Kyberturvallisuuden merkitys on kasvanut yhteiskunnassa koko ajan, sillä teknologia kehittyy nyt nopeasti ja jopa radikaalisti mm. tekoälykehityksen myötä. Tämä mahdollistaa positiivisia asioita liiketoimintojen ja palveluiden kehittämisessä, mutta se lisää myös verkkorikollisuuden ja verkkotiedustelun mahdollisuuksia hyödyntää monenlaisia haavoittuvuuksia.  

Mikä direktiivi?

NIS2- eli Network and Information Security – eli verkko- ja tietoturvadirektiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta.

6 kuukautta voimaan tuloon

Euroopan unionin verkko- ja tietoturvadirektiivi eli NIS2-direktiivi tuli EU:ssa voimaan 14.12.2023. Suomen kansallinen lainsäädäntö on vielä vahvistamatta, mutta lain soveltaminen alkaa 18.10.2024. NIS2-direktiivi korvasi aiemman noin 6 vuotta vanhan NIS-direktiivin.

Mikä muuttuu organisaatioiden kannalta?

Laki tuo mukanaan merkittävän laajennuksen organisaatioihin, joita se koskee. Sen lisäksi organisaatioille asetettavat vaatimukset kyberturvallisuuden riskienhallinnalle ja sen edellyttämille toimenpiteille laajenevat merkittävästi. Nämä ovat lain soveltamisalaan kuuluville organisaatioille velvoittavia – keskeisiltä ja tärkeiltä toimijoilta edellytetään konkreettisia toimenpiteitä.

Organisaatioiden ylin johto asetetaan nyt entistä selkeämmin vastuuseen vaatimuksenmukaisuudesta ja määräysten noudattamisesta. Samalla toimijalle laiminlyönneistä määrättävät sakot nousevat merkittävästi.

NIS2-direktiivin soveltamisala – siis keitä se koskee?

Laissa määritellään toimialakohtaisesti keskeiset ja tärkeät toimijat, joita velvoitteet koskevat. Näillä toimialoilla kaikki organisaatiot, jotka työllistävät yli 50 henkilöä tai joiden liikevaihto on yli 10 miljoonaa euroa, ovat velvoitteiden piirissä.

Julkishallinnon osalta velvoitteet koskevat erikseen määriteltyjä keskeisiä toimijoita ja kuntien osalta ainakin kaikkia niitä, joiden energia-, vesi-, jätevesi- ja jätehuoltoyhtiöt täyttävät keskeisten tai tärkeiden toimijoiden ehdot.

Keskeisiksi ja tärkeiksi määriteltyjä toimijoita koskee, koosta riippumatta, samalla tavalla kaikki määritellyt velvoitteet. Laissa määritellysti keskeiset ja tärkeät toimijat eroavat toisistaan vain kahdella tavalla. Ensiksi keskeisiä toimijoita valvotaan aktiivisesti velvoitteiden noudattamisesta, tärkeitä toimijoita lähinnä silloin kun poikkeamia havaitaan. Toiseksi keskeisille toimijoille voidaan laiminlyönneistä antaa korkeampia sakkoja kuin tärkeille toimijoille.

Vaatimuksenmukaisuuden kohteena on organisaation toiminta, eli tuotantoprosessit, ja niiden kannalta merkitykselliset viestintäverkot ja tietojärjestelmät.

KESKEISET TOIMIJAT

TÄRKEÄT TOIMIJAT

Lainsäädännön soveltamisalat toimialoittain jaoteltuna keskeisiin ja tärkeisiin toimijoihin. (Lähde: NIS2-soveltamisopas, 0.9 (beta), Kyberala ry – FISC)

Kyberturvallisuudessa havaittujen poikkeamien ilmoitusvelvollisuus

Toimijoille asetetaan lainsäädännölliset velvoitteet tapahtumien ja häiriötilanteiden hallinnassa kuinka poikkeamia tulee käsitellä turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi. Toimijoilla tulee olla poikkeamien käsittelyä varten käytännöt mm. niihin reagoimiseksi ja niiden dokumentoimiseksi.

Organisaatioilla tulee siis olla kyky hallita, reagoida ja palautua kybertapahtumista ja -häiriöistä.

Ilmoitusvelvollisuus koskee myös alihankkijalla huomattua poikkeamaa, jos se voi aiheuttaa häiriön toimijan toiminnassa.

Lain mukaan toimijan on toimitettava valvovalle viranomaiselle ilmoituksia, raportteja ja loppuraportti tarkasti määriteltyjen aikarajojen puitteissa.

Pakolliset riskienhallinnan vähimmäistoimet

Poikkeamien ennaltaehkäisemiseksi ja vaikutusten estämiseksi tai minimoimiseksi NIS2-direktiivin 21. artiklassa asetetaan vaatimuksia keskeisille ja tärkeille toimijoille toteuttaa tekniset, operatiiviset ja organisatoriset toimenpiteet.

