Digitalisaation räjähdysmäinen kasvu ja siihen liittyvä kyberturvallisuusuhkien kehitys ovat tuoneet mukanaan merkittäviä haasteita viime vuosina. EU otti NIS-direktiivin eli kyberturvallisuusdirektiivin käyttöön alun perin vuonna 2016 säädelläkseen EU:n yleistä kyberturvallisuustasoa. Silloisessa NIS-direktiivissä huomattiin rajoitteita, vaikka sillä saavutettiinkin hyviä asioita.
COVID 19 -kriisin vauhdittama digitaalinen muutos on laajentanut uhkakuvia, mikä on vaatinut mukautuvia ja innovatiivisia ratkaisuja uhkien ehkäisemiseksi. Uuden NIS2-direktiivin tarkoituksena on nykyaikaistaa oikeudellista kehystä ja varmistaa, että se pysyy digitalisaation ja uusien kyberturvallisuusuhkien vauhdissa.
Kyberturvallisuussääntöjä laajennetaan direktiivissä kattamaan uusia sektoreita ja yksiköitä ottaen huomioon niiden digitalisoitumisaste, yhteen liitettävyys, sekä niiden kriittinen merkitys taloudelle ja yhteiskunnalle. Laajennus vahvistaa julkisten ja yksityisten tahojen, viranomaisten ja koko EU:n kestävyyttä ja valmiuksia häiriötilanteisiin. Direktiivissä otetaan käyttöön myös selkeä kokokynnyssääntö, joka kattaa kaikki keskisuuret ja suuret yritykset valituilla aloilla. Samalla se antaa jäsenvaltioille harkintavaltaa yksilöidä pienempiä korkean turvallisuusriskiprofiilin yksiköitä, millä varmistetaan niiden sisällyttäminen uuden direktiivin velvoitteiden piiriin.
NIS2-direktiivin ensisijainen tavoite on taata yhteinen korkea kyberturvallisuuden taso kaikkialla EU:ssa:
- Jäsenvaltioiden valmius edellyttää, että niillä on asianmukaiset varusteet. Esimerkiksi tietoturvaloukkauksiin reagoivan ryhmän (CSIRT) ja toimivaltaisen kansallisen verkko- ja tietojärjestelmien (NIS) viranomaisen kanssa.
- Kaikkien jäsenvaltioiden välinen yhteistyö, perustamalla yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa jäsenvaltioiden välillä.
- Turvallisuuskulttuuri kaikilla talouden ja yhteiskunnan kannalta elintärkeillä aloilla, jotka ovat vahvasti riippuvaisia tieto- ja viestintätekniikasta, kuten energia, liikenne, vesi, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri.
NIS2-direktiivi tuo uusia vaatimuksia ja velvoitteita organisaatioille neljällä yleisellä alueella:
- Riskijohtaminen
- Yritys
- Raportointivelvollisuus
- Liiketoiminnan jatkuvuus
Seuraavat alat on lueteltu olennaisina ja tärkeinä yksikköinä
Keskeiset alat:
Kokokynnys: vaihtelee toimialoittain, mutta yleensä 250 työntekijää, vuosiliikevaihto 50 MEUR tai tase 43 MEUR.
- Energia,
- Liikenne
- Pankkitoiminta
- Julkishallinto
- Terveys
- Tila
- Juomavesi (juomavesi & jätevesi)
- Digitaalinen infrastuktuuri
Kriittiset alat:
Kokokynnys: vaihtelee toimialoittain, mutta yleensä 50 työntekijää, vuosiliikevaihto 10 MEUR tai tase 10 MEUR.
- posti- ja kuriiripalvelut
- jätehuolto
- kemikaalit
- tutkimusorganisaatiot
- elintarvikkeet
- lääkinnällisten laitteiden, tietokoneiden ja elektroniikan, koneiden ja laitteiden, moottoriajoneuvojen, perävaunujen ja puoliperävaunujen sekä muiden kuljetusvälineiden valmistus
- digitaaliset palveluntarjoajat (verkkomarkkinat, verkossa toimivat hakukoneet ja sosiaalisen verkostoitumisen palvelualustat)
Lokakuuhun 2024 mennessä
Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä (21 kuukautta NIS:n voimaantulosta).
Lue lisää NIS2-direktiivistä ja aloista, joihin se vaikuttaa, sekä direktiivin noudattamatta jättämisen riskistä täällä European Commissions FAQ
