NIS2-direktiivi
NIS2-direktiivi, eli kyberturvallisuusdirektiivi tai yksinkertaisesti NIS2, on Euroopan unionin direktiivi, joka määrittelee kyberturvallisuusvaatimukset, jotka on toteutettava EU:n organisaatioissa, ja joiden katsotaan olevan kriittistä infrastruktuuria.
Direktiivinä NIS2 tarkoittaa, että jokainen EU-maa määrittelee omat kyberturvallisuuslakinsa NIS2:n perusteella, kun taas NIS2 määrittelee vähimmäistason kyberturvallisuudelle. Käytännössä tämä tarkoittaa, että tietyissä maissa yritysten on noudatettava NIS2:ssa määriteltyä vähimmäistasoa, ja toisissa maissa heidän on noudatettava tiukempia kyberturvallisuusvaatimuksia, jotka on määritelty paikallisissa laeissa.
NIS2:lla on merkintä “2”, koska se korvaa vanhan NIS-direktiivin.
Direktiivi julkaistiin 14. joulukuuta 2022 ja se tulee voimaan 18. lokakuuta 2024 – tämä on myös EU-maiden määräaika oman lainsäädäntönsä määrittelemiseksi NIS2:n perusteella. Direktiivi löytyy EU:n sivuilta.
Keitä NIS2 koskee?
On kolme kriteeriä, jotka määrittelevät, mitkä organisaatiot (NIS2 kutsuu näitä ”toimijoiksi”) ovat velvollisia noudattamaan NIS2:ta.
- Sijainti: Jos ne tarjoavat palveluita tai harjoittavat toimintaa missä tahansa Euroopan unionin maassa (riippumatta siitä, ovatko ne EU:ssa vai eivät).
- Koko: Keskikokoiset ja suuret organisaatiot eli jos niillä on yli 50 työntekijää ja yli 10 miljoonaa euroa liikevaihtoa tai tase.
- Toimiala: Jos ne toimivat missä tahansa seuraavista sektoreista: Energia, Liikenne, Pankkitoiminta, Finanssimarkkinoiden infrastruktuurit, Terveys, Juomavesi, Jätevesi, Digitaalinen infrastruktuuri, TVT (tieto- ja viestintätekniikka) -palveluiden hallinta, Julkishallinto, Avaruus, Posti- ja kuriiripalvelut, Jätehuolto, Kemikaalien valmistus, tuotanto ja jakelu, Elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus (varsin laajasti), Digitaalisen palvelun tarjoajat, Tutkimustoiminta.
Näiden lisäksi NIS2-direktiivissä määrätään lisäksi poikkeuksena, että se koskee kaikkia yleistä teletoimintaa harjoittavia yrityksiä koosta riippumatta.
Mitä NIS2 vaatii toimijoilta?
NIS2 direktiivin käytännön vaatimukset on määritelty direktiivin 21 artiklassa (Kyberturvallisuusriskien hallintatoimenpiteet).
Yleisesti voidaan sanoa, että toimijalle pitää olla organisaation toimintaympäristön tarpeista lähtien määritelty, toteutettu ja jalkautettu tietoturvallisuuden hallintajärjestelmä, jossa huomioidaan seuraavat asiat:
- riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
- poikkeamien käsittely;
- toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
- toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
- verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
- toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
- toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
- henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
- tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
Direktiivissä mainitaan, että hallintajärjestelmän pitää olla ns. kaikki vaaratekijät huomioiva lähestymistapa (”All-Hazards approach). Tämä tarkoittaa, että pitää huomioida myös sellaiset riskienhallintatoimenpiteet, joilla vastataan muuhun kuin digi-maailmaan eli kyberturvallisuuteen. Myös esimerkiksi fyysisen turvallisuuden asiat (esim. toimitilat) pitää olla huomioitu hallintajärjestelmässä.
Direktiivi myös asettaa vaatimuksia organisaation ylimmälle johdolle eli viime kädessä ylin johto (johtoryhmä, hallitus) vastaa NIS2 -vaatimustenmukaisuudesta. Puutteista ja poikkeamista voi olla suoria ja suuria seuraamuksia ylimmälle johdolle. Direktiivissä on määritelty myös merkittävät seuraamusmaksut, jotka viranomainen voi määrätä velvoitteiden laiminlyömisestä. Seuraamusmaksun enimmäismäärä suurille yrityksille on 10 000 000 euroa tai 2 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Keskikokoisille yrityksille seuraamusmaksun enimmäismäärä on 7 000 000 euroa tai 1,4 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
NIS2 tilanne Suomessa?
Liikenne- ja viestintäministeriö käynnisti 2023 alussa projektin, LVM027:00/2023, jonka tarkoituksena on toteuttaa kyberturvallisuusdirektiivin (NIS2-direktiivi, 2022/2555) velvoitteet Suomen kansalliseen lainsäädäntöön. Hankkeen edistymistä voi seurata valtioneuvoston hankeikkunasta.
