NIS2-direktiivin uudet säädökset ja niiden seuraukset

EU:n uusi kyberturvallisuusdirektiivi NIS2 tulee voimaan lokakuussa 2024. Aiemmin 18. huhtikuuta 2024 pidetyssä webinaarissamme Olli Kauppinen, Senior Software Security Engineer, avasi käytännönläheisesti direktiivin keskeiset kohdat ja erityisesti sen vaikutukset Mepco HRM -ohjelmistopalveluun. Lue tiivistelmä webinaarin sisällöstä tästä blogista.

Mikä on NIS2-direktiivi?

NIS2-direktiivi, lyhennys sanoista ”Network and Information Systems”, edustaa päivitettyä versiota alkuperäisestä NIS-direktiivistä ja ottaa paremmin huomioon nykyisen kyberuhkien monimuotoisuuden. Se tiukentaa suojautumisen vähimmäisvaatimuksia ja laajentaa soveltamisalaa kriittisten toimialojen lisäksi myös uusiin sektoreihin, julkisiin organisaatioihin ja yli 50 työntekijän yrityksiin.

EU:n kyberturvallisuusdirektiivi antaa yleiset suuntaviivat, mutta jokainen jäsenvaltio päättää itsenäisesti, miten direktiivi otetaan huomioon kansallisessa lainsäädännössä. Suomessa direktiiviä käsitellään lailla, joka koskee kyberturvallisuuden riskienhallintaa. Tämä lainsäädäntö on vielä valmisteilla ja sen esittely on suunniteltu viikolle 21.

Direktiivin taustalla on kasvava kyberhyökkäysten määrä, joka kattaa muun muassa kyberrikollisuuden, tietomurrot ja kiristyshaittaohjelmat.

Lisäksi etätyön lisääntyminen pandemian myötä on muuttanut uhkaskenaarioita, kun työtä tehdään entistä enemmän etänä.

Miten uusi direktiivi eroaa aikaisemmasta?

Uusi direktiivi eroaa aiemmasta siinä, että se tiukentaa raportointivelvoitteita entisestään.

Esimerkiksi, kun uusi tietosuojalaki tuli voimaan vuoden 2019 alussa, se toi mukanaan erilaisia raportointivelvoitteita. Nyt uuden direktiivin myötä nämä velvoitteet tiukentuvat.

Viranomaisille on ilmoitettava merkittävistä poikkeamista jo 24 tunnin sisällä, ja jatkoselvitys on tehtävä 72 tunnin kuluessa ilmoituksen tekemisestä.

Kuvitellaan tilanne, jossa perjantai-iltapäivänä havaitaan tietovuoto tai muu merkittävä poikkeama; tästä on ilmoitettava viranomaisille lauantai-iltapäivään mennessä, ja jo maanantaina on aloitettava jatkoselvitys. Tämä tarkoittaa sitä, että toimijan on oltava valmiina reagoimaan myös viikonloppuisin.

Uuden direktiivin mukaan merkittävistä poikkeamista on ilmoitettava viipymättä myös niille palvelun vastaanottajille, joita se todennäköisesti haittaa. Samoin merkittävistä kyberuhista on ilmoitettava välittömästi.

Muista merkittävistä poikkeamista ilmoitus voidaan tehdä vapaaehtoisesti. Tämä on hyödyllistä siksi, että viranomaiset voivat muodostaa tilannekuvaa Suomen kyberturvallisuuden tilasta.

Keitä direktiivi koskettaa?

NIS2-direktiivin vaatimukset kohdistuvat laajalle joukolle organisaatioita, jotka sisältävät sekä kriittisiä että tärkeitä toimialoja.

Kriittisiin toimialoihin kuuluvat muun muassa energia-, kuljetus-, pankki- ja finanssimarkkinat, terveydenhuolto, juomavesi ja jätevesi, digitaalinen infrastruktuuri, ICT-palveluiden hallinta, julkishallinto ja avaruusteollisuus. Tärkeisiin toimialoihin puolestaan lukeutuvat posti- ja kuljetuspalvelut, jätehuolto, valmistava teollisuus, kemianteollisuus ja -jakelu, ruoantuotanto, -prosessointi ja -jakelu, digitaaliset palvelut ja niiden tuotanto sekä tutkimuslaitokset.

