NIS2-direktiivi astuu voimaan 18.10. Mitä pitää tehdä käytännössä? Keitä NIS2 koskee? Mitä se tarkoittaa yrityksille, jotka eivät kuulu direktiivin piiriin?
Kyberturvallisuusdirektiivi eli NIS2 on pian täällä. Se sisältää velvoitteita kyberturvallisuuden riskienhallinnasta ja merkittävien poikkeamien raportoinnista soveltamisalaan kuuluville toimijoille.
NIS2-direktiivin ja siitä johdetun Suomen kyberturvallisuuslain tavoitteena on parantaa EU:ssa toimivien yritysten kyberresilienssiä ja varmistaa yhteiskunnan toimintojen ja liiketoiminnan jatkuvuus.
Asiantuntijamme Petri Heinonen ja Mikko Tammiruusu esittelivät webinaarissamme käytännönläheisiä vinkkejä direktiivin voimaantuloon valmistautumiseen. Lataa webinaarin tallenne täältä tai lue tiivistelmä alta.
NIS2 koskee jokaista yritystä
Vaatimuksia ei kannata ohittaa olankohautuksella, vaikka ei kuuluisikaan NIS2:ssa listattujen toimialojen joukkoon. Direktiivi luo perustason, joka jokaisen organisaation on käytännössä hyvä pyrkiä saavuttamaan.
Tämä johtuu siitä, että yritykset ovat verkottuneita ja monet NIS2:n piiriin kuuluvat toimijat tulevat edellyttämään toimitusketjuissaan olevilta yrityksiltä tietoturvan hallintamalleja ja perusasioista huolehtimista.
Lain takana on merkittävä business case – jokainen firma voi päätyä alla näkyviin otsikoihin. Siksi kyberresilienssi pitää ottaa vakavasti.
Vaatimuksista käytäntöön
NIS2-direktiivin niukkasanaisista vaatimuksista ja niihin perustuvasta kyberturvallisuuslaista voi olla vaikea johtaa käytännön tietoturvatoimia. Jokainen organisaatio tekee itse tulkintansa, miten asiat käytännössä hoitavat.
Traficom on koostanut suositukset valvoville viranomaisille. Traficomin Kyberturvallisuuskeskuksen sivuilta löytyy yrityksille paljon hyödyllistä tietoa direktiivin käytäntöön viemiseksi, ja neuvontapalvelusta voi kysyä apua. Myös ISO2700x-standardit avartavat NIS2:n vaatimuksia.
Koskaan ei ole myöhäistä aloittaa tietoturvan kehittämistä
Jos vasta nyt aloittaa valmistautumisen NIS2-vaatimuksiin, on jo myöhässä lain voimaantulon suhteen, mutta siitä huolimatta kannattaa aloittaa. NIS2-direktiiviin kannattaa tutustua, vaikkei se omaa toimialaa koskisikaan – vaatimukset ovat tulevaisuudessa perushygieniaa.
Turvallisuuden askelmerkit ovat periaatteessa yksinkertaiset, mutta sisältävät paljon työtä. Muista huomioida koko tietoturvan pyhä kolminaisuus: ihmiset, prosessit ja teknologiat. Liikkeelle kannattaa lähteä webinaarissamme esitellystä nykytilan kartoituksesta, jonka pohjalta tietoturvatyötä on helppo priorisoida. Jos tarpeen, ota asiantuntija avuksesi.
