NIS 2 -direktiivi

NIS 2 -direktiivi on EU-direktiivi, jonka tavoitteena on varmistaa korkea yhteinen kyberturvallisuuden taso Euroopan unionissa. Se korvaa alkuperäisen NIS-direktiivin vuodelta 2016, ja siinä tiukennetaan turvallisuusvaatimuksia, käsitellään toimitusketjujen turvallisuutta ja otetaan käyttöön yhdenmukaistetut sanktiot. Euroopan parlamentti ja EU:n neuvosto hyväksyivät NIS 2 -direktiivin vuoden 2022 lopussa, ja sitä on sovellettu EU:ssa 18. lokakuuta 2024 alkaen. Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään.

NIS 2:ssa käsitellään ensisijaisesti yrityksiä koskevia vaatimuksia:

Kun NIS 1 -direktiiviä sovellettiin pääasiassa kriittisiin infrastruktuureihin ja asiaankuuluvien digitaalipalvelujen tarjoajiin, NIS 2 -direktiivi kattaa muun muassa valmistusteollisuuden: koneiden, tietojenkäsittelylaitteiden, elektronisten ja optisten tuotteiden, sähkölaitteiden, moottoriajoneuvojen ja moottoriajoneuvojen osien sekä muiden ajoneuvojen rakentaminen. Näillä aloilla tämä koskee yrityksiä, joilla on yli 50 työntekijää tai joiden vuotuinen liikevaihto tai tase on yli 10 miljoonaa euroa.

NIS 2 -vaatimustenmukaisuuden saavuttamiseksi asianomaisten organisaatioiden on toteutettava useita toimenpiteitä:

• Riskinhallinta: Prosessien toteuttaminen riskien tunnistamiseksi ja arvioimiseksi.
• Turvallisuustoimenpiteet: Teknisten ja organisatoristen toimenpiteiden käyttöönotto riskien vähentämiseksi.
• Tapahtumien raportointi: Turvallisuustapahtumien ilmoittamista toimivaltaisille viranomaisille koskevien menettelyjen käyttöönotto.
• Valvonta ja tarkastukset: Turvallisuustoimenpiteiden säännöllinen tarkastelu ja arviointi.

NIS 2 -direktiivin täytäntöönpanosta vastaavat EU:n jäsenvaltioiden kansalliset viranomaiset, joiden tehtävänä on valvoa ja varmistaa direktiivin noudattaminen. Saksassa vastuuviranomaisena toimii liittovaltion tietoturvavirasto (BSI).

Toimenpiteet:

1. Ilmoitusvelvollisuudet: Yritysten on ilmoitettava turvallisuustapahtumista. NIS 2:ssa otetaan käyttöön kolmiportainen raportointijärjestelmä avoimuuden ja reagointikyvyn parantamiseksi.
2. Valvontatoimenpiteet: BSI:llä on laajemmat valtuudet tehdä auditointeja ja tarkastuksia, joilla tarkistetaan turvallisuusvaatimusten noudattaminen.
3. Sanktiot: Direktiivin noudattamatta jättämisestä voidaan määrätä seuraamuksia, jotka vaihtelevat rikkomuksen vakavuuden mukaan.

Tuki ja neuvonta:
BSI tarjoaa asianomaisille yrityksille tukea ja neuvontaa NIS 2:n täytäntöönpanon helpottamiseksi. Yritysten tulisi ryhtyä ennakoiviin toimenpiteisiin IT-turvallisuutensa parantamiseksi ja valmistautua uusiin vaatimuksiin. Euroopan unionin kyberturvallisuusvirasto (ENISA) tarjoaa paljon hyödyllistä tietoa kyberturvallisuudesta.

NIS 2, kyberkestävyyssäädös ja koneasetus ovat osa kattavaa EU:n sääntelykehystä, jolla vahvistetaan kyberturvallisuutta ja -kestävyyttä. Kun NIS 2:ssa keskitytään verkkojen, tietojärjestelmien ja vaatimuksiin yritystasolla, kyberkestävyyssäädöksellä pyritään parantamaan digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta. Koneasetus täydentää näitä toimenpiteitä määrittelemällä koneiden ja teollisuustuotteiden turvallisuusvaatimukset.

• Muita Industrial Security -vaatimuksia (mm. IEC 62443)
• Euroopan unionin kyberturvallisuusvirasto (ENISA)