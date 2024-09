Uusi direktiivi tiukentaa tietoturvavelvollisuuksia ja häiriöraportointeja useilla eri sektoreilla.

Direktiivillä EU pyrkii vahvistamaan jäsenmaidensa kriittisiä toimijoita kuten julkishallintoa, energiantuotantoa ja digitaalisia palveluita kyberuhkia vastaan.

Direktiivi vaikuttaa koko Suomessa

Direktiivin velvoitteet kohdistuvat keskisuuriin ja suuriin yrityksiin, jotka toimivat joko erittäin kriittisillä tai muilla kriittiseksi määritellyillä aloilla. Näitä ovat muun muassa julkishallinto, energia- ja kemikaalisektori sekä digitaaliset palvelut.

Suomalainen älykkäitä sähkövarastojärjestelmiä valmistava Cactos on valmistautunut tulevan direktiivin vaatimuksiin. Tietoturva on Cactoksella keskeisessä roolissa, sillä sähkövarastojärjestelmät tuottavat kriittisiä vakautuspalveluita valtakunnalliseen sähköverkkoon. Laitteet takaavat myös sähkönsaannin asiakkaiden kiinteistöissä.

“Näen NIS2-direktiivin erittäin positiivisena, sillä se on luonnollisella tavalla lisännyt huomiota tietoturvaan. Direktiivin vaatimusten myötä voimme olla varmoja myös siitä, että yhteistyökumppaneillamme on kanssamme yhteensopivat tietoturvakäytännöt”, kertoo Kim Dikert, Head of Software Development Cactokselta

Lisäksi NIS2-direktiivi koskee kaikkia kansallisesti kriittiseksi määriteltyjä toimijoita koosta riippumatta. Näihin lukeutuvat muun muassa ruoka- ja vesihuolto, terveydenhuolto sekä liikenne.

Laiminlyönnistä mittavia sanktioita

NIS2-direktiivi asettaa yrityksen ylimmän johdon vastuuseen kyberturvallisuusvaatimusten toteuttamisesta ja valvonnasta. Seuraamusmaksut direktiivin laiminlyönnistä voivat olla merkittäviä.

”Seuraamusmaksut on suhteutettu rikkeeseen ja yrityksen vuotuiseen kokonaisliikevaihtoon. Esimerkiksi keskeisen toimijan sanktio tulee olemaan korkeimmillaan joko 10 miljoonaa euroa tai 2 %:a edellisen tilikauden maailmanlaajuisesta liikevaihdosta. Oikeustapauksia ei kuitenkaan luonnollisesti vielä ole, joten tarkat summat konkretisoituvat ajan kanssa”, kertoo Tarmo Kellomäki, joka vastaa turvallisuuskonsultoinnista teknologiatalo Huldilla.

Kellomäki kehottaa selvittämään ensimmäisenä, kuuluuko yritys direktiivin toimialoihin tai alihankintaketjuihin. Seuraava askel on kartoittaa yrityksen tilanne kyberturvallisuusriskien, ohjelmistohaavoittuvuuksien ja ilmoitusvelvollisuuksien osalta.

”Jos yrityksen omat resurssit eivät riitä direktiivin vaatimusten täyttämiseen, kannattaa harkita ulkoista kumppania. Tietoturva on oma osaamisalueensa, jossa täytyy ottaa huomioon eri toimintaympäristöjen ja toimialojen lainalaisuudet.”

NIS2-direktiivin kansalliset velvoitteet (kyberturvallisuuslaki) astuu voimaan 18. lokakuuta.

Verkko- ja tietoturvadirektiivi NIS2

NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Se korvaa ja laajentaa edeltäjänsä soveltamisalaa ja vaatimuksia.

Direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijoiden tulee toteuttaa kyberturvallisuuden riskienhallinnassa ja raportoinnissa.

NIS2-direktiivin tavoitteena on yhtenäistää ja parantaa sekä koko EU:n että sen jäsenmaiden kyberturvallisuuden tasoa.