Uusi EU:n kyberturvallisuusdirektiivi NIS2 astui voimaan 14. 12.2022 ja se tulee osaksi kansallista lainsäädäntöämme 18.10.2024 alkaen. Aikaisemmasta NIS1-direktiivistä poiketen uusi NIS2 vaatii yrityksiltä ja organisaatioilta merkittävistä tietoturvapoikkeuksista ilmoittamisen lisäksi aktiivisia kyberturvallisuutta vahvistavia riskienhallintatoimenpiteitä. Velvoitteisiin kuuluu mm. teknologianeutraalit riskianalyysit, toiminnan jatkuvuuden hallinta, poikkeaminen käsittely ja havainnointi.
NIS2 lainsäädäntö tulee koskemaan kaikkia yhteiskunnallemme kriittisiä toimijoita niiden kokoon katsomatta. Lain piirissä olevat toimijat on jaettu kahteen luokkaan – erittäin kriittisiin ja muihin kriittisiin toimialoihin:
Vaikka NIS2:n ulkopuolelle jää joukko yrityksiä, saattaa direktiivi koskea niitäkin, jos ne toimivat alihankkijoina NIS2:n piiriin kuluville yrityksille. On toimijan omalla vastuulla selvittää, koskeeko lainsääntö sen toimintoja. Arvoketjussa pienimmänkin toimijan kyberturvallisuuden laiminlyönti heikentää koko ketjun turvallisuutta.
NIS2 asettaa yrityksille vaatimukset suunnitella toimintaansa kyberturvallisuuden ja poikkeusolojen huoltovarmuuden kannalta, mikä on hyvä asia niin yrityksille, niiden työntekijöille, asiakkaille kuin myös koko yhteiskunnallemme. Riippuen katsantokannasta uusi laki on yrityksellesi joko kulu tai jopa mahdollisuus uuteen liiketoimintaan.
Ota meihin yhteyttä, niin kerromme objektiivisen näkemyksemme NIS2-kyberturvallisuusdirektiiviä toteuttavan kansallisen lainsäädännön vaikutuksesta yritykseesi!
Merja Vane-Tempest
Program Director
merja.vane-tempest(at)sininenpolku.fi
Jouni Marttila
Program Director
jouni.marttila(at)sininenpolku.fi