Digitaalinen uhka ympäröi nykyään organisaatioita monelta suunnalta, ja siksi kyberturvallisuus on noussut keskeiseksi kysymykseksi niin lukuisilla toimialoilla kuin koko yhteiskunnassa. Tätä monipuolistuvaa haastetta vastaan on EU:ssa säädetty uusi NIS2-direktiivi, jolla on vaikutuksia monen yrityksen arkeen.
NIS2-kyberturvallisuusdirektiivissä määritellään kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden vähimmäistaso kaikilla direktiivin soveltamisalaan kuuluvilla toimialoilla. Astuessaan voimaan 18.10.2024 se koskee kriittisillä aloilla toimivia organisaatioita 50 henkilöä tai enemmän työllistävistä yrityksistä, jos niiden liikevaihto on yli 10 miljoonaa euroa. Jos henkilöstöä on 250 tai enemmän, organisaatio kuuluu automaattisesti NIS2:n soveltamisalaan.
”Käytännössä NIS2-direktiivi ulottuu myös tätä pienempiin yrityksiin, jos ne toimivat alihankintaketjussa isompien kanssa. Nämä tulevat edellyttämään direktiivin mukaista kyberturvaa koko toimitusketjultaan – aivan samoin kuin ESG:n kanssa. Vastuullinen liiketoiminta on tietoturvallista liiketoimintaa”, DNA:n yritysasiakkaille tarjottavien tietoturvapalveluiden business manager Juho Saarinen sanoo.
Kun NIS2 on osa kansallista lainsäädäntöä vuoden 2024 lokakuussa, se vaikuttaa monin tavoin yritysten tietoturvastrategioihin, erityisesti kriittisillä toimialoilla. Saarisen mukaan tämä muutos voi olla mahdollisuus parantaa yritysten tietoturvastrategioita, jotka aiemmin eivät välttämättä olleet selkeitä tai riittävän resursoituja.
”NIS2 on hyvä kokoelma tietoturvapraktiikoita kuten tietoturvastrategiaa, hallintamalleja, jatkuvuutta, teknologiaa ja koulutusta. Viimeistään nyt on aika ryhtyä tarvittaviin toimenpiteisiin”, Saarinen sanoo.
Katso videolta, miten NIS2-direktiivi vaikuttaa yrityksenne arkeen.
VIDEO
Kilpailuetua ja standardinomaista sääntelyä Keskeisten ja tärkeiden toimijoiden on jatkossa otettava käyttöön monenlaisia perustason kyberhygieniakäytäntöjä:
Zero Trust Architecture (ZTA), eli nollaluottamuksen periaate Ohjelmistopäivitykset Laitteiden konfigurointi Verkon segmentointi Identiteetin ja pääsynhallinta Käyttäjien tietoisuuden lisääminen, henkilöstökoulutus kyberuhkista, verkkourkinnasta ja käyttäjän manipuloinnista Saarinen muistuttaa, että organisaatioissa huolta aiheuttaneesta GDPR-direktiivistäkin on selvitty hyvillä ja oikein mitoitetuilla toimilla. Tietosuoja-asetuksen tavoin myös kyberturvallisuuden laiminlyömisestä on säädetty sanktioita. Ne tulevat olemaan jopa 10 miljoonaa euroa tai 2 prosenttia toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi.
Vaikka NIS2-direktiiviin liittyy uhkasakkoja ja rangaistusmaksuja niille, jotka eivät noudata sääntelyä, Saarinen näkee tämän positiivisena haasteena, joka voi nostaa koko Euroopan kyberturvallisuustasoa. Direktiivi asettaa yllä olevia vaatimuksia, mutta samalla se tarjoaa mahdollisuuksia kehittää ja integroida tietoturva osaksi liiketoimintaa.
"Se, miten yritys kohtaa NIS2-direktiivin, vaikuttaa sen kykyyn toimia osana toimitusketjuja ja saada luottamusta asiakkailta Euroopan laajuisesti. NIS2 ei ole vain rasite, vaan myös tilaisuus kehittää vastuullista ja kestävää liiketoimintaa", Saarinen huomauttaa.
Vastuu kyberturvallisuudesta johtoryhmälle Yksi NIS2:n tuomista muutoksista on tieturvavastuun nousu johtoryhmään asti. Hallintoelinten jäsenet voidaan saattaa myös henkilökohtaiseen vastuuseen, jos organisaatio laiminlyö velvollisuutensa ottaa direktiivin mukaiset kyberturvallisuusriskien hallintatoimenpiteet ja/tai raportointivelvoitteet käyttöön määräaikaan mennessä.
”Johdolla on lisäksi velvollisuus osallistua kyberturvallisuusriskeihin ja niiden hallintaan liittyviin koulutuksiin. Tämä kaikki tarkoittaa, että yritysjohto on entistä enemmän vastuussa tietoturvasta. Se voi myös helpottaa IT-tietoturvan hallintaa ja sen budjetointia", Saarinen korostaa.
DNA tarjoaa asiantuntemustaan ja palveluitaan auttaakseen yrityksiä valmistautumaan NIS2-direktiiviin. Saarinen painottaa, että DNA on valmis olemaan kyberturvallisuuden strateginen kumppani yrityksille, tarjoten osaamista ja ratkaisuja, jotka auttavat saavuttamaan direktiivin vaatimukset tehokkaasti ja kestävästi.
NIS2-direktiivin voimaantulo voi herättää huolta, mutta Saarinen näkee tässä tilaisuuden kehittää ja vahvistaa yritysten kyberturvallisuutta.
"Emme halua pelotella tai aiheuttaa ahdistusta asiakkaillemme. Tavoitteemme on yksinkertaistaa ja avustaa heitä tällä kyberturvallisuuden polulla, mikä varmistaa liiketoiminnan jatkuvuuden", hän kiteyttää.
Myös Kyberrosvot-podcastin jaksossa 9 keskusteltiin NIS2-direktiivistä ja sen vaikutuksista kyberhyökkäyksiin. Kuuntele jakso!
Ota yhteyttä DNA:n asiantuntijoihin , niin et kohtaa haastetta yksin!
Artikkeli päivitetty 25.4.2024. Alunperin artikkeli on julkaistu 28.11.2023.
