NIS2-direktiivi on merkittävä edistysaskel Euroopan unionin kyberturvallisuusstrategiassa. NIS2 rakentuu vuoden 2016 alkuperäisen verkko- ja tietojärjestelmien (NIS) direktiivin perustalle, ja vastaa dynaamisen kyberturvallisuusympäristön verkko- ja tietojärjestelmien lisääntyviin uhkiin koko EU:ssa. Tämä päivitetty direktiivi esittelee tiukempia ja kattavampia toimenpiteitä, joilla varmistetaan korkea yhdenmukainen kyberturvallisuuden taso jäsenvaltioiden kesken, ja joka kattaa laajemman joukon aloja ja toimijoita.

NIS2 laajentaa kattavuusaluettaan sisällyttäen mukaan kriittisiä aloja, kuten digitaalinen infrastruktuuri, julkishallinto ja olennaisten tuotteiden valmistus. Se korostaa vankkojen riskienhallintakäytäntöjen, tapahtumailmoitusten ja toimitusketjun turvallisuuden tärkeyttä.

NIS2:n kulmakivenä on keskittyminen elintärkeiden talouden ja yhteiskunnan palveluiden turvallisuuden parantamiseen. Näihin kuuluvat energiasektori, liikenne, terveydenhuolto, rahoitus ja digitaalinen infrastruktuuri. Direktiivi tuo mukanaan myös tiukempia seuraamuksia sen noudattamatta jättämisestä, mikä kannustaa yrityksiä priorisoimaan kyberturvallisuutta ja toteuttamaan ennakoivia toimenpiteitä järjestelmiensä ja tietojensa suojaamiseksi.

Aikana, jolloin uhat ovat yhä kehittyneempiä ja yleisempiä, NIS2 varmistaa, että EU:n jäsenvaltiot ja niissä toimivat yritykset ovat paremmin varautuneita ehkäisemään, havaitsemaan ja reagoimaan kyberturvallisuusongelmiin. Parantamalla yhteistyötä ja panostamalla yhdenmukaistettuihin standardeihin, NIS2 pyrkii rakentamaan turvallisemman ja kestävämmän digitaalisen ekosysteemin, lisäten luottamusta ja uskoa modernia taloutta tukeviin digitaalisiin palveluihin.

Varmistaaksesi vaatimustenmukaisuuden ja vähentääksesi kyberturvariskejä, on tärkeää ymmärtää, kuuluuko yrityksesi NIS2 -direktiivin soveltamisalaan. Tämä tarkistuslista tarjoaa jäsennellyn lähestymistavan velvoitteiden määrittämiselle NIS2:n puitteissa. Lista sisältää sektorin tunnistamisen, toimijan sekä kyberturvallisuuskäytäntöjen arvioinnin.

1. Tunnista toimialasi
   • Toimiiko yrityksesi jollakin seuraavista aloista?
     • Energia (sähkö, öljy, kaasu)
     • Liikenne (ilma, rautatie, vesi, tie)
     • Pankkitoiminta
     • Rahoitusmarkkinainfrastruktuurit
     • Terveys (terveydenhuollon tarjoajat, sairaalat)
     • Juomaveden jakelu
     • Digitaalinen infrastruktuuri (tietoliikenteen vaihtopisteet, DNS-palveluntarjoajat, TLD-nimirekisterit)
     • Julkishallinto
     • Avaruus
     • Digitaaliset palvelut (verkkokaupat, hakukoneet, pilvipalvelut)
     • Tärkeiden tuotteiden valmistajat (esim. lääkinnälliset laitteet, lääkkeet, kemikaalit)
       
       
2. Arvioi toimijatyyppisi
   • Oletko palveluntarjoaja, joka on olennainen tai tärkeä yhteiskunnan ja talouden kannalta kriittisten toimintojen ylläpitämisessä?
   • Oletko digitaalisten palvelujen tarjoaja, esimerkiksi pilvipalvelut, verkkokaupat tai hakukoneet?
3. Yrityksesi koko
   • Ylittääkö yrityksesi seuraavat kriteerit:
     • Yli 50 työntekijää?
     • Vuosiliikevaihto tai vuosittainen tase yli 10 miljoonaa euroa?
       