Lisäksi NIS2-direktiivi koskee yrityksiä, joissa on yli 250 työntekijää, riippumatta liikevaihdosta. Yritykset, joissa on yli 50 työntekijää ja joiden vuotuinen liikevaihto tai vuositase on yli 10 miljoonaa euroa, ovat myös direktiivin piirissä.

Viranomaiset voivat kuitenkin myös velvoittaapieniä kriittistä palvelua tarjoavia yrityksiä täyttämään NIS2:n vaatimukset.

Tietoturvavaatimukset

NIS2-direktiivi määrittelee selkeitä tietoturvavaatimuksia niille toimijoille, jotka kuuluvat sen soveltamisalaan.

Näihin vaatimuksiin sisältyvät muun muassa turvallisuuden ja riskien hallinta sekä kyky reagoida kyberhyökkäyksiin. Käytännön riskienhallintatoimenpiteet vaihtelevat organisaatioiden välillä johtuen erilaisista työympäristöistä ja riskiprofiileista.

Keskeisiin toimenpiteisiin kuuluvat muun muassa kyberturvallisuuden riskienhallinnan toimintaperiaatteet, viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat periaatteet, henkilöstöturvallisuus ja koulutus kyberturvallisuudessa, pääsynhallinnan ja todentamisen menettelyt sekä fyysisen ympäristön ja tilojen turvallisuus.

NIS2-direktiivi vaatii, että muun muassa käyttäjien tunnistaminen, käyttövaltuuksien hallinta, käyttäjien tunnistautuminen, tärkeiden tietojen suojaaminen ja tietoturva-/käyttötapahtumien valvonta ja raportointi ovat asianmukaisesti järjestettyjä.

Laiminlyönnin seuraukset

Jos toimija olennaisesti tai vakavasti laiminlyö riskienhallintamallia ja sen toteutusta, viranomainen voi puuttua toimintaan. Tämä voi johtaa erilaisiin seuraamuksiin, kuten huomautukseen tai varoitukseen, luvanvaraisen tai sertifioidun toiminnan rajoittamiseen ja viime kädessä johdon toiminnan rajoittamiseen. Esimerkkinä tässä kohtaa voidaan mainita Vastaamon tietomurto, joka on Suomen historiassa poikkeava vakavuudessaan.

Valvova viranomainen on myös velvoitettu ilmoittamaan tietosuojavaltuutetulle, mikäli riskienhallintamallin laiminlyönti on johtanut tai saattanut johtaa henkilötietojen tietoturvaloukkaukseen.

Seuraamusmaksujen käyttö edellyttää merkittävää huolimattomuutta. Keskeisille toimijoille enimmäismäärät ovat 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta liikevaihdosta. Muille toimijoille enimmäismäärät ovat 7 miljoonaa euroa tai 1,4 prosenttia maailmanlaajuisesta liikevaihdosta.

Miten Accountor HR Solutions on valmistautunut?

Olemme hyödyntäneet ulkoista kumppania varmistaaksemme, että NIS2-direktiivin vaikutuspiiriin kuuluva tulkinta on oikea.

Lisäksi olemme käynnistäneet sisäisen NIS2-projektin, jonka tavoitteena on tarkastella nykyisiä toimintatapoja ja kehittää niitä vastaamaan uusia vaatimuksia. Tavoitteenamme on saada NIS2-vaatimukset täytettyä ja dokumentoitua 18.10.2024 mennessä.

Merkittävin uudistus Accountor HR Solutionsin osalta liittyy raportointivelvollisuuksien integroimiseen olennaiseksi osaksi nykyisiä prosesseja.

Mitä tämä tarkoittaa Mepco HRM-järjestelmän käyttäjille?

Ohjelmistopalvelun näkökulmasta etuna on, että Accountor HR Solutions hoitaa ylläpidon ja riskianalyysin käyttäjien puolesta SaaS-ympäristössä.

Siirtyessään Mepcon ohjelmistopalveluasiakkaiksi, käyttäjät voivat luottaa siihen, että NIS2-direktiiviin liittyvät asiat järjestelmän ylläpidossa ovat meidän vastuullamme, jolloin he voivat keskittyä Mepcon käyttöön ja oman toimintansa kehittämiseen.