NIS2-direktiivi

EU:n verkko- ja tietoturvadirektiivin kansallinen soveltaminen alkaa vuonna 2024.

NIS2-direktiivi laajentaa soveltamisalaa

NIS2 eli verkko- ja tietoturvadirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. NIS2:ssa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista. Direktiivin myötä keskeisiä toimijoita valvotaan aktiiviisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat merkittävät. Direktiivin kansallinen soveltaminen eli sen kansalliseen lainsäädäntöön mukaan ottaminen on tehtävä viimeistään 17.10.2024.

Hyvä tietää NIS2-direktiivistä

Mikä muuttuu?

  • Direktiivin piiriin kuuluvien toimialojen (yritysten) määrä kasvaa
  • Riskienhallinta korostuu
  • Tietoturvaan lisää vaatimuksia
  • Viranomaisten valvonta ja ohjaus kasvaa
  • Mahdolliset sanktiot
  • Toimitusketjut hallintaan
  • Raportointivaatimukset tiukemmat

Sanktiot

  • Liiketoiminnan väliaikainen keskeyttäminen
  • Toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto
  • Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
  • Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta

Toimialat, joita direktiivi koskee

Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla. Direktiivi koskee myös kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä koosta riippumatta, toimijoille ilmoitetaan tästä. Toimijat jaetaan keskeisiin ja tärkeisiin toimijiin.

KESKEISET TOIMIJAT

Liikenne, energia, pankit, finanssimarkkinat, terveys, vesi- ja jätevesihuolto*, digitaalinen infrastruktuuri, julkishallinto (osa)*, avaruus*

*NIS2-direktiivissä lisätyt uudet toimialat

TÄRKEÄT TOIMIJAT

Posti-ja kuriiripalvelut*, jätehuolto*, kemikaalit*, elintarvikkeet*, tiettyjen laitteiden valmistus*, digitaalisen palvelun tarjoajat*, tutkimus*

*NIS2-direktiivissä lisätyt uudet toimialat

Tietoturva-arvioinnilla liikenteeseen

Vaatimustenmukaisuuden saavuttamiseksi on ensin oltava ajantasainen ymmärrys tietoturvan tilasta suhteessa tavoitetilaan. Helppo tapa lähteä liikenteeseen on NIS2-direktiivin vaatimuksiin peilaava tietoturva-arviointimme.

Hyödyt: Arvioinnilla saat kokonaisvaltaisen ymmärryksen ympäristönne tietoturvan tasosta verrattuna tiedossa oleviin NIS2-vaatimuksiin. Tämän pohjalta saat selkeän ja konkreettisen toimintasuunnitelman kohti NIS2-vaatimustenmukaisuutta.

Lopputulos: Kattava raportti, joka kostaa havainnot ja analysoi ne tiedossa olevia NIS2-direktiivin vaatimuksia vasten sekä listaa toimenpidesuositukset priorisoidusti.

Hinta: 5 400 €, alv 0 %

Tukea tavoitetilan saavuttamiseen

Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. seuraaviin osa-alueisiin:

Politiikat, suunnitelmat ja häiriönhallinta

Olemassa olevien suunnitelmien ja politiikkojen katselmointi ja parannusehdotusten laadinta. Häiriönhallintasuunnitelman (MIM-prosessi) laadinta ja työstäminen yhdessä asiakkaan kanssa vastaamaan asiakkaan tarpeita.

Verkkosuunnittelu ja IAM

Suunnittelupalvelujen kautta voimme laatia suunnitelman lokienhallinnan, verkon segmentoinnin tai identiteetin- ja pääsyhallinnan toteuttamiseksi. Voimme myös auttaa ratkaisujen toteuttamisessa.

Haavoittuvuuksien hallinta

Haavoittuvuuksien tunnistuspalvelun avulla haavoittuvuudet saadaan hallintaan ja pystytään varmistamaan ettei ympäristössä ole kriittisiä haavoittuvuuksia.

Toiminnan jatkuvuuden hallinta

Voimme auttaa tietoliikenteen salauksen, varmistuksien ja palautuksien sekä assettien hallinnan teknisen ratkaisun määrittelyssä ja toteuttamisessa.

Kyberturvakoulutukset

Valmentavien palveluiden kautta voimme laatia kertakoulutuksia tai vuosisuunnitelman koulutuksien pitämiseksi. Tietoturvatietosuutta kasvattavia koulutuksia voidaan pitää suomen ja englannin kielellä.

Fyysisen turvallisuuden ratkaisut

Direktiivissä myös fyysisen turvallisuuden varmistaminen tulee mukaan. Kokonaisvaltaisena yritysturvallisuuden kumppaninasi saat meiltä myös tarvitsemasi turvateknologiat.

Aktiivinen tietoturvan varmistaminen ja kehittäminen

Tietoturvan varmistaminen vaatii aktiivista työtä ja jatkuvaa kehittämistä – näin on myös NIS2-direktiivin kohdalla. NIS2 tavoittelee parempaa tietoturvan tasoa ja siksi valvonta on tärkeä osa vaatimuksenmukaisuutta. Myös riskienhallinta ja raportointi ovat olennainen osa vaatimuksia, ja siten myös tehtyjen toimenpiteiden vaikutusten arviointi ja todentaminen nousevat keskiöön.

CSOC

Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista. Kellon ympäri miehitetty kyberturvakeskuksemme pitää huolen siitä, että asiakkaamme voivat rauhassa keskittyä liiketoimintaansa.

vCISO - Hallinnoi ja seuraa tietoturvanne tilaa

vCISO:n avulla hallinnoit tietoturvaa ja vaatimustenmukaisuutta kokonaisvaltaisesti. Jatkuva tietoturvatason arviointi ja näkyvyys tietoturvan tilaan auttavat kehittämään ympäristöänne johdonmukaisesti ja hahmottamaan tehtyjen toimenpiteiden vaikutukset.