NIS2
NIS2

Verkko- ja tietoturvadirektiivi 2

Koska NIS1 ei ilmeisesti riittänyt pysäyttämään kiristysohjelmien aaltoa

NIS2 on EU:n päivitetty kyberturvallisuusdirektiivi, joka korvaa alkuperäisen NIS-direktiivin. Se laajentaa merkittävästi niiden organisaatioiden joukkoa, joiden on otettava kyberturvallisuus vakavasti – energia- ja liikennealalta terveydenhuoltoon, digitaaliseen infrastruktuuriin ja jopa elintarviketuotantoon. Jos organisaatiosi on yhteiskunnalle välttämätön tai tärkeä, NIS2 koskee sinua.

Soveltamisala

Keskisuuret ja suuret toimijat 18 kriittisellä alalla (liitteet I ja II). Jäsenvaltiot voivat sisällyttää luetteloon myös pienempiä toimijoita, jos ne katsotaan kriittisiksi. Direktiivissä käytetään kahta luokkaa: keskeiset toimijat (tiukempi valvonta) ja merkittävät toimijat (kevyempi valvonta, mutta silti pakollinen).

Maantieteellinen kattavuus

EU:n laajuinen direktiivi – kukin jäsenvaltio saattaa sen osaksi kansallista lainsäädäntöään, joten sen tarkka täytäntöönpano vaihtelee. Keskeiset velvoitteet ovat kuitenkin yhdenmukaiset koko EU:ssa.

Voimassa vuodesta

18. lokakuuta 2024 (jäsenvaltioiden saattamismääräaika: 17. lokakuuta 2024)

Tarkoitus

Tavoitteena on saavuttaa korkea ja yhtenäinen kyberturvallisuustaso koko EU:ssa. Alkuperäinen NIS-direktiivi oli epäyhtenäinen – eri maat panivat sen täytäntöön eri tavoin, mikä johti kyberturvallisuuden tilanteeseen, joka muistutti tilkkutäkkiä. NIS2-direktiivin tavoitteena on muuttaa tämä tilkkutäkki yhtenäisemmäksi peitteeksi.

Siirry rooliisi:

Keskeinen kokonaisuus

Toimitte kriittisyydeltään korkean tason alalla (liite I): energia, liikenne, pankkitoiminta, rahoitusmarkkinoiden infrastruktuuri, terveydenhuolto, juomavesi, jätevesi, digitaalinen infrastruktuuri, ICT-palvelujen hallinta (B2B), julkishallinto tai avaruusala. Organisaatiossanne on todennäköisesti yli 250 työntekijää tai yli 50 miljoonan euron vuotuinen liikevaihto. Jos palvelunne keskeytyvät, ihmiset huomaavat sen välittömästi.

Velvollisuutesi

  • Otetaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä vähintään 10 eri osa-alueella (21 artikla) – tapahtumien käsittelystä toimitusketjun turvallisuuteen
  • Ilmoita merkittävistä tapahtumista kansalliselle CSIRT-yksikölle tai toimivaltaiselle viranomaiselle: ennakkoilmoitus 24 tunnin kuluessa, täydellinen ilmoitus 72 tunnin kuluessa, loppuraportti yhden kuukauden kuluessa (23 artikla)
  • On varmistettava, että hallintoelimen jäsenet saavat kyberturvallisuuskoulutusta ja hyväksyvät riskienhallintatoimenpiteet (20 artikla) — kyllä, hallituksen on ymmärrettävä tämä
  • Toteuta toimitusketjun turvallisuustoimenpiteitä, mukaan lukien tärkeimpien toimittajien arviointi (21.2d artikla)
  • Käytä salausta, monivaiheista tunnistautumista ja suojattua viestintää tilanteen mukaan (21 artiklan 2 kohdan h–j alakohta)
  • Ylläpitää liiketoiminnan jatkuvuussuunnitelmia, mukaan lukien varmuuskopiointi ja katastrofien jälkeinen palautus (21.2c artikla)
  • Suorita säännöllisesti turvallisuusarviointeja ja -tarkastuksia (21 artiklan 2 kohdan f alakohta)
  • Rekisteröidy kansalliselle toimivaltaiselle viranomaiselle (3 artikla)

Keskeiset artikkelit

3 § — Keskeiset ja merkittävät tahot20 § — Hallinto21 § — Kyberturvallisuusriskien hallinta23 § — Ilmoitusvelvollisuudet32 § — Keskeisten toimijoiden valvontaLiite I – Erittäin kriittiset alat
Ammattilaisen vinkki

24 tunnin varoitusaika ei ole leikin asia. Varmista, että käytössäsi on valmiiksi laadittu tapahtumailmoitusmalli ja nimetty ilmoittaja, joka tuntee menettelytavat. Harjoittele ilmoitusprosessia ennen kuin sitä tarvitaan – kello kolmelta yöllä keskellä kiristysohjelma-hyökkäystä ei ole oikea hetki selvittää CSIRT:n portaalin toimintaa.

Merkittävä yhteisö

Toimitte kriittisellä alalla (liite II): postipalvelut, jätehuolto, teollisuus, kemianteollisuus, elintarviketeollisuus, tutkimus tai digitaalipalvelujen tarjoajat (verkkokauppapaikat, hakukoneet, sosiaalisen median alustat). Organisaatiossanne on yli 50 työntekijää tai sen vuotuinen liikevaihto on yli 10 miljoonaa euroa. Vaikka yrityksenne kaatuminen ei välttämättä pääse otsikoihin, yhteiskunta huomaisi sen aiheuttaman aukon.