Kokonaisuus on hyvin laaja ja edellyttää johdon ja koko organisaation perehtymistä ja kouluttautumista kyberturvallisuusriskeihin ja niiden hallintakeinoihin. Omaa toimintaympäristöä tulee säännöllisesti tarkastella suhteessa vaatimuksiin. On siis huomioitava mm. teknologiset, fyysiset, hallinnolliset, henkilöstö ja liiketoiminnalliset riskit, ja niiden mahdolliset vaikutukset organisaation toimintaan.

Viranomaisten keinot toimeenpanon valvonnassa

Keskeisten toimijoiden osalta vaatimuksenmukaisuuden toteutumista valvotaan aktiivisesti viranomaisten toimesta. Tärkeiden toimijoiden osalta puutteisiin reagoidaan, kun poikkeamia havaitaan. Viranomaisilla on laissa asetettuja keinoja toimeenpanon valvonnassa ja häiriötilanteesta takaisin vaatimustenmukaiseen toimintaan palauttamiseen ohjaamisessa.

Sanktiot vaatimuksenmukaisuuden puutteista voivat olla merkittäviä

Hallinnolliset sakot laiminlyönneistä voivat olla erittäin suuria, miljoonia euroja tai jopa kymmeniä miljoonia.

Huomio kiinnittyy helposti vain sakkoihin, mutta myös muut mahdolliset sanktiot ovat merkittäviä. Koska johdon vastuuta korostetaan vaatimuksenmukaisen toiminnan aikaansaamisessa, niin se otetaan huomioon myös sanktioissa. Organisaatiolle annettavien sakkojen lisäksi ylintä tai vastuussa olevaa johtoa voidaan asettaa väliaikaiseen toimintakieltoon tehtävissään.

Organisaation liiketoiminnan kannalta sakkoja ja toimintakieltoja merkittävämpiä voivat olla muut sanktioiden suorat tai välilliset vaikutukset. Vaatimuksenmukaisuuden puutteet voidaan määrätä julkistettavaksi, millä voi olla suuriakin vaikutuksia liiketoimintaan maineeseen tulleen ’kolhun’ seurauksena. Myös palvelun kannalta keskeisten sertifiointien, valtuutusten tai lupien keskeytys on mahdollinen sanktio, millä on varmasti liiketoiminnallisia tai palvelullisia vaikutuksia.

KESKEISET ORGANISAATIOT

TÄRKEÄT ORGANISAATIOT

Johdon vastuut ja tehtävä

Vastuu ja luottamus ovat kyberturvallisuudessa aivan keskeisessä asemassa. Organisaatioiden ja niiden johdon on tunnettava oma vastuunsa kyberturvallisuudesta huolehtimisessa. Sillä on suuri merkitys organisaation oman toiminnan kannalta, mutta sillä voi keskeisten ja tärkeiden toimijoiden osalta olla vielä merkittävämpi vaikutus koko yhteiskuntamme nauttimaan luottamukseen, jopa yhteiskunnan vakauteen asti.

Riskienhallinta on keskeinen elementti liiketoiminnan jatkuvuuden turvaamisessa. Kyberturvallisuus ja kyberturvallisuuden riskit ovat toiminnan luonteesta riippumatta enemmän ja enemmän riskienhallinnan keskiössä. Johto vastaa kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä.  Johdon on myös hyväksyttävä riskienhallinnan toimintamalli ja valvottava sen toteutumista. Johto ei voi vastuutaan delegoida.

Johdon vastuulla on siis luoda ja ylläpitää kyberturvallisuutta tukevaa yrityskulttuuria. Kulttuuri ei synny hetkessä eikä vain käskemällä. Sen syntyminen ja ylläpitäminen edellyttää hyvää suunnittelua, toteutusta, koulutusta ja seurantaa. Se vaatii myös asian jatkuvaa esillä pitämistä ja aitoa sitoutumista, niin johdolta kuin koko organisaatioltakin.

Johdolla on suuri vastuu kyberturvallisuuden riskienhallinnan kokonaisuudessa ja siten myös vaatimustenmukaisuuden toteutumisessa. Vastuuseen liittyy myös paljon velvollisuuksia, minkä takia johdon tulee olla aidosti kiinnostunut ja aktiivinen kyberturvallisuuden suhteen.

NIS2-artikkeli saa jatkoa

Kirjoitamme tulevissa blogiartikkeleissa tarkemmin siitä, mitä NIS2-vaatimuksiin vastaaminen käytännössä organisaatiolta edellyttää. Seuraavan artikkelin otsikko tulee olemaan NIS2-direktiivi ja kyberhygienia.