun se työllistää 50 – 249 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.

Tämän lisäksi direktiivi velvoittaa kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä yrityksiä ja toimijoita koosta riippumatta (CER-direktiivin mukainen määrittely tai muuten kansallisen turvallisuuden kannalta kriittinen toimija).

Tällainen koosta riippumaton kriittinen toimija on esimerkiksi yritys, joka Kyberturvallisuuskeskuksen listauksen mukaisesti: 

  • tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen tai 
  • voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen, mikäli yrityksen palveluissa ilmenneen häiriötä.

Erityisen kriittisiksi toimialoiksi on direktiivin mukaan määritelty mm. seuraavia toimialoja: 

  • Energia 
  • Liikenne 
  • Pankkiala 
  • Finanssimarkkinoiden infrastruktuurit 
  • Terveys 
  • Juomavesi 
  • Jätevesi 
  • Digitaalinen infrastruktuuri 
  • Yritysten välinen tieto- ja viestintätekniikan (TVT) palvelujenhallinta   
  • Avaruus 
  • Julkishallinto

Muut kriittiset toimialat on määritelty seuraavasti: 

  • Posti- ja kuriiripalvelut 
  • Jätehuolto 
  • Kemikaalit 
  • Elintarvikkeet 
  • Valmistus 
  • Digitaaliset palvelun tarjoajat 
  • Tutkimustoiminta 
  • Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat.

Ei ole siis niin yksioikoista, ketkä yritykset ja mitkä toimijat direktiivin piiriin kuuluvat. Toisaalta yrityksen toimiala ja koko ja toisaalta yrityksen kriittisyys merkitsevät, ketä lainsäädäntö viime kädessä koskettaa. Tarkemman listauksen ja määritelmät direktiivin ja lainsäädännön piiriin kuuluvista yrityksistä löydät Kyberturvallisuuskeskuksen sivuilta.

fellowmind-nis2-blogi-1.jpg

Vaikka yrityksesi ei suoranaisesti kuuluisi tulevan tietoturvalainsäädännön piiriin, lain myötä kehittyvät käytännöt, tiedon määrä ja ohjeistukset tulevat varmasti hyödyttämään myös lain ulkopuolelle jääviä yrityksiä suuresti. Tietoturva ja sen jatkuva kehittäminen tulisi olla kaikkien yrityksien agendalla toimialasta ja koosta riippumatta. Mikään yritys ei enää ole turvassa automaattisesti, kun kyse on tietoturvasta.

Käy lukemassa aikaisempi blokikirjoituksemme siitä, kuinka suojaat kriittisen liiketoimintadatasi Microsoft Azure Sentinel -ratkaisulla.

Mitä tietoturvavaatimuksia NIS2 asettaa yrityksille? Uusi direktiivi haastaa yrityksien toimintakulttuuria ja tapaa ajatella

Uudessa direktiivissä ei ole sinänsä paljon uutta – listatut asiat ovat sellaisia, joita tietoturva-asiantuntijamme Fellowmindilla ovat toteuttaneet asiakkaidemme tietoturvatiimien kanssa jo vuosia.

Työssä tietoturvan parissa kyse on siis edelleen perusasioista, kuten asiakkaiden ja ohjelmistojen turvallisuudesta huolehtimisesta sekä mahdollisten haavoittuvuuksien kartoittamisesta ja ennaltaehkäisystä. Työ paremman tietoturvan eteen on edelleen paljolti varautumista pahimpaan sekä jatkuvaa valvontaa. Direktiivin myötä näistä perusasioista on kuitenkin tullut pakollisia entistä suuremmalle joukolle yrityksiä myös Suomessa. Vaikka teknisesti puhutaan edelleen tietoturvan perusasioista, haastaa direktiivi erityisesti yrityksien toimintakulttuuria ja tapaa ajatella tietoturvaa entistä riskilähtöisemmin.

Käy lukemassa aikaisempi blokikirjoituksemme, jossa kerromme kuinka varmistat huipputason tietoturvan yrityksellesi huomioimalla neljä tärkeää osa-aluetta.

Direktiivi edellyttää ensisijaisesti, että direktiivin piirissä olevat toimijat hallitsevat riskiarvioinnit kriittisiin tietojärjestelmiin kohdistuvista kyberuhkista.

Lisäksi ilmoitus- ja raportointivaatimuksia laajennetaan siten, että yritysten on ilmoitettava kaikista merkittävistä häiriöistä, jotka vaikuttavat palveluiden toimittamiseen, ja kaikista merkittävistä kyberuhkista, jotka ovat voineet johtaa häiriöihin. Yritykset ovat velvollisia ilmoittamaan viipymättä valvontaviranomaiselle kaikista merkittävistä tietoturvapoikkeamista. Vähäisemmistä poikkeamista ilmoittaminen on vapaaehtoista, mutta suositeltavaa.

Direktiivi edellyttää myös lisääntynyttä koulutusta sekä johdolle että henkilöstölle, jotta he pystyvät ennakoimaan ja arvioimaan riittävällä tasolla kyberuhkiin liittyviä riskejä.

Täysin uutta NIS2-direktiivissä on, että direktiivin piiriin kuuluvalla yrityksellä on lain myötä velvollisuus dokumentoida yrityksen tietoturvatoimenpiteet ja taso entistä kattavammin.

Kuten aina uusien lakien voimaan astuessa, tietyt käytännöt tarkentuvat vasta loppumetreillä. Myös NIS2-direktiivin ja sen suomalaisia yrityksiä koskettavan kansallisen lain puitteissa tapahtuu tarkennuksia, joten aihe varmasti puhuttaa monissa kahvipöydissä vielä kuluvan syksyn aikana.

Fellowmind ja Microsoftin tietoturvaratkaisut - jatkuvaa työtä paremman tietoturvan eteen

Fellowmindin tietoturva-asiantuntijat yhteistyössä Microsoftin asiantuntijoiden ja ratkaisujen kanssa auttavat yritystäsi valmistautumaan NIS2-direktiivin vaatimuksiin. Tuemme yritystäsi alan parhaimpien tietoturvaratkaisujen käyttöönotossa ja niillä toteutettavassa yrityksen tietoturvan jatkuvassa monitoroinnissa.

Autamme sinua seuraavissa osa-alueissa:

  • Alan parhaimpien tietoturvaratkaisujen käyttöönotto.
  • Tietoturvahäiriöiden havaitseminen, estäminen ja selvittäminen.
  • Henkilöstön koulutus.
fellowmind-nis2-blogi-2.jpg

Otto Hintikka

Business & People Lead - Cloud Platforms

Otto on uudesta teknologiasta innostuva tulevaisuusoptimisti. Otta haluaa tukea Fellowmindin asiakkaiden liiketoiminnan kannattavuutta ja kasvua - digitalisaation, dataan pohjautuvien ratkaisujen ja teknologian avulla.

Ota yhteyttä: otto.hintikka@fellowmind.fi tai +358 44 572 3171