Velvollisuutesi

  • On toteutettava samat kyberturvallisuusriskien hallintatoimenpiteet kuin keskeisillä toimijoilla (21 artikla) – kymmenen aluetta koskevat yhtä lailla
  • Noudata samaa tapahtumien ilmoittamisen aikataulua: 24 tunnin ennakkoilmoitus, 72 tunnin ilmoitus, yhden kuukauden loppuraportti (23 artikla)
  • Varmistetaan hallintoelimen koulutus ja toimenpiteiden hyväksyminen (20 artikla)
  • Suorittaa toimitusketjun due diligence -tarkastus (21 artiklan 2 kohdan d alakohta)
  • Ylläpidä liiketoiminnan jatkuvuus- ja kriisinhallintasuunnitelmia (21.2 c artikla)
  • Rekisteröidy kansalliselle toimivaltaiselle viranomaiselle (3 artikla)

Keskeiset artikkelit

3 § — Keskeiset ja merkittävät tahot20 § — Hallinto21 § — Kyberturvallisuusriskien hallinta23 § — Ilmoitusvelvollisuudet33 § — Merkittävien yhteisöjen valvontaLiite II – Muut kriittiset alat
Ammattilaisen vinkki

Älä anna sanan ”tärkeä” hämätä sinua luulemaan, että vaatimukset eivät olisi yhtä vakavia. Velvoitteet ovat samat kuin keskeisillä toimijoilla – ero on valvonnan tiukkuudessa ja seuraamuksissa. Syitä ottaa tämä vakavasti on silti runsaasti.

Kyberturvallisuus-/tietoturvapäällikkö

Sinä olet se henkilö, joka vastaa NIS2-vaatimusten käytännön toteutuksesta. Olipa tittelisi sitten tietoturvajohtaja (CISO), IT-turvallisuuspäällikkö tai ”se, jolle osui lyhyt tikku”, sinä olet se, joka muuntaa direktiivin vaatimukset konkreettisiksi turvatoimenpiteiksi, käytänteiksi ja tietoturvapoikkeamien käsittelymenettelyiksi.

Velvollisuutesi

  • Kehitetään ja ylläpidetään kyberturvallisuuden riskienhallintajärjestelmää, joka on yhdenmukainen Art. 21:n kymmenen osa-alueen kanssa
  • Laaditaan tapahtumien havaitsemista, niihin reagoimista ja raportoimista koskevat menettelytavat, jotka täyttävät 24 tunnin, 72 tunnin ja 30 päivän määräajat
  • Koordinoida toimitusketjun turvallisuusarviointeja kriittisten kolmansien osapuolten toimittajien osalta
  • Järjestää ja toteuttaa kyberturvallisuuskoulutusta johdolle ja henkilöstölle
  • Suorita säännöllisesti riskinarviointeja, haavoittuvuustarkastuksia ja tunkeutumistestejä
  • Ylläpitää ja testata liiketoiminnan jatkuvuus- ja katastrofipalautussuunnitelmia
  • Varmista tekniset suojatoimenpiteet: salaus, monivaiheinen todennus, verkon segmentointi, pääsynhallinta
  • Dokumentoi kaikki – NIS2-valvonta perustuu todisteisiin

Keskeiset artikkelit

21 § — Kaikki 10 riskienhallinnan osa-aluetta23 § — Poikkeamien ilmoittamisen määräajat20 § — Johtokunnan velvollisuudet
Ammattilaisen vinkki

Laadi vaatimustenmukaisuusmatriisi, jossa kunkin 21 artiklan osa-alue on yhdistetty nykyisiin valvontamenettelyihinne. Huomaatte todennäköisesti, että täytätte jo 60–70 % NIS2-direktiivin vaatimuksista – haasteena on dokumentoida tämä, korjata puutteet ja virallistaa ne käytännöt, joista tällä hetkellä sanotaan, että ”teemme tätä tavallaan”.

Miten Euregas voi auttaa

Käytettävissä olevat työkalut

  • Häiriöiden hallinta — seuraa häiriöitä automaattisten 24 tunnin, 72 tunnin ja 30 päivän määräaikamuistutusten avulla
  • Riskienhallintatoimenpiteet (21 artikla) — järjestelmällinen arviointi kaikilla 10 vaaditulla osa-alueella
  • Toimittajien arviointi — kahdeksan osa-alueen pisteytysjärjestelmä kolmansien osapuolten kyberturvallisuustason arvioimiseksi

Tekoälyllä tuetut ominaisuudet

  • Konsultointiohjelma (nis2_scope) — viisivaiheinen ohjattu arviointi, jonka avulla selvitetään, oletko välttämätön vai tärkeä toimija
  • Semanttinen haku NIS2-direktiivin artikloista ja johdanto-osista
Huomautus

Tapahtumien hallinta ja toimittajien arviointi ovat manuaalisia, jäsenneltyjä työnkulkuja. Tekoälyn avustusta on saatavilla laajuuden määrittämiseen tarkoitetun ohjattavan toimenpiteen kautta.

Kaikki esimerkit ovat kuvitteellisia ja tarkoitettu vain havainnollistamista varten.