EU:n verkko- ja tietoturvadirektiivin (The Network and Information Security 2, NIS2) tavoitteena on saavuttaa korkeampi kyberturvallisuuden taso yhtenäistämällä jäsenvaltioiden kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita tärkeillä ja keskeisillä toimialoilla. Tämän lisäksi direktiivin avulla pyritään yhtenäistämään eri toimijoiden kyberturvallisuuden käytänteet. NIS2:n soveltamisalaan kuuluvien organisaatioiden olisi hyvä aloittaa regulaation noudattamiseen liittyvät valmistelut ajoissa, sillä joidenkin keskeisten vaatimusten täytäntöönpano tulee viemään aikaa.
NIS2 on aiemman Network and Information Security (NIS) -direktiivin seuraaja, ja sisältää tiukempia vaatimuksia sekä kohdistuu laajempaan toimialajoukkoon kuin edeltäjänsä. NIS2-direktiivi sisältää myös joukon pakollisia kyberturvallisuusriskien hallintatoimenpiteitä ja vaatimuksen tietoturvapoikkeaman ilmoittamisesta. Direktiivi tuli voimaan tammikuussa 2023 ja jäsenvaltioiden tulee saattaa se osaksi kansallista lainsäädäntöään lokakuuhun 2024 mennessä. Suomessa lainsäädäntöhankkeen täytäntöönpanoa koskevien säännösten soveltamisen aloitusajankohta on 18.10.2024.
NIS2-direktiivin avulla pyritään korjaamaan aiempien sääntöjen puutteet, mukauttamaan sitä nykyisiin tarpeisiin ja tekemään siitä tulevaisuuden vaatimukset huomioon ottava. Tätä varten direktiivillä laajennetaan aiempien sääntöjen soveltamisalaa tuomalla sääntelyn piiriin uusia aloja perustuen niiden digitalisaatioasteeseen, keskinäisiin kytköksiin sekä elintärkeyteen talouden ja yhteiskunnan kannalta. Toisin sanoen, käytössä on selkeä kokorajasääntö, jonka kautta kaikki valituilla aloilla toimivat keskisuuret ja suuret yritykset sisällytetään soveltamisalaan.
Direktiivin soveltaminen kohdistuu oikeushenkilöön tai luonnolliseen henkilöön, jonka harjoittama toiminta tai toimiala katsotaan kriittiseksi ja toiminta täyttää tai ylittää keskisuuren toimijan määritelmän. NIS2-direktiiviä sovelletaan myös niihin toimijoihin, jotka ovat CER-direktiivin (Critical Entities Resilience Directive) nojalla määritelty kriittisiksi toimijoiksi. Pääsääntöisesti keskeisiksi toimijoiksi katsotaan sellaiset toimijat, joiden palveluksessa on vähintään 250 työntekijää tai vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa. Vastaavasti tärkeiksi toimijoiksi katsotaan alla olevan listauksen mukaisilla aloilla olevat keskisuuret toimijat.
Myös poikkeustapaukset ovat mahdollisia, jos toimija koostaan riippumatta on yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestipalvelujen tarjoaja, luottamuspalvelun tarjoaja, aluetunnusrekisteri tai DNS-palveluntarjoaja. Tällöin koosta riippumaton palveluntarjoaja voidaan määritellä kriittiseksi ja näin ollen NIS2-direktiivin soveltamisen pariin kuuluvaksi.
NIS-direktiiviin piiriin kuuluvat toimijat (tarkemmat sektorit listattu Kyberturvallisuuskeskuksen sivuilla):
Direktiivi asettaa kansallisille viranomaisille tiukemmat valtuudet valvontatoimenpiteille. Tämän lisäksi direktiivi tiukentaa täytäntöönpanovaatimuksia sekä pyrkii yhdenmukaistamaan seuraamusmenettelyitä kaikissa jäsenvaltioissa. Direktiivin keskeiset velvoitteet koskevat riskienhallinnan tavoitteellisuutta ja ajantasaisuutta sekä raportointivelvoitetta merkittävistä poikkeamista. Uudessa direktiivissä säädetään myös aiempaa tarkemmin poikkeamien ilmoitusmenettelystä, raporttien sisällöstä, määräajoista sekä toimijoihin ja toimitusketjuihin kohdistuvista turvallisuusvaatimuksista.
NIS2-direktiivi asettaa periaatteet viranomaisten suorittamalle valvonnalle. Keskeisiin ja tärkeisiin toimijoihin kohdistetaan erilaisia valvontamenetelmiä ja valvonta suoritetaan ennakoivasti, jolloin toimijoihin voi kohdistua esimerkiksi paikan päällä tehtävät tarkastukset, toimipaikan ulkopuolinen valvonta sekä turvallisuustarkastukset. Tärkeiden toimijoiden kannalta vastaavat toimenpiteet suoritetaan vain silloin, jos on todisteita tai viitteitä siitä, että tärkeä toimija ei noudata direktiiviä. Täytäntöönpanotoimenpiteisiin kuuluvat varoitukset, sitovat ohjeet ja hallinnolliset sakot, jotka voivat olla enintään 10 miljoonaa euroa tai 2 % organisaation vuotuisesta kokonaisliikevaihdosta keskeisten toimijoiden osalta. Tärkeiden toimijoiden osalta hallinnolliset sakot voivat olla enintään 7 miljoonaa euroa tai 1.4 % organisaation vuotuisesta kokonaisliikevaihdosta. Keskeisten yksiköiden hallintoelimet voivat myös joutua henkilökohtaiseen vastuuseen ja väliaikaiseen kieltoon hoitaa johtotehtäviä.
On tärkeää tunnistaa, kuuluuko organisaatiosi liiketoiminta-alueita NIS2-direktiivin soveltamisaloihin ja aloittaa valmistelut ajoissa, sillä joidenkin edellä mainittujen keskeisten vaatimusten täytäntöönpano vie aikaa. Deloitte kehottaakin organisaatioita aloittamaan valmistelut pikimmiten, eikä jäädä odottamaan kansallisen lainsäädännön valmistumista.
Deloitte voi auttaa organisaatiotasi käsittelemään NIS2:ta kokonaisvaltaisesti. Lähestymistapamme on hyödyntää organisaatiossasi jo olemassa olevia valmiuksia perustana NIS2-vaatimustenmukaisuuden saavuttamiselle ja ottaa samalla huomioon muut EU:n säädökset, ja auttaa organisaatiotasi ottamaan ensimmäiset askeleet direktiivin vaatimusten täyttämiseksi. Lähestymistapamme sisältää esimerkiksi seuraavia asioita: