Kyberturvallisuusdirektiivi
NIS2-direktiivi yhdenmukaistaa eräiden yhteiskunnan kriittisten sektoreiden vähimmäistason kyberturvallisuusriskienhallinta- ja raportointivelvoitteita. Velvoitteet vastaavat muuttuneeseen kybertoimintaympäristöön.
- Kyberturvallisuusdirektiivissä määritetään kyberturvallisuusriskien hallintatoimien ja raportointivelvoitteiden vähimmäistaso kaikille direktiivin soveltamisalaan kuuluville aloille. Direktiiviä sovelletaan myös keskus- ja aluetasolla toimiviin julkishallintoihin.
- Siinä vahvistetaan sääntelykehyksen vähimmäissäännöt ja mekanismit jäsenmaiden asiaankuuluvien viranomaisten tehokasta yhteistyötä
- Sisältää päivitetyn luettelon toimialoista ja toiminnoista, joita kyberturvallisuusvelvoitteet koskevat, ja siinä säädetään oikeussuojakeinoista ja seuraamuksista, joilla varmistetaan, että sääntöjen noudattamista valvotaan.
- Lainsäädännöllä myös sujuvoitetaan raportointivelvoitteita, jotta vältettäisiin liiallinen raportointi eikä aiheutettaisi kohtuutonta rasitusta toimijoille, joihin direktiiviä sovelletaan.
NIS2-direktiivi tuli voimaan 16.1.2023 ja sen vaatimukset tulee saattaa osaksi kansallista lainsäädäntöä 16.10.2024 mennessä.
- Tällä direktiivillä pyritään erityisesti korjaamaan puutteet, jotka liittyvät keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien väliseen erotteluun, joka on osoittautunut vanhanaikaiseksi, koska se ei kuvasta toimialojen tai palvelujen merkitystä yhteiskunnalliselle ja taloudelliselle toiminnalle sisämarkkinoilla.
Hallintatoimenpiteet
Direktiivin mukaan riskien hallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden tasoa määritettäessä täytyy huomioida muun muassa toimijoiden erilainen altistuminen riskeille sekä toimijan koko.
Varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset.
Toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta, ja niihin on sisällyttävä vähintään seuraavat:
- riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
- poikkeamien käsittely;
- toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
- toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
- verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
- toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
- toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
- henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
- tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
Yhteenveto
- Kyberturvallisuusdirektiivin (NIS2) tavoitteena on vahvistaa sekä EU:n yhteistä, että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta.
- Direktiivissä osoitetaan yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet kyberhäiriöistä.
- Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä. Riskien hallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden tasoa määritettäessä täytyy huomioida muun muassa toimijoiden erilainen altistuminen riskeille sekä toimijan koko.
- Toimijoiden olisi myös ilmoitettava merkittävistä poikkeamista viranomaisille sekä tilanteesta riippuen palvelujensa vastaanottajille.
- Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa ja jätehuoltoa.