Luvut 08 Voimassa: 18. lokakuuta 2024

NIS2-direktiivi

Verkko- ja tietojärjestelmien turvallisuutta koskeva direktiivi

Yleiskatsaus

NIS2 korvaa ja laajentaa merkittävästi alkuperäistä NIS-direktiiviä, luoden korkean yhteisen kyberturvallisuustason koko EU:ssa. Se koskee huomattavasti laajempaa sektoreiden ja toimijoiden kirjoa, ottaa käyttöön tiukemmat valvontatoimet ja yhdenmukaistaa seuraamuksia jäsenvaltioiden välillä.[1]

Direktiivinä NIS2 vaati kansallisen lainsäädännön täytäntöönpanoa 17. lokakuuta 2024 mennessä. Täytäntöönpano vaihtelee jäsenvaltioittain.

Soveltamisala: Olennaiset vs Tärkeät toimijat

Olennaiset toimijat (tiukempi valvonta)[2]

SektoriEsimerkkejä
EnergiaSähkö, öljy, kaasu, vety, kaukolämpö
LiikenneIlma-, rautatie-, vesiliikenne, maantie
PankkitoimintaLuottolaitokset
RahoitusmarkkinatKaupankäyntipaikat, keskitetyt vastapuolet
TerveysTerveysalan palveluntarjoajat, laboratoriot, lääkeala, lääkinnälliset laitteet
JuomavesiVesihuolto
JätevesiJäteveden käsittely
Digitaalinen infrastruktuuriIXP:t, DNS, TLD-rekisterit, pilvipalvelut, datakeskukset, CDN:t, TSP:t
ICT-palvelunhallintaHallitut palveluntarjoajat, hallitut tietoturvapalveluntarjoajat
Julkinen hallintoKeskushallinnon toimielimet
AvaruusMaapohjaiset infrastruktuurin operaattorit

Tärkeät toimijat (kevyempi valvonta)

SektoriEsimerkkejä
PostipalvelutPosti- ja kuriiripalvelut
JätehuoltoJätteiden keräys ja käsittely
KemikaalitValmistus ja jakelu
RuokaTuotanto ja jakelu
ValmistusLääkinnälliset laitteet, elektroniikka, koneet, ajoneuvot
Digitaaliset palveluntarjoajatVerkkokaupat, hakukoneet, sosiaaliset verkostot
TutkimusTutkimusorganisaatiot

Kokorajat

NIS2 koskee yleisesti keskisuuria ja suuria toimijoita:

  • Keskisuuri: 50+ työntekijää TAI 10 miljoonaa euroa liikevaihtoa/tase
  • Suuri: 250+ työntekijää TAI 50 miljoonaa euroa liikevaihtoa TAI 43 miljoonaa euroa tase

Jotkut toimijat kuuluvat soveltamisalaan koosta riippumatta (DNS, TLD-rekisterit, pilvipalveluntarjoajat, datakeskukset jne.).

Tärkeimmät vaatimukset

Riskienhallintatoimet (21 artikla)[3]

Toimijoiden on toteutettava asianmukaiset tekniset, operatiiviset ja organisatoriset toimet:

  1. Politiikat: Riskianalyysi ja tietojärjestelmien turvallisuuspolitiikat
  2. Häiriötilanteiden käsittely: Havaitseminen, reagointi ja palautuminen
  3. Toiminnan jatkuvuus: Varmuuskopiointi, katastrofipalautus, kriisinhallinta
  4. Toimitusketjun turvallisuus: Toimittajien turvallisuusvaatimukset
  5. Verkon turvallisuus: Hankinta-, kehitys- ja ylläpitoturvallisuus
  6. Tehokkuuden arviointi: Politiikat turvallisuustoimien tehokkuuden arvioimiseksi
  7. Peruskyberturvallisuus: Koulutus- ja tietoisuusohjelmat
  8. Kryptografia: Politiikat kryptografisista valvontatoimista ja salauksesta
  9. Henkilöstöasiat: Henkilöstöturvallisuus ja pääsynhallinta
  10. Monivaiheinen tunnistautuminen: MFA ja turvalliset viestintäjärjestelmät

Häiriöilmoitukset (23 artikla)[4]

AikatauluVaatimus
24 tuntiaVarhainen varoitus CSIRT:lle/valvontaviranomaiselle
72 tuntiaHäiriöilmoitus alkuarvioinnin kera
1 kuukausiLopullinen raportti juurisyystä ja korjaavista toimenpiteistä

Merkittävät häiriöt on ilmoitettava, jos ne aiheuttavat tai voivat aiheuttaa vakavia toimintahäiriöitä tai taloudellisia menetyksiä tai vaikuttavat muihin luonnollisiin tai oikeushenkilöihin.

Johtamisen vastuu

Johtamiselimien on:

  • Hyväksyttävä kyberturvallisuuden riskienhallintatoimet
  • Valvottava turvallisuustoimien toteutusta
  • Oltava henkilökohtaisesti vastuussa noudattamatta jättämisestä
  • Käytävä kyberturvallisuuskoulutuksessa

Rangaistukset

  • Olennaiset toimijat: Enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta
  • Tärkeät toimijat: Enintään 7 miljoonaa euroa tai 1,4 % maailmanlaajuisesta liikevaihdosta[5]

Jäsenvaltiot voivat määrätä lisärangaistuksia, mukaan lukien väliaikaiset johtamiskieltoja.

Kehittäjien ja ICT-palveluntarjoajien velvollisuudet

Jos tarjoat ICT-palveluja tai -tuotteita:

  1. Hallitut palveluntarjoajat: Suoraan soveltamisalassa olennaisina toimijoina
  2. Pilvipalveluntarjoajat: Suoraan soveltamisalassa olennaisina toimijoina
  3. Ohjelmistokehittäjät: Toimitusketjuvelvoitteet asiakasorganisaatioilta
  4. Tietoturvatoimittajat: Saatetaan määritellä tärkeiksi toimijoiksi

Lähteet ja viitteet

[1]
Direktiivi (EU) 2022/2555 korkean yhteisen kyberturvallisuustason saavuttamiseksi. EUR-Lex: NIS2 virallinen teksti
[2]
NIS2:n liitteet I ja II: Olennaiset ja tärkeät toimialat. NIS2-Directive.com: Toimialat
[3]
NIS2 21 artikla: Kyberturvallisuuden riskienhallintatoimet. NIS2-Directive.com: Artikla 21
[4]
NIS2 23 artikla: Häiriöilmoitusvelvollisuudet. NIS2-Directive.com: Artikla 23
[5]
NIS2 34 artikla: Hallinnolliset sakot. NIS2-Directive.com: Artikla 34