Digitalisaation räjähdysmäinen kasvu ja siihen liittyvä kyberturvallisuusuhkien kehitys ovat tuoneet mukanaan merkittäviä haasteita viime vuosina. EU otti NIS-direktiivin eli kyberturvallisuusdirektiivin käyttöön alun perin vuonna 2016 säädelläkseen EU:n yleistä kyberturvallisuustasoa. Silloisessa NIS-direktiivissä huomattiin rajoitteita, vaikka sillä saavutettiinkin hyviä asioita.
COVID 19 -kriisin vauhdittama digitaalinen muutos on laajentanut uhkakuvia, mikä on vaatinut mukautuvia ja innovatiivisia ratkaisuja uhkien ehkäisemiseksi. Uuden NIS2-direktiivin tarkoituksena on nykyaikaistaa oikeudellista kehystä ja varmistaa, että se pysyy digitalisaation ja uusien kyberturvallisuusuhkien vauhdissa.
Kyberturvallisuussääntöjä laajennetaan direktiivissä kattamaan uusia sektoreita ja yksiköitä ottaen huomioon niiden digitalisoitumisaste, yhteen liitettävyys, sekä niiden kriittinen merkitys taloudelle ja yhteiskunnalle. Laajennus vahvistaa julkisten ja yksityisten tahojen, viranomaisten ja koko EU:n kestävyyttä ja valmiuksia häiriötilanteisiin. Direktiivissä otetaan käyttöön myös selkeä kokokynnyssääntö, joka kattaa kaikki keskisuuret ja suuret yritykset valituilla aloilla. Samalla se antaa jäsenvaltioille harkintavaltaa yksilöidä pienempiä korkean turvallisuusriskiprofiilin yksiköitä, millä varmistetaan niiden sisällyttäminen uuden direktiivin velvoitteiden piiriin.
NIS2-direktiivin ensisijainen tavoite on taata yhteinen korkea kyberturvallisuuden taso kaikkialla EU:ssa:
NIS2-direktiivi tuo uusia vaatimuksia ja velvoitteita organisaatioille neljällä yleisellä alueella:
Keskeiset alat:
Kokokynnys: vaihtelee toimialoittain, mutta yleensä 250 työntekijää, vuosiliikevaihto 50 MEUR tai tase 43 MEUR.
Kriittiset alat:
Kokokynnys: vaihtelee toimialoittain, mutta yleensä 50 työntekijää, vuosiliikevaihto 10 MEUR tai tase 10 MEUR.
Lokakuuhun 2024 mennessä
Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä (21 kuukautta NIS:n voimaantulosta).
Lue lisää NIS2-direktiivistä ja aloista, joihin se vaikuttaa, sekä direktiivin noudattamatta jättämisen riskistä täällä European Commissions FAQ