Onnea, Eurooppa!

Organisaatioiden olisi perustettava ja ylläpidettävä tietoturvallisuuden hallintajärjestelmää, joka mahdollistaa järjestelmällisen ja ennakoivan lähestymistavan riskienhallintaan.

Organisaatioiden on luotava asianmukaiset valmiudet verkkohyökkäysten estämiseksi ja torjumiseksi. Jotta tämä onnistuisi tehokkaasti, organisaatioiden on tunnistettava:

• niiden merkittävimmät haavoittuvuudet
• kyberturvallisuustoimenpiteet, joita tarvitaan haavoittuvuuden hyväksikäytön riskin minimoimiseksi.
• miten organisaatio havaitsee mahdolliset vaaratilanteet ja reagoi niihin.

Direktiivissä edellytetään nimenomaisesti, että ”olennaiset ja tärkeät yhteisöt toteuttavat asianmukaisia ja oikeasuhteisia teknisiä, toiminnallisia ja organisatorisia toimenpiteitä hallitakseen niiden verkko- ja tietojärjestelmien turvallisuuteen kohdistuvia riskejä, joita nämä yhteisöt käyttävät toiminnassaan tai palvelujensa tarjoamisessa, ja estääkseen tai minimoidakseen vaaratilanteiden vaikutukset palvelujensa vastaanottajiin ja muihin palveluihin.”

Organisaatioiden tulisi suunnitella, miten ne reagoivat hyökkäykseen. Asianomaiset sidosryhmät on koulutettava ja laadittava suunnitelmat liiketoiminnan jatkuvuuteen vaikuttavien häiriötilanteiden käsittelemiseksi sekä häiriöistä ja mahdollisista käyttökatkoksista toipumiseksi.

Organisaatioiden on arvioitava ja hallittava toimitusketjunsa haavoittuvuuksien aiheuttamia riskejä. Tämä vaatimus kannustaa organisaatioita tekemään yhteistyötä toimittajiensa kanssa ja varmistamaan, että kaikki osapuolet ymmärtävät toimitusketjuun kuulumiseen liittyvät riskit riippumatta siitä, mitä toimitetaan.

Organisaatioiden verkkojen haavoittuvuudet on paljastettava. Organisaatioiden on oltava avoimia haavoittuvuuksien hallinnassa, tarjottava yleisölle keinot ilmoittaa haavoittuvuuksista ja varmistettava, että asianomaiset osastot voivat toimia tietojen perusteella.

Avoimuus tarkoittaa, että muut organisaatiot voivat toimia tietojen perusteella ja varmistaa, ettei niitä käytetä hyväksi tunnettujen haavoittuvuuksien avulla.

NIS2 edellyttää alustavaa raporttia 24 tunnin kuluessa siitä, kun organisaatio on saanut tietää ”merkittävästä” vaaratilanteesta, täydellistä raporttia 72 tunnin kuluessa ja loppuraporttia viimeistään kuukauden kuluttua vaaratilanneilmoituksen jättämisestä:

• yksityiskohtainen kuvaus vaaratilanteesta, mukaan lukien sen vakavuus ja vaikutukset.
• uhan tyyppi tai perimmäinen syy, joka todennäköisesti on aiheuttanut vaaratilanteen.
• sovelletut ja käynnissä olevat lieventämistoimenpiteet.
• tarvittaessa tapahtuman rajat ylittävä vaikutus.

”Merkittävällä” häiriötilanteella tarkoitetaan häiriötilannetta, joka on aiheuttanut tai voi aiheuttaa vakavaa häiriötä palvelun toiminnassa tai taloudellisia tappioita kyseiselle yhteisölle tai joka on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

NIS2 kannustaa tiiviiseen yhteistyöhön ja EU-tason tietojen jakamiseen jäsenvaltioiden välillä. Tämä mahdollistaa tehokkaan ja koordinoidun reagoinnin tietoverkkotapahtumiin sekä kansallisella että EU:n tasolla. NIS2 kannustaa myös jäsenvaltioita käyttämään verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiä eurooppalaisia ja kansainvälisiä standardeja ja teknisiä eritelmiä, mikä yhdenmukaistaa hyvien turvallisuuskäytäntöjen rakentamistapoja.