NIS2 Direktiivi: Mitä se tarkoittaa
ja ketä se koskee?
EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö
EU:n verkko- ja tietoturvadirektiivin (NIS2) tavoitteena on parantaa tietoturvallisuuden yleistä tasoa. Sen siirtymäaika on parhaillaan käynnissä. Direktiivi asettaa vaatimuksia useille toimijoille eri toimialoilla ja sisältää mahdollisuuden sanktioihin yrityksen ylimmälle johdolle, mikäli vaatimuksia ei noudateta.
Artikkelissa käsittelemme direktiivin soveltamisalaa, keskeisiä vaatimuksia sekä mahdollisia
ratkaisuja, miten JMJping voi auttaa direktiivin soveltamisessa.
Mitä toimialoja NIS2-direktiivi koskee?
NIS2-direktiivi koskee laajaa kirjoa yrityksiä ja organisaatioita eri toimialoilla:
Energia
Liikenne
Pankit ja muu finanssimarkkinoiden infrastruktuuri
Terveydenhuolto ja juomavesi
Jätehuolto ja jätevesi
Digitaalinen infrastruktuuri
CDN, konesalit, teleoperaattorit ja IT-palveluntarjoajat
TVT-palveluiden hallinta
Posti- ja kuriiripalvelut
Kemikaalien valmistus, tuotanto ja jakelu
Elintarvikkeiden valmistus, tuotanto ja jakelu
Valmistus
mm. lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset laitteet, sähkölaitteet, muut koneet ja laitteet sekä kulkuneuvot
Tutkimustoiminta
Avaruus
Julkishallinto
Ketkä kuuluvat NIS2-direktiivin soveltamisalaan?
1. Yritys tai organisaatio, joka on kooltaan vähintään keskisuuri ja jonka pääasiallinen toiminta kuuluu johonkin määritetyistä toimialoista sekä täyttää toimijatyyppimääritelmän.
2. Organisaatio on CER-direktiivin mukaisesti määritelty kriittinen toimija koosta riippumatta.
3. Yritys koosta riippumatta, jos toimiala on:
• Yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestipalvelujen tarjoaja
• Luottamuspalvelun tarjoaja
• Aluetunnusrekisteri tai nimipalveluntarjoaja
• Palvelun tarjoaja kuuluu erityisluokkiin ja säädetty soveltamisesta asetuksella koosta riippumatta: yhteiskunnan kriittisten toimintojen ylläpitäminen, häiriön merkittävä vaikutus yl. järjestykseen, yl. turvallisuuteen tai kansanterveyteen, häiriön merkittävä systeeminen riski (rajat ylittävin vaikutuksin) taikka erityisen suuri merkitys kansallisella tai alueellisella tasolla.
Mitä vaatimuksia direktiivi asettaa ja miten JMJpingillä voidaan auttaa niiden soveltamisessa?
NIS2-direktiivi asettaa yrityksille ja organisaatioille useita tiukkoja vaatimuksia, jotka edellyttävät huolellista valmistautumista. Yhteensopivuus edellyttää kokonaisvaltaista lähestymistapaa kyberturvallisuuteen. Listasimme alle viisi keskeisintä vaatimusta, ja JMJpingin palveluiden tarjoamia ratkaisuja näiden haasteiden hallinnassa. Syvällinen asiantuntemus on ratkaiseva tekijä organisaatioille, jotka valmistautuvat vastaamaan NIS2-direktiivin tuomiin vaatimuksiin.
1
Organisaation laatima suunnitelma ja ohjeistus tietoturvakäytännöistä. Se määrittelee, miten tietoturvaa hallitaan ja mitkä ovat organisaation tavoitteet. Tietoturvan suunnittelu liittyy käytännön toimenpiteisiin ja strategioihin, joilla nämä tavoitteet saavutetaan.
2
Riskienhallinta on prosessi, jossa tunnistetaan, arvioidaan ja hallitaan mahdollisia uhkia ja riskejä organisaation toiminnassa. Haavoittuvuuksien hallinnassa pyritään tunnistamaan tietojärjestelmien heikkoudet ja korjaamaan ne ennen mahdollisia hyökkäyksiä.
3
Suunnitelma ja toimenpiteet, joilla varmistetaan, että organisaatio voi jatkaa toimintaansa mahdollisimman häiriöttä myös poikkeustilanteissa, kuten katastrofeissa tai tietoturvaongelmissa.
4
Tietoturvan valvonta on prosessi, jossa seurataan jatkuvasti tietojärjestelmien toimintaa ja liikennettä mahdollisten poikkeavuuksien ja uhkien havaitsemiseksi.
5
NIS2 edellyttää, että yritykset toimittavat valvovalle viranomaiselle ilmoituksen 24 tunnin kuluessa tietoturvaloukkauksista tai muista merkittävistä tapahtumista. JMJ Lokivahti, keskitetty lokienhallinta kerää tarvittavia lokitietoja infrastruktuuristasi. Reagointi ja tapahtumien käsittely sekä tutkinta nopeutuu.
Lisäksi...
Investoi jatkuvaan koulutukseen
Henkilöstölle tarjottava koulutus ja tietoisuuden lisääminen ovat keskeisiä toimenpiteitä, joilla varmistetaan, että työntekijät ovat tietoisia organisaation tietoturvamenettelyistä.
Huomioi toimitusketjun turvallisuus
NIS2 edellyttää, että yritykset ymmärtävät perusteellisesti mahdolliset riskit, joten myös toimittajat ja palveluntarjoajat pitää arvioida haavoittuvuuksien varalta.
Auditiointi ja tarkistukset
Ulkopuolisen tahon tekemä tarkastus tai auditointi on tehokas tapa varmistua, että NIS2-direktiivin vaatimukset täyttyvät.
NIS2-direktiivin vakavuus korostuu, mikäli vaatimuksia ei noudateta. Direktiivi mahdollistaa hallinnolliset sakot, joiden suuruus voi olla enintään 10 miljoonaa euroa tai 2 % yrityksen liikevaihdosta. Lisäksi ylimmän johdon henkilökohtainen vastuu voi tulla kyseeseen säännösten rikkomisesta.
Me JMJpingillä tarjoamme kattavan valikoiman ratkaisuja auttaaksemme yrityksiä täyttämään NIS2-direktiivin vaatimukset ja parantamaan tietoturvatasoaan.
