NIS2-direktiivin tarkoitus
NIS2-lyhenne tulee sanoista The Directive on Security of Network and Information Systems ja tiivistettynä direktiivi asettaa vähimmäistoimenpiteet, jolla kyberturvallisuusriskejä voidaan hallita. Numero 2 viittaa siihen, että aiempi NIS-direktiivi on päivitetty vastaamaan nykypäivän vaatimuksia.
Milloin ja kenelle?
Direktiivi astuu voimaan lokakuussa 2024 ja se koskee kriittiseen infrastruktuuriin kuuluvia keskisuuria ja sitä isompia yrityksiä (➡️ vähintään 50 työntekijää tai joiden vuotuinen liikevaihto tai vuositase on yli 10 miljoonaa euroa). Osaa kriittiseen infrastruktuuriin kuuluvia toimijoita direktiivi koskee koosta riippumatta. Linkki toimijohin: Kriittisen infrastruktuurin toimijat.
NIS2 VS. GDPR
NIS-direktiivi on otettu käyttöön jo aikaisemmin 2018, mutta tällöin GDPR vei suuremman osan huomiosta ja osittain nämä kaksi asiaa myös helposti sekoittuvat toisiinsa puheessa, vaikka pääpiirteet ovatkin hyvin erilaiset. GDPR viittaa lähtökohtaisesti henkilökohtaisen datan suojaamiseen, kun taas NIS-direktiivi keskittyy verkko- ja tietojärjestelmien turvallisuuteen sekä tietoturvaa lisääviin toimenpiteisiin.
Mitä vaatimuksia NIS2-direktiivi asettaa?
NIS2-direktiivin piirissä olevalla toimijalla tulee olla ajantasainen kyberturvallisuuden riskienhallintamalli, joka suojaa viestintäverkot, tietojärjestelmät ja niiden fyysisen ympäristön poikkeamilta ja niiden vaikutuksilta.
Toimijoiden on myös käytettävä riskienhallintamallin mukaisia toimenpiteitä, jotta viestintäverkkojen ja tietojärjestelmien turvallisuusriskit voidaan hallita ja mahdolliset haittavaikutukset estää tai minimoida.
Kymmenen oleellisinta toimenpidettä. jotka on huomioitava ja pidettävä ajantasaisena:
- Riskianalyysit ja tietojärjestelmien turvallisuutta koskevat politiikat
- Poikkeamien käsittely
- Toiminnan jatkuvuuden hallinta, kuten varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
- Toimitusketjun varmistaminen, mukaan lukien toimijoiden ja heidän toimittajiensa väliset turvallisuuskysymykset
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
- Toimintatavat ja menettelyt, joilla arvioidaan kyberturvallisuuden hallintatoimien tehokkuutta
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
- Käytännöt ja menettelyt kryptografian ja salauksen käytöstä tarvittaessa
- Henkilöstön turvallisuus, pääsynhallinta ja omaisuudenhallinta
- Monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisut, suojattu viestintä ja hätäviestintä tarvittaessa
NIS2-direktiivi on merkittävä askel kohti vahvempaa kyberturvallisuutta koko EU:n alueella. Se asettaa tiukemmat vaatimukset yrityksille ja organisaatioille, joiden toiminta on kriittistä yhteiskunnan ja talouden kannalta.
Direktiivi korostaa erityisesti riskienhallintaa, toimitusketjun turvallisuutta sekä valmiutta reagoida poikkeamiin ja kriisitilanteisiin. Käytännössä tämä tarkoittaa sitä, että yritysten on päivitettävä kyberturvallisuustoimenpiteensä ja varmistettava, että niiden viestintäverkot ja tietojärjestelmät ovat suojattuja sekä pystyttävä osoittamaan tehdyt toimenpiteet.
Asiantuntemuksen avulla nämä vaatimukset voidaan hoitaa tehokkaasti. IT-kumppanina DataEnter varmistaa, että asiakkaamme turvallisuuskäytännöt vastaavat NIS2-direktiivin vaatimuksia – aina riskianalyyseistä poikkeamien käsittelyyn ja varmuuskopiointiratkaisuihin.
Näin asiakkaamme voivat keskittyä ydintoimintaansa luottaen siihen, että kyberturvallisuus on kunnossa ja täysin direktiivien mukaista. Tarjoamme yrityksille NIS2-arviointeja kumppaniverkostomme kautta sekä autamme yrityksiä NIS2-yhteensopivilla IT-ratkaisuilla.