LVM:n ehdotus tuli kommentoitavaksi lokakuussa 2023 ja lausuntoja tuli yli 100. Tämän hetken suunnitelma on, että lopullinen ehdotus esitellään Suomen eduskunnalle viikolla 21 (2024).
Suomen kansallisen toteutuksen filosofia on, että pitäydytään NIS2-direktiivin vähimmäisvaatimuksissa eli ei lähdetä näitä koventamaan kansallisesti. Sama filosofia on myös pääosin muissa Euroopan maissa, esim. Saksassa.
Kyberturvallisuuskeskus julkaisi suosituksensa NIS2-direktiiviä valvoville viranomaisille 11.4.2024. Suositus on kommentoitavana ja vielä luonnos, koska lopullinen toteutus Suomessa ei vielä ole hyväksytty.
Tässä Kyberturvallisuuskeskuksen suosituksessa mennään varsin paljon syvemmälle tulkinnoissa kuin mitä direktiivissä on kerrottu. On tärkeää muistaa, että tämä ei ole vaatimusdokumentti, vaan on tehty ohjeistukseksi valvoville viranomaisille, kun nämä tekevät NIS2 toimijoille arviointeja ja auditointeja. NIS2:lle on määritelty toimialoittain viranomaiset, jotka ovat vastuussa valvoa ja tarvittaessa auditoida toimijoiden toteutuksia.
Sinänsä Kyberturvallisuuskeskuksen suositus on hyvä ja konkreettinenkin malli, kun organisaatio arvioi omien riskinhallintatoimenpiteidensä tasoa. Kun direktiivin vaatimukset on summattu yhdelle A4-sivulle, niin kyberturvallisuuskeskuksen suosituksessa sama asia on avattu yli sadalla sivulla.
NIS2 toteutuksen haasteet?
Kuten mainittua, NIS2 yksinkertaistaen vaatii, että toimijalla on toimintaympäristöönsä kehitetty tietoturvallisuuden hallintajärjestelmä. ISO/IEC 27001 on kattavin ja maailmallakin johtava viitekehys tietoturvallisuudenhallintajärjestelmän kehittämiseen ja toteuttamiseen.
Myös Kyberturvallisuuskeskuksen suosituksessa viitataan usein ISO/IEC 27001:een.
Suurin haaste organisaatiolla NIS2:n toteuttamisessa on, että vain hyvin harvoilla suomalaisilla yrityksillä on 2024 olemassa tietoturvallisuuden hallintajärjestelmää tai ymmärrystä siitä mitä se tarkoittaa. Tietoturvallisuuden viitekehyksissä ja myös NIS2-direktiivissä käytetään paljon termejä ja konsepteja, joiden tausta ja tarkoitus ei aukea, jos ei ole aiheesta kokemusta. Tähän ongelmaan viranomaiset usein tekevät suosituksia, joiden sinänsä hyvä tarkoitus on auttaa organisaatioita toteutuksessa. Ongelmaksi muodostuu, että nämä toteutussuositukset ovat usein monin kerroin laajempia kuin varsinainen vaatimus ja myöskin suositukset sisältävät paljon ns. alan slangia. Tätä voisi verrata siihen, että usein lakitekstien tulkinnassa ja tarkoituksessa tarvitaan alan ammattilaista, lakimiestä, tulkitsemaan. Sama koskee myös tietoturvallisuudenhallintajärjestelmän toteutusta. Paras tapa lähteä kehittämään NIS2 vaatimusten mukaista tietoturvallisuudenhallintajärjestelmää on ottaa tueksi koulutettu ja kokenut konsultti.
ICT Elmo Oy:n (Elmo) oma tietoturvallisuuden hallintajärjestelmä on ollut ISO/IEC 27001 sertifioitu jo vuodesta 2019. Elmo on kehittänyt 2022 vuodesta alkaen kymmenille suomalaisille organisaatioille tietoturvallisuudenhallintajärjestelmiä, jotka ovat NIS2 vaatimusten mukaisia. Lisää tietoa tästä löytyy osoitteesta: https://www.kyberturvallisuusdirektiivi.fi/
Kirjoittanut: Janne Aaltonen
Voimmeko olla avuksi? Lisätiedot ja yhteydenotot:
Janne Aaltonen
CEO, CISO, partner
janne.aaltonen@elmo.fi
+358 (0)50 359 8285
Elmo on valtakunnallinen ICT-talo, joka tarjoaa kattavat ICT-palvelut yrityksille: palvelukattaus käsittää ulkoistus-, tietoturva-, konesali- ja pilvipalvelut, laitteet ja ohjelmistot sekä tietohallinnon johtamispalvelut ja koulutukset. Elmon palveluksessa on yli 100 kovan luokan ammattilaista ja toimipisteet sijaitsevat Tampereella, Helsingissä, Vantaalla ja Turussa.