Siirry sisältöön
Data group muoto
Lukko ja kilpi.

Mikä on NIS2? - Uusi tietoturvalaki astuu voimaan tänä vuonna

NIS2 on EU:n verkko- ja tietoturvadirektiivi, joka pyrkii parantaan EU:n kyberturvallisuuden yleistä tasoa ja edellyttää yrityksiä varautumaan suunnitelmallisesti kyberuhkiin.

NIS2:n vaatimukset astuvat Suomessa voimaan viimeistään 17.10.2024. Valmistautuminen on syytä aloittaa hyvissä ajoin, jotta lain vaatimat asiat saadaan kuntoon ennen lain voimaantuloa.

Autamme yritystäsi saattamaan tietoturvan halutulle tasolle ja täyttämään NIS2:n vaatimukset.

Mitä yrityksiä NIS2 koskee?

NIS2 koskee kaikkia yrityksiä, jotka toimivat kriittisillä toimialoilla, työllistävät yli 50 henkeä ja joiden liikevaihto on yli 10 miljoonaa euroa.

Lisäksi NIS2 koskee myös pieniä yrityksiä, jotka on kansallisesti määritelty kriittisiksi. Pienet yritykset voivat myös olla osa NIS2:n piirissä olevia organisaatioita esimerkiksi alihankkijoina, jolloin myös ne ovat vastuussa kyberturvallisuudesta.

Erittäin kriittiset toimialat:

  • Energia
  • Kuljetus
  • Pankki- ja finanssimarkkinat
  • Terveydenhuolto
  • Juomavesi ja Jätevesi
  • Digitaalinen infrastruktuuri
  • ICT-palveluiden hallinta

Kriittisiä toimialoja ovat esimerkiksi:

  • Elintarvikeala
  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Digitaaliset palvelut
  • Kemikaalisektori
  • Tutkimustoiminta
  • Valmistava teollisuus

Vaikka NIS2 ei suoraan koske kaikkia yrityksiä, on silti tärkeää huomioida sen asettamat hyödylliset suositukset, jotka parantavat yrityksen tietoturvaa ja kansallista turvallisuutta.

Mitä NIS2 vaatii yrityksiltä?

NIS2-direktiivi edellyttää yrityksiltä toimenpiteitä, jotka voidaan jakaa neljään kategoriaan:

1. Johdon vastuu: Organisaation johdolla on henkilökohtainen vastuu kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisestä ja valvonnasta. Johdon tulee myös sitoutua osallistumaan koulutukseen, joka koskee kyberturvallisuusriskejä ja niiden hallintaa.

2. Riskienhallinta: Organisaation on otettava käyttöön uhkiin nähden riittävät toimenpiteet, joiden avulla ehkäistään kyberuhkia ja minimoidaan niiden vaikutuksia. Direktiivissä määritellään tarkemmin hallintatoimenpiteiden vaatimukset, jotka sisältävät ainakin seuraavat:

  • Riskianalyysit
  • Tietojärjestelmien turvallisuuspolitiikat
  • Liiketoiminnan jatkuvuuden ja kriisien hallinta
  • Toimitusketjujen ja toimittajien turvallisuuden varmistaminen
  • Kyberhygieniakäytännöt ja kyberturvatietoisuus
  • Tietoturvahäiriöiden käsittely ja raportointivelvoitteet
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
  • Pääsynhallintaperiaatteet
  • Omaisuudenhallinta
  • Haavoittuvuuksien hallinnan periaatteet
  • Henkilöstöturvallisuus
  • Tiedon salauksen ja kryptografian periaatteet

3. Raportointi: Organisaatioiden on ilmoitettava valvovalle viranomaiselle merkittävistä poikkeamista 24 tunnin sisällä siitä, kun tilanne on tullut niiden tietoon. Lisäksi yksityiskohtaisempi raportti on toimitettava viranomaiselle 72 tunnin kuluessa. Lisäraportti on annettava viimeistään kuukauden kuluttua alkuperäisestä poikkeamailmoituksesta. Tarvittaessa häiriöstä tai sen uhasta on myös ilmoitettava palvelujen vastaanottajille.

4. Toiminnan jatkuvuus: Organisaatioiden on suunniteltava, miten ne aikovat varmistaa liiketoiminnan jatkuvuuden kyberhyökkäysten tapauksessa. Tämä suunnitelma tulisi sisältää harkintoja järjestelmän palauttamisesta, hätätilanteiden toimenpiteistä ja kriisinhallintaryhmän perustamisesta.

NIS2 ja tekoäly

Vaikka tekoälyä ei mainita suoraan NIS2-direktiivissä, se voi silti vaikuttaa NIS2:n soveltamiseen. Tekoälyllä on potentiaalia auttaa organisaatioita tunnistamaan ja torjumaan kyberhyökkäyksiä tehokkaammin. Tekoäly voi myös auttaa organisaatioita havaitsemaan tietoturvariskit ja ennakoimaan mahdollisia uhkia paremmin.

placeholder-2-2

Tietoturvakartoitus

Tietoturvakartoituksessamme käydään läpi kaikki tietoturvan osa-alueet:

  • Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi
  • Henkilöstön tietoturva – Henkilöstön vastuut, roolit ja ohjeistus
  • Toimitilojen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen
  • Laitteiden tietoturva – Käytettävien laitteiden yleinen suojaaminen
  • Ohjelmistojen tietoturva – Käytettävien ohjelmistojen tietoturva
  • Tietoliikenteen turvallisuus – Tiedon siirtoon liittyvä turvallisuus
  • Tietoaineiston turvallisuus – Tietoa sisältävien dokumenttien käsittely

Saat kartoituksen pohjalta raportin yrityksesi tietoturvan nykytilanteesta sekä ehdotukset toimenpiteistä, joiden avulla yrityksesi tietoturva saadaan halutulle tasolle ja täyttää NIS2:n vaatimukset.