       
4. Arvioi kyberturvallisuuskäytäntöjäsi
   • Onko yritykselläsi vakiintuneet kyberturvallisuuden riskienhallintakäytännöt?
   • Ovatko nämä käytännöt dokumentoitu ja säännöllisesti päivitetty?
   • Onko käytössäsi toimenpiteitä kyberturvallisuusongelmien havaitsemiseksi, niihin vastaamiseksi ja niistä toipumiseksi?
     
     
5. Tapahtumailmoitukset
   • Onko yrityksessäsi määritelty menettelytapa merkittävien kyberturvallisuustapahtumien ilmoittamiseksi asiaankuuluville viranomaisille vaaditussa ajassa?
     
     
6. Toimitusketjun turvallisuus
   • Oletko arvioinut toimittajiesi ja kolmansien osapuolten palveluntarjoajien kyberturvallisuuskäytännöt?
   • Oletko varmistanut, että toimittajasi noudattavat vastaavia kyberturvallisuusstandardeja?
     
     
7. Kansallisen lainsäädännön noudattaminen
   • Oletko tietoinen ja noudatatko NIS2-direktiivistä johdettua kansallista lainsäädäntöä niissä maissa, joissa toimit?
     
     
8. Yhteistyö ja koordinointi
   • Onko sinulla mekanismeja yhteistyöhön kansallisten ja EU:n kyberturvallisuusviranomaisten kanssa?
   • Oletko valmis osallistumaan laajamittaisten kyberongelmien koordinoituun vastaamiseen?
9. Seuraamukset noudattamatta jättämisestä
   • Oletko tietoinen mahdollisista seuraamuksista NIS2-vaatimusten noudattamatta jättämisestä?
     
     
10. Jatkuva seuranta ja parantaminen
    • Tarkistatko ja päivitätkö säännöllisesti kyberturvallisuustoimenpiteitäsi ja suunnitelmia, miten tapahtumiin vastataan?
    • Pysytteletkö ajan tasalla viimeisimmistä kyberturvallisuusuhkista ja parhaista käytännöistä?

Kun olet tunnistanut yrityksesi vaatimustenmukaisuusvaatimukset, on tärkeää toteuttaa toimenpiteet NIS2-standardien täyttämiseksi. Seuraavat askeleet esittelevät, kuinka voit yrityksessäsi kehittää ja ylläpitää kattavaa kyberturvallisuusstrategiaa, varmistaen jatkuvan suojan ja sääntelyvelvoitteiden noudattamisen.
 

1. Arvioi riskit
   • Tunnista ja arvioi verkko- ja tietojärjestelmiesi riskit.
     
     
2. Kehitä kyberturvallisuusstrategia
   • Luo kattava kyberturvallisuusstrategia, joka sisältää suunnitelmat riskienhallintaan, tapahtumiin vastaamiseen ja palautumiseen.
     
     
3. Toteuta turvallisuustoimenpiteitä
   • Sovella asianmukaisia teknisiä ja organisatorisia toimenpiteitä riskien hallitsemiseksi ja järjestelmien suojaamiseksi.
     
     
4. Kouluta työntekijöitä
   • Varmista, että henkilöstösi on tietoinen kyberturvallisuusriskeistä ja koulutettu noudattamaan parhaita käytäntöjä.
     
     
5. Suunnittele tapahtumailmoitusmenettelyt
   • Aseta selkeä prosessi kyberturvallisuustapahtumien ilmoittamiseksi asiaankuuluville viranomaisille.
     
     
6. Seuraa ja tarkasta
   • Seuraa jatkuvasti järjestelmiäsi uhkien varalta ja suorita säännöllisiä tarkastuksia vaatimustenmukaisuuden varmistamiseksi.
     
     
7. Tee yhteistyötä viranomaisten kanssa
   • Viesti avoimesti kansallisten ja EU:n kyberturvallisuusviranomaisten kanssa saadaksesi ohjausta ja tukea.