NIS2 – KYBERTURVALLISUUSDIREKTIIVI (Directive of Security of Network and Information Systems) direktiivin tavoitteena on vahvistaa ja yhdenmukaistaa jäsenvaltioiden ja EU:n yhteistä kyberturvallisuustasoa tietyillä yhteiskunnan sektoreilla. Direktiivissä esitetään kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet merkittävistä poikkeamista. Velvoitteet ovat vähimmäistason velvoitteita, jotka vastaavat muuttuneeseen kybertoimintaympäristöön.

  • Kyberturvallisuusdirektiivissä määritetään kyberturvallisuusriskien hallintatoimien ja raportointivelvoitteiden vähimmäistaso kaikille direktiivin soveltamisalaan kuuluville aloille.
  • Siinä vahvistetaan sääntelykehyksen vähimmäissäännöt ja mekanismit jäsenmaiden asiaankuuluvien viranomaisten tehokasta yhteistyötä varten.
  • Sisältää päivitetyn luettelon toimialoista ja toiminnoista, joita kyberturvallisuusvelvoitteet koskevat, ja siinä säädetään oikeussuojakeinoista ja seuraamuksista, joilla varmistetaan, että sääntöjen noudattamista valvotaan.
  • Lainsäädännöllä myös sujuvoitetaan raportointivelvoitteita, jotta vältettäisiin liiallinen raportointi eikä aiheutettaisi kohtuutonta rasitusta toimijoille, joihin direktiiviä sovelletaan.

NIS2-direktiivi on tullut voimaan 16.1.2023 ja sen vaatimukset tulee saattaa osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024.

  • Tällä direktiivillä pyritään erityisesti korjaamaan puutteet, jotka liittyvät keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien väliseen erotteluun, joka on osoittautunut vanhanaikaiseksi, koska se ei kuvasta toimialojen tai palvelujen merkitystä yhteiskunnalliselle ja taloudelliselle toiminnalle sisämarkkinoilla.

NIS2-direktiivin velvoitteet koskevat organisaatioita, jotka toimivat valtion toiminnan kannalta kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria. Kriittiset toimialat on direktiivissä jaoteltu erittäin kriittisiin toimialoihin sekä muihin kriittisiin toimialoihin, toimijoiden jaottelu keskeisiin ja tärkeisiin toimijoihin.

Uudet toimialat

Energia (vety- ja latauspisteiden palveluntarjoajat).  Jätevesi. Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN, konesalit). TVT-palvelujen hallinta (yritysten välinen). Julkishallinto. Avaruus. Posti- ja kuriiripalvelut. Jätehuolto. Kemikaalien valmistus, tuotanto ja jakelu. Elintarvikkeiden tuotanto, jalostus ja jakelu. Valmistus (mm. lääkintälaitteet, tietokoneet, sähkölaitteet, kulkuneuvot). Digitaalisen palvelun tarjoajat (verkkoyhteisöalustojen tarjoajat). Tutkimustoiminta.

NIS2-direktiivi velvoittaa organisaatiot toteuttamaan teknisiä, operatiivisia ja organisatorisia toimenpiteitä kyberturvallisuuden parantamiseksi.

Johdon vastuu

Organisaatioiden johdolla on vastuu kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisestä ja valvonnasta. Johto voidaan saattaa henkilökohtaiseen vastuuseen, jos organisaatio laiminlyö velvollisuutensa ottaa käyttöön direktiivin mukaiset kyberturvallisuusriskien hallintatoimenpiteet. Johdolla on lisäksi velvollisuus osallistua koulutukseen kyberturvallisuusriskeihin ja niiden hallintaan liittyen.

Hallintatoimenpiteet

Organisaatioiden tulee ottaa käyttöön toimenpiteitä hallitakseen kyberriskejä, joita kohdistuu niiden toiminnoissaan ja palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen, sekä estääkseen ja minimoidakseen poikkeamista aiheutuvia vaikutuksia. Riskienhallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden taso suhteutetaan organisaatioiden riskeihin huomioiden toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus.

Toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta. Riskienhallintavelvoitteisiin sisältyy mm. riskianalyysit, toiminnan jatkuvuuden hallinta, poikkeamien käsittely ja havainnointi.

Niihin on sisällyttävä vähintään seuraavat:

  1. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
  2. poikkeamien käsittely;
  3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
  4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
  5. verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
  6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
  7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
  8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
  9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
  10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Raportointi ja valvonta

Organisaatioiden tulee raportoida merkittävistä poikkeamista valvovalle viranomaiselle ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun tilanne on tullut toimijan tietoon, ja edelleen yksityiskohtaisemmin ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa ja mahdollinen väliraportti. Lisäksi viranomaiselle tulee toimittaa loppuraportti viimeistään kuukauden kuluttua poikkeamailmoituksen toimittamisesta joka sisältää seuraavat tiedot:

  • yksityiskohtainen kuvaus poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien;
  • poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyyppi;
  • toteutetut ja meneillään olevat toimenpiteet vaikutusten lieventämiseksi;
  • tapauksen mukaan poikkeaman rajatylittävät vaikutukset.

Valvovalle viranomaiselle voi ilmoittaa vapaaehtoisesti myös muista kuin merkittävistä poikkeamista, kyberuhkista ja läheltä piti –tilanteista. Tarvittaessa häiriöstä tai sen uhasta on ilmoitettava myös palvelujen vastaanottajille.

Poikkeama katsotaan merkittäväksi, jos

  • se on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellisia tappioita;
  • poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Aikataulu

Yhtenä osa-alueena suositus sisältää perustason kyberhygieniakäytännöt. Kyberhygieniakäytännöt kuvaavat sitä, millaisilla toimilla organisaatio voi suojautua yleisimmiltä internetin uhkilta. Kyberhygieniakäytännöt ovat vain yksi osa NIS2-direktiivin edellyttämistä kyberturvallisuuden riskienhallinnan toimenpiteistä.

  • Alkuvuosi 2024: Suositus kyberhygieniakäytännöistä julkaistaan
  • Kevät 2024: NIS2-lakipaketin eduskuntakäsittely alkaa; suositus lausuntokierrokselle lausuntopalvelussa
  • Kesä 2024: NIS2-lait vahvistetaan ja suositus julkaistaan lain vahvistamisen jälkeen
  • Syksy 2024: NIS2-lakipaketin on tarkoitus tulla voimaan

Yhteenveto

  • Kyberturvallisuusdirektiivin (NIS2) tavoitteena on vahvistaa sekä EU:n yhteistä, että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta.
  • Direktiivissä osoitetaan yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet kyberhäiriöistä.
  • Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä. Riskien hallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden tasoa määritettäessä täytyy huomioida muun muassa toimijoiden erilainen altistuminen riskeille sekä toimijan koko.
  • Toimijoiden olisi myös ilmoitettava merkittävistä poikkeamista viranomaisille sekä tilanteesta riippuen palvelujensa vastaanottajille.
  • Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita.