NIS2-direktiivi toimenpiteistä kyberturvallisuuden parantamiseksi EU:ssa

Digitalisaation räjähdysmäinen kasvu ja siihen liittyvä kyberturvallisuusuhkien kehitys ovat asettaneet merkittäviä haasteita viime vuosina. Alun perin EU otti NIS-direktiivin käyttöön vuonna 2016 säädelläkseen kyberturvallisuutta. NIS-direktiivissä huomattiin muutamia rajoitteita, vaikka sillä saavutettiinkin hyviä asioita.

COVID 19 -kriisin vauhdittama digitaalinen muutos on laajentanut uhkakuvia ja vaatinut mukautuvia ja innovatiivisia vastauksia uhkien ehkäisemiseksi. Vastatakseen haasteisiin NIS2-direktiivi nykyaikaistaa nykyistä oikeudellista kehystä ja varmistaa, että se pysyy digitalisaation ja kehittyvien kyberturvallisuusuhkien vauhdissa.

Kyberturvallisuussääntöjä laajennetaan direktiivissä kattamaan uusia sektoreita ja yksiköitä ottaen huomioon niiden digitalisoitumisaste, yhteen liitettävyys, sekä niiden kriittinen merkitys taloudelle ja yhteiskunnalle. Laajennus vahvistaa julkisten ja yksityisten tahojen, viranomaisten ja koko EU:n kestävyyttä ja valmiuksia häiriötilanteisiin. Direktiivissä otetaan käyttöön myös selkeä kokokynnyssääntö, joka kattaa kaikki keskisuuret ja suuret yritykset valituilla aloilla. Samalla se antaa jäsenvaltioille harkintavaltaa yksilöidä pienempiä yksiköitä, joilla on korkea turvallisuusriskiprofiili, mikä varmistaa niiden sisällyttämisen uuden direktiivin velvoitteiden piiriin.

NIS2-direktiivin ensisijainen tavoite on taata yhteinen korkea kyberturvallisuuden taso kaikkialla EU:ssa:

1. Jäsenvaltioiden valmius edellyttää, että niillä on asianmukaiset varusteet. Esimerkiksi tietoturvaloukkauksiin reagoivan ryhmän (CSIRT) ja toimivaltaisen kansallisen verkko- ja tietojärjestelmien (NIS) viranomaisen kanssa
   
   
2. Kaikkien jäsenvaltioiden välinen yhteistyö perustamalla yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa jäsenvaltioiden välillä.
   
   
3. Turvallisuuskulttuuri kaikilla talouden ja yhteiskunnan kannalta elintärkeillä aloilla, jotka ovat vahvasti riippuvaisia tieto- ja viestintätekniikasta, kuten energia, liikenne, vesi, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri.
   
   

NIS2-direktiivi tuo uusia vaatimuksia ja velvoitteita organisaatioille neljällä yleisellä alueella:

• Riskijohtaminen
• Yritys
• Raportointivelvollisuus
• Liiketoiminnan jatkuvuus

Seuraavat alat on lueteltu olennaisina ja tärkeinä yksikköinä

Keskeiset alat:
Kokokynnys: vaihtelee toimialoittain, mutta yleensä 250 työntekijää, vuosiliikevaihto 50 MEUR tai tase 43 MEUR.

• Energia,
• Liikenne
• Pankkitoiminta
• Julkishallinto
• Terveys
• Tila
• Juomavesi (juomavesi & jätevesi)
• Digitaalinen infrastuktuuri

Kriittiset alat:

Kokokynnyt: vaihtelee toimialoittain, mutta yleensä 50 työntekijää, vuosiliikevaihto 10 MEUR tai tase 10 MEUR.

• posti- ja kuriiripalvelut
• jätehuolto
• kemikaalit
• tutkimusorganisaatiot
• elintarvikkeet
• lääkinnällisten laitteiden, tietokoneiden ja elektroniikan, koneiden ja laitteiden, moottoriajoneuvojen, perävaunujen ja puoliperävaunujen sekä muiden kuljetusvälineiden valmistus
• digitaaliset palveluntarjoajat (verkkomarkkinat, verkossa toimivat hakukoneet ja sosiaalisen verkostoitumisen palvelualustat)

Lokakuuhun 2024 mennessä

Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä (21 kuukautta NIS:n voimaantulosta).

Lue lisää NIS2-direktiivistä ja alat, joihin se vaikuttaa, sekä riskistä sakkoihin, jos jättää noudattamatta direktiivin säännöksiä täällä European Commissions FAQ