EU:n kyberturvallisuusdirektiivi NIS2 asettaa uusia ja tiukempia tietoturvavaatimuksia organisaatioille, jotka ovat keskeisiä tai tärkeitä toimijoita tai osa tällaisten toimijoiden toimitusketjua. Organisaatioiden tulee itse arvioida kuuluvatko he lain soveltamisalaan.
Suomessa direktiivi implementoidaan lainsäädäntöön kyberturvallisuuslakina, joka ei ennakkotiedoista poiketen tullutkaan voimaan vielä lokakuussa 2024. Vaikka kyberturvallisuuslain säätäminen on viivästynyt ja tarkka voimaantuloajankohta on yhä epäselvä, tulee laki voimaan ennemmin tai myöhemmin. Implementointi sakkaa muissakin maissa ja tietojemme mukaan direktiivi implementoitiin vain kuudessa EU-jäsenvaltiossa määräaikaan mennessä. Esimerkiksi Tanskassa lainsäätäjä on ilmoittanut, että implementointi viivästyy ainakin 9 kuukautta.
Mitä tapahtuu, jos yritys ei noudata vaatimuksia?
Suosittelemme yrityksiä aloittamaan valmistautumisen kyberturvallisuuslain vaatimuksiin ajoissa, sillä niiden laiminlyönti voi johtaa jopa 10 miljoonan euron seuraamusmaksuun tai ylimmän johdon liiketoimintakieltoon. Lisäksi seurauksena voi olla epäsuoria vaikutuksia, kuten haittaa maineelle tai liiketoimintamahdollisuuksien menetyksiä, jos yritys ei täytä asiakkaidensa tietoturvavaatimuksia.
Näillä 6 askeleella valmistaudutte NIS2-direktiivin voimaanastumiseen
1. Tunnista kuulutteko yrityksiin, joita tulevat kyberturvallisuuslain velvoitteet koskevat: Jos tarjoatte tavaroita tai palveluja kriittisillä toimialoilla, tai toimitusketjunne ylä- tai alapuolella olevat toimijat tarjoavat niitä, on teidän huolehdittava näihin liittyvien verkko- ja tietojärjestelmien tietoturvan suojaamisesta lain velvoittamalla tavalla.
2. Muista, että tietoturva ei ole projekti vaan prosessi: Tietoturvariskien hallinta edellyttää jatkuvaa kehittämistä, eikä kyseessä ole vain muutaman kuukauden projekti. Onkin suositeltavaa tehdä yrityksellenne sopiva tietoturvallisuuden vuosikello, jota noudattamalla etenette järjestelmällisesti kohti tavoitteitanne.
3. Sitouta johto ensimetreiltä mukaan ja sovi tietoturvapolitiikasta: On erittäin oleellista pyytää ylin johto mukaan kyberturvallisuuden kehittämiseen, sillä lopulta he kantavat henkilökohtaista vastuuta siitä, jos yritys ei täytä NIS2-tietoturvavaatimuksia. Tämän vuoksi on tärkeää laatia tietoturvapolitiikka, jonka johtoryhmä allekirjoittaa.
4. Pyydä apua ja jaa vastuuta: NIS2-vaatimusten toteuttaminen ei ole vain tietohallintojohtajan tai IT-päällikön vastuulla: kyse on koko organisaation tietoturvallisuudesta. Jos yrityksenne sisältä ei löydy riittävästi resursseja, me autamme kyllä.
5. Dokumentoi tietoturvakäytännöt ja -ohjeistukset: Kirjaa ylös nykyiset tietoturvakäytäntönne ja -ohjeistuksenne ja huolehdi siitä, että niistä myös tiedotetaan henkilöstöllenne. Ilman riittävää tietoa ja taitoa ei vaatimusten noudattaminen onnistu.
6. Seuraa tietoturvaohjeistuksia: Pidä itsesi ajan tasalla ja seuraa toimialasi valvovan viranomaisen ja Traficomin Kyberturvallisuuskeskuksen ohjeistuksia. Tilaa myös sähköpostiisi kyberturvallisuuskeskuksen haavoittuvuus- ja uutiskooste tästä.
Voit lukea lisää NIS2-direktiivistä ja meidän tarjoamastamme kolmivaiheisesta ratkaisumallista Miten valmistautua NIS2-vaatimuksiin -artikkelistamme.
