Euroopan unionin verkko- ja tietoturvadirektiivi (NIS2) tuo merkittävän päivityksen sääntelykehykseen, jonka tarkoituksena on parantaa kriittisten alojen kyberturvallisuutta kaikkialla Euroopan unionissa. NIS2:n täytäntöönpanon määräaika lähestyy. Tiedätkö, onko organisaatiosi noudatettava direktiiviä, ja mitä uusia vaatimuksia direktiivi tuo?
NIS2 on jatkoa ensimmäiselle kyberturvallisuusdirektiiville, joka otettiin käyttöön vuonna 2016 ja pantiin täytäntöön vuonna 2018. NIS2:n tavoitteena on vahvistaa verkko- ja tietojärjestelmien turvallisuutta Euroopan unionissa. Uusi direktiivi laajentaa soveltamisalaa kattamaan useampia aloja ja digitaalisia palveluja, ja tiukentaa kriittisten palvelujen tarjoajien ja digitaalisten palvelualustojen tietoturvavaatimuksia. Direktiivin tavoitteena on yhdenmukaistaa jäsenvaltioiden kyberturvallisuuskäytäntöjä ja varmistaa vahva kollektiivinen vastustuskyky kyberuhkia vastaan.
Arvioi tarkistuslistan avulla, kuuluuko yrityksesi NIS2:n soveltamisalaan:
Erittäin kriittiset toimialat | Muut kriittiset toimialat |
---|---|
Energia |
Digitaalisen palvelun tarjoajat
Esim. Verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat |
Liikenne | Posti- ja kuriiripalvelut |
Pankkiala | Jätehuolto |
Finanssimarkkinoiden infrastruktuurit | Elintarvikkeet |
Terveydenhuolto | Kemikaalit |
Juomavesi | Tutkimustoiminta |
Jätevesi | Valmistus |
Digitaalinen infrastruktuuri Esim. Hyväksytyt luottamuspalveluntarjoajat, Ei-hyväksytyt luottamuspalveluntarjoajat, DNS-palveluntarjoajat (lukuun ottamatta juurinimipalvelimia), Aluetunnusrekisterit, Yleisten sähköisten viestintäverkkojen tarjoajat, Yleisesti saatavilla olevat sähköisten viestintäpalveluiden tarjoajat, Internetin yhdysliikennepisteiden tarjoajat, Pilvipalveluntarjoajat, Datakeskuspalveluntarjoajat, Sisällönjakeluverkkojen tarjoajat |
Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat |
Yritysten välinen TVT-palvelujenhallinta | |
Julkishallinto | |
Avaruus |
Organisaatio katsotaan suureksi seuraavien kriteerien perusteella:
Organisaatiota katsotaan keskikokoiseksi seuraavien kriteerien perusteella:
TÄRKEÄÄ: NIS2-direktiiviä sovelletaan koosta riippumatta, kun:
Jos vastasit "kyllä" johonkin näistä kysymyksistä, yrityksesi on todennäköisesti noudatettava NIS2-direktiiviä.
Liiketoiminnan jatkuvuus: Laadi liiketoiminnan jatkuvuussuunnitelma(t), mukaan lukien varmuuskopioinnin hallintaa ja palautumissuunnitelmaa (disaster recovery) koskevat ohjeistukset, ja ylläpidä niitä.
Toimitusketjun turvallisuus: Varmista toimitusketjujen turvallisuus hallinnoimalla toimittajia ja palveluntarjoajia ja arvioimalla alihankkijoiden turvallisuuskäytännöt.
Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus: Integroi turvallisuus järjestelmien elinkaareen, huomioiden mm. haavoittuvuuksien hallinta ja turvalliset ohjelmistokehityskäytännöt.
Kyberturvallisuuskoulutus: Tarjoa kaikille työntekijöille säännöllistä koulutusta, joka auttaa toimimaan oikein ja kattaa perustason kyberhygieniakäytännöt.
Salauskäytännöt (kryptografia): Ota käyttöön salauskäytännöt arkaluonteisten tietojen suojaamiseksi.
Pääsynhallinta: Henkilöstöturvallisuus (henkilöiden toiminnasta yritykselle aiheutuvien riskien hallintaa), mukaan lukien pääsynhallinta ja suojattavan omaisuuden hallinta (asset management).
2. Suorita puutearviointi (Gap Analysis):
EU:n jäsenvaltioilla on 17. lokakuuta 2024 asti aikaa soveltaa direktiivi osaksi kansallista lainsäädäntöä. Organisaatioiden tulee noudattaa direktiiviä tähän päivämäärään mennessä.
NIS2-vaatimusten noudattamisen varmistamisessa ei ole kyse vain sääntelyvaatimusten täyttämisestä, vaan myös organisaatiosi toimintojen ja laajemman digitaalisen ekosysteemin suojaamisesta. Ennakoivilla toimilla voit varautua häiriötilanteisiin sekä parantaa organisaation häiriönsietokykyä.
CyberCoach voi auttaa sinua täyttämään NIS2-tietoturvakoulutuksen, häiriöraportoinnin
ja jatkuvan riskinarvioinnin vaatimukset yhdellä helpolla ratkaisulla suoraan Teams/Slackissa.