Euroopan unionin uusi verkko- ja tietoturvadirektiivi NIS2 astuu pian voimaan kaikissa jäsenmaissa. Suomessa hallituksen esitys kyberturvallisuuslaista on parhaillaan eduskunnan käsittelyssä. Tämä direktiivi asettaa merkittäviä kyberturvallisuusvaatimuksia toimijoille, jotka täyttävät direktiivin määrittelemät toimiala- ja kokovaatimukset.
Mikä NIS2-direktiivi ja miten se vaikuttaa organisaatiooni?
NIS2-direktiivin pakolliset, riskeihin perustuvat kyberturvallisuustoimenpiteet parantavat merkittävästi organisaatioiden tietoturvallisuuden tasoa. Osa näistä toimenpiteistä voi jo sisältyä organisaation nykyisiin tietoturvamenettelyihin, mutta direktiivin pakollisten vaatimusten laiminlyönti voi johtaa huomattaviin seuraamusmaksuihin, jotka voivat olla jopa 10 miljoonaa euroa tai 2 % toimijan edellisen tilikauden maailmalaajuisesta vuotuisesta kokonaisliikevaihdosta.
NIS2-direktiivin artikla 21 määrittelee vähimmäisvaatimukset toimijoille, jotka suunnittelevat verkkoympäristönsä ja tietojärjestelmiensä sekä niiden fyysisen ympäristön turvaamista:
- riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
- poikkeamien käsittely;
- toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
- toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
- verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvaisuuksien käsittely ja julkistaminen;
- toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
- toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
- henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
- tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
Johto: Varmista valmiutesi NIS2-direktiivin vaatimuksiin
Organisaatioiden johdon on tärkeää varmistaa, että organisaatio on alkanut valmistautua NIS2-vaatimusten täyttämiseen. Vaikka vaatimuksia ei ole vielä virallistettu, direktiivi antaa selkeän suunnan tarvittaville toimenpiteille, joiden avulla organisaatiosi voi ennakoida ja varautua muutoksiin.
BDO:n asiantuntijat ja NIS2-arviointityökalu tukenasi
BDO on kehittänyt NIS2-arviointityökalun, joka tarjoaa välittömän näkemyksen organisaatiosi valmiudesta. Tämä työkalu auttaa sinua tunnistamaan, kuulutko NIS2-direktiivin piiriin ja mitä toimenpiteitä sinun on toteutettava. Testaa organisaatiosi vaatimustenmukaisuus alla olevan linkin kautta.
BDO:n asiantuntijat ovat valmiina auttamaan sinua kaikissa NIS2-direktiiviin liittyvissä kysymyksissä. Ole meihin yhteydessä, jos tarvitset lisätietoja tai tukea valmistautumisessa.