Tunnetko NIS2-direktiivin? Jos johdat organisaatiota kriittisellä alalla, kuten energia-, liikenne- tai terveydenhuoltoalalla, sinun on tiedettävä, mitä direktiivi tarkoittaa ja miten sitä sovelletaan.
– Jos työpaikalla syttyy tulipalo, kaikilla organisaatioilla pitäisi olla jonkinlaiset ohjeet ja säännöt siitä, miten toimitaan: missä palopeitteet ovat, miten henkilöstö evakuoidaan ja kenelle soitetaan. Vastaavasti organisaatioiden olisi oltava valmistautuneita mahdolliseen verkkohyökkäykseen. Menettelyjen ja prosessien pitäisi yksinkertaisesti olla valmiina, sanoo Johan Rönnqvist DG Creativesta.
Yhdessä kollegansa Joel Sjöblomin, DG Creativen toimitusjohtajan, kanssa hän luennoi Concordiassa 3.10.2024 uudesta NIS2-direktiivistä, joka tulee voimaan tässä kuussa. Niin sanottu NIS2-direktiivi eli Network and Information Security Directive 2, käsittelee velvollisuuksia hallita ja raportoida tietoverkkoriskejä ja -tietomurtoja tietyillä yhteiskunnan kriittisillä aloilla. Tietomurto tai verkkohyökkäys voi olla mitä tahansa työntekijän sähköpostin kaappaamisesta palvelunestohyökkäyksiin ja kiristyshyökkäyksiin.
Kyberturvallisuudesta vastaa johto
Uutta on, että direktiivin mukaan organisaation johto on vastuussa sen kyberturvallisuudesta. Tämä tarkoittaa, että ei riitä, että johto saa tietoa tietotekniikkaosastolta, vaan johtajien on myös saatava koulutusta kyberturvallisuudesta.
– Jos tietoturvaloukkauksia ilmenee, niistä on ilmoitettava 24 tunnin kuluessa, ja 72 tunnin kuluessa on toimitettava yksityiskohtaisempi raportti, jota seurataan kuukauden kuluessa. Jos näin ei tehdä ja käy ilmi, että riskinarviointeja ei ole tehty eikä johto ole aktiivisesti sisällyttänyt kyberturvallisuuskysymyksiä johtamistyöhönsä, voidaan määrätä seuraamuks, Sjöblom selittää.
Se saattaa kuulostaa ankaralta, mutta tavoitteena on, että muitakin organisaatioita varoitetaan tällä tavoin. Tietoverkkohyökkäyksen lakaiseminen maton alle ei ole vaihtoehto.
Ketä sitten NIS2 koskee? Vuoden 2016 verkko- ja tietotekniikkadirektiivistä jätettiin pois joitakin kriittisiä ja tärkeitä aloja. Ne on nyt otettu mukaan. Kyseessä ovat kriittiset alat, voit tutustua niihin tästä.
– On tärkeää muistaa, että myös yritysten alihankkijat voivat kuulua uuden direktiivin soveltamisalaan. Suoraan se koskee kuitenkin vain suurimpia kaupunkeja ja hyvinvointialueita. Mutta jos kunnalla on esimerkiksi vesilaitos, sen tulisi harkita tarkkaan kriittisiä vaikutuksia yhteiskuntaan, Sjöblom korostaa.
Hän huomauttaa, että EU-maat panevat uuden direktiivin täytäntöön lainsäädännössään hieman eri tahtiin. Suomi on kuitenkin edennyt muita Pohjoismaita paremmin, ja hän odottaa, että direktiivi pannaan täytäntöön Suomen lainsäädännössä vielä tässä kuussa. Direktiivin tavoitteena on, että koko EU:ssa saavutetaan korkea yhteinen kyberturvallisuuden taso.
Direktiivi ja toimenpiteet voivat vaikuttaa monimutkaisilta, mutta Sjöblom huomauttaa, että suuri osa vaadittavasta riskienhallinnasta ja prosesseista on sellaisia, jotka yrityksillä pitäisi olla käytössä riippumatta siitä, kuuluvatko ne direktiivin soveltamisalaan vai eivät. Näin ollen valmistautuminen mahdollisiin verkkohyökkäyksiin on tärkeää, vaikka organisaatio ei tällä hetkellä kuuluisi NIS2-direktiivin soveltamisalaan.
Lue lisää Network and Information Security Directive Kyberturvallisuuskeskuksen verkkosivuilta.