NIS2-direktiivi

EU:n yritysten kyberturvallisuutta koskeva lainsäädäntö (17.10.2024 alkaen)

Ketä NIS2 koskee?

Pieni yritys arvioi omaa kuuluvuuttaan vertaamalla toimintaansa keskeisten ja tärkeiden toimijoiden toimialaluetteloihin, sillä yritys velvoitetaan koostaan riippumatta täyttämään NIS2:n vaatimukset, jos se luokitellaan näihin toimialoihin. PK-yritysten onkin selvitettävä itse, kuuluuko sen toiminta direktiivin piiriin ja täytettävä direktiivin vaatimukset. Direktiivi ei ole pelkästään isojen toimijoiden asia ja vastuu selvityksestä kuuluu yrityksen johdolle.
 
Jos yritys toimii määritellyillä  toimialoilla  ja työllistävät 50 työntekijää, tai liikevaihto tai taseen loppusumma on yli 10 miljoonaa euroa, on yritys suoraan direktiivin vaikutuspiirissä. Yritykset, joissa on yli 250 työntekijää kuuluvat NIS2:n piiriin riippumatta niiden liikevaihdosta.
 
Direktiivi voi koskea myös yrityksiä, jotka toimivat alihankintaketjussa sellaiselle asiakkaalle, joka kuuluu NIS2-direktiivin piiriin. Yritys ei lähtökohtaisesti voi tarjota palveluitaan tällaiselle asiakkaalle, ellei täytä direktiiviä itse.

Keskeiset toimijat

  • Energia (vety- ja latauspisteiden palveluntarjoajat)
  • Liikenne
  • Pankkitoiminta
  • Finanssimarkkinoiden infrastruktuuri
  • Terveys
  • Juomavesi
  • Jätevesi
  • Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN, konesalit)
  • TVT-palvelujen hallinta (yritysten välinen)
  • Julkishallinto
  • Avaruus

Tärkeät toimijat

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalien valmistus, tuotanto ja jakelu
  • Elintarvikkeiden tuotanto, jalostus ja jakelu
  • Valmistus (mm. lääkintälaitteet, tietokoneet, sähkölaitteet, kulkuneuvot)
  • Digitaalisen palvelun tarjoajat (verkkoyhteisöalustojen tarjoajat)
  • Tutkimustoiminta

Yritysjohdon henkilökohtainen vastuu!

Direktiivin vaatimuksia

NIS2-lainsäädännössä on merkittäviä vaatimuksia tietoturvan parantamisesta. Tietoturvan tulee olla suunnitelmallista ja dokumentoitua. Dokumentaation  tulee sisältää kuvaukset, toimenpiteet ja valvontamekanismit muun muassa seuraavista asioista:
 
  • tietojärjestelmiä koskevat politiikat
  • riskien arviointi ja hallintatoimien määrittäminen
  • poikkeamien käsittelymenetelmät
  • tietoturvallisuuskoulutuksen järjestäminen (koko henkilöstö ml. ylin johto ja hallitus)
  • toimitusketjujen ja kumppaneiden turvallisuuden varmistaminen
  • toiminnan jatkuvuuden ja kriisien hallinta
  • kyberhygieniakäytännöt

Sanktiot

Direktiivin artiklojen rikkomisesta on säädetty sakko, joka voi olla maksimissaan 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. On hyvä tiedostaa, että seuraamus on mahdollinen merkittävistä vahingoista ja/tai laiminlyönneistä.
 
Tehtävää ei voi antaa IT-osaston tai IT-kumppanin vastuulle. Yrityksen johdon ja hallituksen tuleekin ymmärtää, että vastuu tietoturvan toteutuksesta ja valvonnasta on sillä itsellään ja johdon on osallistuttava NIS2-projektiin.
 
Juristit ovat kirjoittaneet muun muassa, että ns. hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. On kyse vakavasta asiasta, johon on syytä syventyä huolella ja laittaa tietoturva-asiat kuntoon.

BG Defender NIS2

Johdon työkalut

BG Defender on tehokas työkalu, joka on suunniteltu tukemaan yritysjohtoa NIS2-direktiivin vaatimusten täyttämisessä. Se auttaa organisoimaan oikeat henkilöt oikeisiin tehtäviin ja tarjoaa selkeän kokonaiskuvan prosessin edistymisestä. Lisäksi BG Defender dokumentoi kaikki toimenpiteet ja suunnitelmat, jotka ovat välttämättömiä NIS2-direktiivin mukaisten vaatimusten täyttämiseksi.

Työkalu sisältää valmiita tehtäväkokonaisuuksia, joiden avulla yritys voi varmistaa, että direktiivin vaatimukset tulevat asianmukaisesti täytetyiksi. Se myös muistuttaa toistuvista tehtävistä ja varmistaa, että vastuuhenkilöt suorittavat tehtävät ajallaan.

BG Defender tarjoaa yritysjohdolle selkeän kokonaisnäkymän yrityksen NIS2-direktiivin vaatimusten täyttämisen tilasta, mahdollistaen strategisen päätöksenteon ja varmistamalla, että yritys toimii aina ajantasaisesti ja vaatimusten mukaisesti.

Ominaisuudet

  • NIS2 Compliance Dashboard tarjoaa visuaalisen tilannekuvan väreillä, jotka osoittavat, mitkä direktiivin osa-alueet ovat täysin täytetty, mitkä ovat työn alla ja mitkä odottavat aloitusta. Lisäksi käyttäjä voi tarkastella yksityiskohtaisesti kutakin osa-aluetta ja sen vaatimuksia.

  • Edistykselliset riskienhallinta- ja raportointityökalut auttavat dokumentoimaan ja arvioimaan yrityksen tietoturvariskit. Työkalut mahdollistavat riskianalyysien automatisoinnin ja tarjoavat selkeät toimintasuunnitelmat riskien toteutumisen varalle. Raportit ovat helposti mukautettavissa ja jaettavissa eri sidosryhmille.

  • Kriisitilanteen hallintatyökalut dokumentoivat ja päivittävät tietoturvakriisitilanteiden varalta suunnitelmat. Työkalu voi automaattisesti käynnistää toimintasuunnitelmat ja viestinnän määritellyille sidosryhmille kriisitilanteessa, varmistaen tehokkaan ja nopean reagoinnin.

  • Kattavat raportointityökalut luovat selkeät ja kattavat raportit yrityksen sisäiseen käyttöön sekä viranomaisia varten. Työkalut sisältävät myös ohjeistukset, joiden avulla yrityksen toiminta saadaan vaatimusten mukaiseksi. Raportointityökalut voidaan integroida osaksi muita järjestelmiä, jotta tiedot pysyvät aina ajantasaisina.

Ota yhteyttä!
Kristian Kettunen

Asiakkuuspäällikkö

+358 400 304 602

kristian.kettunen@bittiguru.fi

Niskakatu 21,
80100 Joensuu, FI