Digitaalinen uhka ympäröi nykyään organisaatioita monelta suunnalta, ja siksi kyberturvallisuus on noussut keskeiseksi kysymykseksi niin lukuisilla toimialoilla kuin koko yhteiskunnassa. Tätä monipuolistuvaa haastetta vastaan on EU:ssa säädetty uusi NIS2-direktiivi, jolla on vaikutuksia monen yrityksen arkeen.
NIS2-kyberturvallisuusdirektiivissä määritellään kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden vähimmäistaso kaikilla direktiivin soveltamisalaan kuuluvilla toimialoilla. Astuessaan voimaan vuoden 2025 aikana myös Suomessa se koskee kriittisillä aloilla toimivia organisaatioita 50 henkilöä tai enemmän työllistävistä yrityksistä, jos niiden liikevaihto on yli 10 miljoonaa euroa. Jos henkilöstöä on 250 tai enemmän, organisaatio kuuluu automaattisesti NIS2:n soveltamisalaan.
”Käytännössä NIS2-direktiivi ulottuu myös tätä pienempiin yrityksiin, jos ne toimivat alihankintaketjussa isompien kanssa. Nämä tulevat edellyttämään direktiivin mukaista kyberturvaa koko toimitusketjultaan – aivan samoin kuin ESG:n kanssa. Vastuullinen liiketoiminta on tietoturvallista liiketoimintaa”, DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto.
NIS2 vaikuttaa monin tavoin yritysten tietoturvastrategioihin, erityisesti kriittisillä toimialoilla. Kannon mukaan tämä muutos voi olla mahdollisuus parantaa yritysten tietoturvastrategioita, jotka aiemmin eivät välttämättä olleet selkeitä tai riittävän resursoituja.
”NIS2 on hyvä kokoelma tietoturvapraktiikoita kuten tietoturvastrategiaa, hallintamalleja, jatkuvuutta, teknologiaa ja koulutusta. Viimeistään nyt on aika ryhtyä tarvittaviin toimenpiteisiin”, Kanto sanoo.
Katso videolta, miten NIS2-direktiivi vaikuttaa yrityksenne arkeen.
Kilpailuetua ja standardinomaista sääntelyä
Keskeisten ja tärkeiden toimijoiden on jatkossa noudatettava monenlaisia perustason kyberhygieniakäytäntöjä:
- Zero Trust Architecture (ZTA), eli nollaluottamuksen periaate
- Ohjelmistopäivitykset
- Laitteiden konfigurointi
- Verkon segmentointi
- Identiteetin ja pääsynhallinta
- Käyttäjien tietoisuuden lisääminen, henkilöstökoulutus kyberuhkista, verkkourkinnasta ja käyttäjän manipuloinnista
Kanto muistuttaa, että organisaatioissa huolta aiheuttaneesta GDPR-direktiivistäkin on selvitty hyvillä ja oikein mitoitetuilla toimilla. Tietosuoja-asetuksen tavoin NIS2:ssa on säädetty sanktioita kyberturvallisuuden laiminlyömisestä. Ne tulevat olemaan jopa 10 miljoonaa euroa tai 2 prosenttia toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi.
Vaikka NIS2-direktiiviin liittyy uhkasakkoja ja rangaistusmaksuja niille, jotka eivät noudata sääntelyä, Kanto näkee tämän positiivisena haasteena, joka voi nostaa koko Euroopan kyberturvallisuustasoa. Direktiivi asettaa yllä olevia vaatimuksia, mutta samalla se tarjoaa mahdollisuuksia kehittää ja integroida tietoturva osaksi liiketoimintaa.
"Se, miten yritys kohtaa NIS2-direktiivin, vaikuttaa sen kykyyn toimia osana toimitusketjuja ja saada luottamusta asiakkailta Euroopan laajuisesti. NIS2 ei ole vain rasite, vaan myös tilaisuus kehittää vastuullista ja kestävää liiketoimintaa", Kanto huomauttaa.
Vastuu kyberturvallisuudesta johtoryhmälle
Yksi NIS2:n tuomista muutoksista on tieturvavastuun nousu johtoryhmään asti. Hallintoelinten jäsenet voidaan saattaa myös henkilökohtaiseen vastuuseen, jos organisaatio laiminlyö velvollisuutensa ottaa direktiivin mukaiset kyberturvallisuusriskien hallintatoimenpiteet ja/tai raportointivelvoitteet käyttöön määräaikaan mennessä.
”Johdolla on lisäksi velvollisuus osallistua kyberturvallisuusriskeihin ja niiden hallintaan liittyviin koulutuksiin. Tämä kaikki tarkoittaa, että yritysjohto on entistä enemmän vastuussa tietoturvasta. Se voi myös helpottaa IT-tietoturvan hallintaa ja sen budjetointia", Kanto korostaa.
DNA tarjoaa asiantuntemustaan ja palveluitaan auttaakseen yrityksiä varmistamaan, että ne täyttävät NIS2-direktiivin vaatimukset. Kanto painottaa, että DNA on valmis olemaan kyberturvallisuuden strateginen kumppani yrityksille, tarjoten osaamista ja ratkaisuja, jotka auttavat saavuttamaan direktiivin vaatimukset tehokkaasti ja kestävästi.
NIS2-direktiivi herättää huolta, mutta Kanto näkee siinä tilaisuuden kehittää ja vahvistaa yritysten kyberturvallisuutta.
"Emme halua pelotella tai aiheuttaa ahdistusta asiakkaillemme. Tavoitteemme on yksinkertaistaa ja avustaa heitä tällä kyberturvallisuuden polulla, mikä varmistaa liiketoiminnan jatkuvuuden", hän kiteyttää.
Myös Kyberrosvot-podcastin jaksossa 9 keskusteltiin NIS2-direktiivistä ja sen vaikutuksista kyberhyökkäyksiin. Kuuntele jakso!
Ota yhteyttä DNA:n asiantuntijoihin, niin et kohtaa haastetta yksin!
Artikkeli päivitetty 13.12.2024. Alunperin artikkeli on julkaistu 28.11.2023.
