NIS2 Direktiivi: Mitä se tarkoittaa
ja ketä se koskee?

EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö

EU:n verkko- ja tietoturvadirektiivin (NIS2) tavoitteena on parantaa tietoturvallisuuden yleistä tasoa. Sen siirtymäaika on parhaillaan käynnissä. Direktiivi asettaa vaatimuksia useille toimijoille eri toimialoilla ja sisältää mahdollisuuden sanktioihin yrityksen ylimmälle johdolle, mikäli vaatimuksia ei noudateta. 

Artikkelissa käsittelemme direktiivin soveltamisalaa, keskeisiä vaatimuksia sekä mahdollisia
ratkaisuja, miten JMJping voi auttaa direktiivin soveltamisessa.

Mitä toimialoja NIS2-direktiivi koskee?

NIS2-direktiivi koskee laajaa kirjoa yrityksiä ja organisaatioita eri toimialoilla:

Energia

Liikenne

Pankit ja muu finanssimarkkinoiden infrastruktuuri

Terveydenhuolto ja juomavesi

Jätehuolto ja jätevesi

Digitaalinen infrastruktuuri

CDN, konesalit, teleoperaattorit ja IT-palveluntarjoajat

TVT-palveluiden hallinta

Posti- ja kuriiripalvelut

Kemikaalien valmistus, tuotanto ja jakelu

Elintarvikkeiden valmistus, tuotanto ja jakelu

Valmistus

mm. lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset laitteet, sähkölaitteet, muut koneet ja laitteet sekä kulkuneuvot

Tutkimustoiminta

Avaruus

Julkishallinto

Ketkä kuuluvat NIS2-direktiivin soveltamisalaan?

1. Yritys tai organisaatio, joka on kooltaan vähintään keskisuuri ja jonka pääasiallinen toiminta kuuluu johonkin määritetyistä toimialoista sekä täyttää toimijatyyppimääritelmän. 

2. Organisaatio on CER-direktiivin mukaisesti määritelty kriittinen toimija koosta riippumatta.

3. Yritys koosta riippumatta, jos toimiala on:

• Yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestipalvelujen tarjoaja
• Luottamuspalvelun tarjoaja
• Aluetunnusrekisteri tai nimipalveluntarjoaja
• Palvelun tarjoaja kuuluu erityisluokkiin ja säädetty soveltamisesta asetuksella koosta riippumatta: yhteiskunnan kriittisten toimintojen ylläpitäminen, häiriön merkittävä vaikutus yl. järjestykseen, yl. turvallisuuteen tai kansanterveyteen, häiriön merkittävä systeeminen riski (rajat ylittävin vaikutuksin) taikka erityisen suuri merkitys kansallisella tai alueellisella tasolla.

 

Mitä vaatimuksia direktiivi asettaa ja miten JMJpingillä voidaan auttaa niiden soveltamisessa?

NIS2-direktiivi asettaa yrityksille ja organisaatioille useita tiukkoja vaatimuksia, jotka edellyttävät huolellista valmistautumista. Yhteensopivuus edellyttää kokonaisvaltaista lähestymistapaa kyberturvallisuuteen. Listasimme alle viisi keskeisintä vaatimusta, ja JMJpingin palveluiden tarjoamia ratkaisuja näiden haasteiden hallinnassa. Syvällinen asiantuntemus on ratkaiseva tekijä organisaatioille, jotka valmistautuvat vastaamaan NIS2-direktiivin tuomiin vaatimuksiin.

1

Organisaation laatima suunnitelma ja ohjeistus tietoturvakäytännöistä. Se määrittelee, miten tietoturvaa hallitaan ja mitkä ovat organisaation tavoitteet. Tietoturvan suunnittelu liittyy käytännön toimenpiteisiin ja strategioihin, joilla nämä tavoitteet saavutetaan.

2

Riskienhallinta on prosessi, jossa tunnistetaan, arvioidaan ja hallitaan mahdollisia uhkia ja riskejä organisaation toiminnassa. Haavoittuvuuksien hallinnassa pyritään tunnistamaan tietojärjestelmien heikkoudet ja korjaamaan ne ennen mahdollisia hyökkäyksiä.

3

Suunnitelma ja toimenpiteet, joilla varmistetaan, että organisaatio voi jatkaa toimintaansa mahdollisimman häiriöttä myös poikkeustilanteissa, kuten katastrofeissa tai tietoturvaongelmissa.

4

Tietoturvan valvonta on prosessi, jossa seurataan jatkuvasti tietojärjestelmien toimintaa ja liikennettä mahdollisten poikkeavuuksien ja uhkien havaitsemiseksi.

5

NIS2 edellyttää, että yritykset toimittavat valvovalle viranomaiselle ilmoituksen 24 tunnin kuluessa tietoturvaloukkauksista tai muista merkittävistä tapahtumista. JMJ Lokivahti, keskitetty lokienhallinta kerää tarvittavia lokitietoja infrastruktuuristasi. Reagointi ja tapahtumien käsittely sekä tutkinta nopeutuu.

Lisäksi...

investoinnit ikoni

Investoi jatkuvaan koulutukseen

Henkilöstölle tarjottava koulutus ja tietoisuuden lisääminen ovat keskeisiä toimenpiteitä, joilla varmistetaan, että työntekijät ovat tietoisia organisaation tietoturvamenettelyistä. 

toimitusketjun turvallisuus

Huomioi toimitusketjun turvallisuus

NIS2 edellyttää, että yritykset ymmärtävät perusteellisesti mahdolliset riskit, joten myös toimittajat ja palveluntarjoajat pitää arvioida haavoittuvuuksien varalta.

tarkistukset ikoni

Auditiointi ja tarkistukset

Ulkopuolisen tahon tekemä tarkastus tai auditointi on tehokas tapa varmistua, että NIS2-direktiivin vaatimukset täyttyvät.

NIS2-direktiivin vakavuus korostuu, mikäli vaatimuksia ei noudateta. Direktiivi mahdollistaa hallinnolliset sakot, joiden suuruus voi olla enintään 10 miljoonaa euroa tai 2 % yrityksen liikevaihdosta. Lisäksi ylimmän johdon henkilökohtainen vastuu voi tulla kyseeseen säännösten rikkomisesta.

Me JMJpingillä tarjoamme kattavan valikoiman ratkaisuja auttaaksemme yrityksiä täyttämään NIS2-direktiivin vaatimukset ja parantamaan tietoturvatasoaan.