EU on hyväksynyt uuden direktiivin kyberturvallisuuden vahvistamiseksi – NIS2-direktiivin. Se on saatettava osaksi kansallista lainsäädäntöä lokakuuhun 2024 mennessä. NIS2-direktiivillä on merkittäviä vaikutuksia erityisesti Valmistava teollisuus pieniin ja keskisuuriin yrityksiin. Asiantuntijamme Raimund Marta on koonnut aiheesta kattavaa tietoa.
Mikä on NIS2?
NIS2 tarkoittaa vuonna 2016 annetun verkko- ja tietoturvadirektiivin (NIS) uudistusta. Tavoitteena on luoda yhtenäiset kyberturvallisuuden vähimmäisvaatimukset EU:ssa ja parantaa digitaalista kestävyyttä. Soveltamisala kattaa nyt 18 Toimialat, mukaan lukien jäteveden käsittely, juomaveden jakelu, jätehuolto, energia, elintarvikkeet, terveydenhuolto ja Valmistava teollisuus.
Ketkä ovat vaarassa?
Kriittisten infrastruktuurien ylläpitäjien lisäksi myös monet keskisuuret yritykset kuuluvat nyt NIS2-asetuksen piiriin. Yritysten, joilla on yli 50 työntekijää tai joiden vuotuinen liikevaihto on yli 8,5 miljoonaa Toimialat kyseisillä Toimialat noudatettava uusia vaatimuksia. Isossa-Britanniassa tämä koskee yli 30 000 yritystä.
Valmistava teollisuus velvoitteet ja erityispiirteet
Asianomaisten yritysten on toteutettava kyberturvallisuustoimenpiteitä, kuten riskianalyysejä, turvallisuussuunnitelmia ja hätäsuunnitelmia. Toimitusketjut on tarkastettava haavoittuvuuksien varalta, ja poikkeamat on ilmoitettava viipymättä. Yrityksen johdolla on henkilökohtainen vastuu. Erityisesti Valmistava teollisuus on luokiteltu ”tärkeäksi sektoriksi”, on velvollinen toteuttamaan kattavia turvallisuustoimenpiteitä tuotantoprosessien ja toimitusketjujen suojaamiseksi. Tähän sisältyy säännöllisiä turvallisuustarkastuksia, työntekijöiden koulutusta ja riskienhallintaprosesseja. NIS2-direktiivin noudattaminen ei ole pelkästään lakisääteinen velvollisuus, vaan myös strateginen investointi yrityksen tulevaisuuden turvallisuuteen ja kilpailukykyyn.
Mitä seuraamuksia on?
Rikkomuksista voidaan määrätä jopa 10 miljoonan punnan sakkoja tai 2 %:n sakkoja maailmanlaajuisesta vuosiliikevaihdosta. Vakavissa tapauksissa voidaan määrätä jopa rikosoikeudellisia seuraamuksia.
Suosituksemme
Keskisuurten yritysten tulisi ryhtyä toimiin uusien vaatimusten suhteen jo varhaisessa vaiheessa. Ammattitaitoisten konsultointipalveluidemme avulla yritykset voivat tunnistaa heikkoutensa ja toteuttaa tarvittavat toimenpiteet. Kyberturvallisuudesta on tulossa keskeinen haaste ja elinehto monille keskisuurille yrityksille.
