NIS2: riskit ja mahdollisuudet yrityksille

Johdanto ja lainsäädännölliset viitteet

NIS on lyhenne sanoista ”Network and Information Security” (verkko- ja tietoturva).

Tällä lyhenteellä Euroopan yhteisö tarkoitti lainsäädäntötoimia, joilla pyrittiin määrittelemään yhdenmukaistettu lähestymistapa kyberturvallisuuteen kaikissa EU:n jäsenvaltioissa.

Vuonna 2018 hyväksyttiin ensimmäinen eurooppalainen asetus, NIS1 (EU-direktiivi 2016/1148), joka saatettiin osaksi kansallista lainsäädäntöä 18.5.2018 annetulla asetuksella nro 65.

NIS-asetuksessa säädettiin myös ”kansallisen kyberturvallisuusstrategian” laatimisesta perustamalla Italian CSIRT (tietoturvapoikkeamien torjuntayksikkö), jonka tehtäviin kuuluvat kyberturvallisuuspoikkeamien ehkäisy, niihin reagointi ja niiden seuranta yhteistyössä eurooppalaisten CSIRT-yksiköiden kanssa.

NIS1-direktiivi korvattiin myöhemmin NIS2-direktiivillä (EU-direktiivi 2022/2555), joka saatettiin osaksi kansallista lainsäädäntöä 4. syyskuuta 2024 annetulla asetuksella nro 138.

NIS 2 -direktiivin tavoitteena on korjata NIS 1 -direktiivin puutteet; jälkimmäinen jätti jäsenvaltioille liikaa harkintavaltaa direktiivin saattamisessa osaksi kansallista lainsäädäntöä, minkä seurauksena yhdenmukaistamistavoitetta ei saavutettu; lisäksi se jätti sääntelyn ulkopuolelle tiettyjä toimijoita, jotka olisi pitänyt säännellä niiden merkityksen vuoksi Euroopan markkinoille.

Lisäksi NIS2-direktiivi otettiin käyttöön vastauksena digitalisaation kiihtyvään kehitykseen, jota on tapahtunut kaikissa jäsenvaltioissa ja jota pandemia on vielä vauhdittanut; tämä on laajentanut kyberhyökkäysten kohdealueita ilman, että tietoturvajärjestelmät olisivat kehittyneet vastaavassa määrin.

Lopuksi: NIS2-direktiivin toisena tavoitteena on velvoittaa elintärkeiden ja tärkeiden palvelujen ylläpitäjät sekä digitaalisten palvelujen tarjoajat ottamaan käyttöön asianmukaiset turvatoimenpiteet ja ilmoittamaan tietoturvaloukkauksista viipymättä toimivaltaisille viranomaisille ja palveluidensa käyttäjille.

Uusi direktiivi on yhdenmukaistettu muiden alakohtaisten EU-säännösten kanssa, muun muassa seuraavien:

- rahoitusalan digitaalista toimintavarmuutta koskeva direktiivi (DORA). Kyseessä on 10.11.2022 hyväksytty asetus, jonka tavoitteena on parantaa turvallisuustoimenpiteitä rahoitusalan toimintavarmuuden ja kyberturvallisuuden edistämiseksi ottamalla käyttöön joukko pakollisia turvallisuustoimenpiteitä, joilla taataan tietojen eheys ja palvelujen kyberturvallisuus;

- kriittisten infrastruktuurien kestävyyttä koskeva direktiivi (CER); jonka tarkoituksena on varmistaa oikeudellinen selkeys ja johdonmukaisuus eri direktiivien välillä.

Kyseiset yritykset on jaoteltu seuraavasti:

• Keskeiset toimialat (energia, liikenne, terveydenhuolto, vesihuolto, julkishallinto, rahoitus, avaruusala, digitaalinen infrastruktuuri)
• Keskeiset toimialat (tutkimus; kemikaalit; elintarvikkeet; teollisuustuotanto; digitaalipalvelujen tarjoajat; postipalvelut; jätehuolto)
• Julkiset elimet: Keskushallinto (perustuslailliset ja perustuslaillisesti merkittävät elimet; pääministerin kanslia ja ministeriöt; veroviranomaiset; Riippumaton ) | Aluehallinto (alueet ja itsehallinnolliset maakunnat) | Kunnallishallinto (suurkaupungit; yli 100 000 asukkaan kunnat; alueelliset pääkaupungit; paikalliset terveysviranomaiset) | Muut julkisyhteisöt (talouden sääntelyelimet; talouden palveluntarjoajat; yhdistykset; hyvinvointi-, virkistys- ja kulttuuripalvelujen tarjoajat; tutkimuslaitokset ja -instituutit; kokeelliset eläintautien torjunnan instituutit) | Muunlaiset yhteisöt (paikallisia joukkoliikennepalveluja tarjoavat yhteisöt; tutkimustoimintaa harjoittavat oppilaitokset; kulttuurialan toimintaa harjoittavat yhteisöt; sisäiset yritykset; sijoituskohteena olevat yritykset ja julkisesti hallinnoidut yritykset)
• Toimittajat: organisaatiot, jotka tarjoavat kriittisiä palveluja NIS2-asetuksen piiriin kuuluville tahoille, on vahvistettava digitaalista turvallisuuttaan, vaikka ne olisi nimenomaisesti mainittu pakollisten Toimialat joukossa.

NIS2:n sisältö

NIS2-direktiivin sisältöön liittyvät yleiset velvoitteet voidaan tiivistää neljän pääpilariin:

Hallinto: Johdon on hyväksyttävä organisaation käyttöön ottamat riskienhallintatoimenpiteet ja arvioitava niiden tehokkuutta ajan mittaan: osallistuttava säännöllisesti kyberturvallisuuskoulutuksiin ja tarjottava vastaavaa koulutusta työntekijöille.

Riskienhallinta: organisaation on arvioitava tietoturva- ja verkkoriskit sekä toteutettava asianmukaiset ja oikeasuhteiset tekniset, toiminnalliset ja organisatoriset toimenpiteet, joilla estetään tai minimoidaan tietoturvaloukkausten vaikutukset palvelujen vastaanottajiin.

Toiminnan jatkuvuus: organisaation on otettava käyttöön ratkaisuja, joilla varmistetaan toiminnan jatkuvuus (esim. varmuuskopiointi, katastrofien varalle laadittu suunnitelma ja kriisinhallintamenettely); näiden tavoitteena on minimoida tarjottavien palvelujen keskeytyksistä aiheutuvat vaikutukset.

Toimitusketju: yrityksen on arvioitava kunkin suoran toimittajan haavoittuvuudet sekä toimittajien tuotteiden ja kyberturvallisuuskäytäntöjen yleinen laatu. Arviointi kattaa ICT-toimittajat ja muut kriittiset toimittajat, jotka voivat aiheuttaa häiriöitä palveluun, jonka vuoksi organisaatio on sisällytetty NIS2-soveltamisalaan.

Yritysten on siten kyettävä mittaamaan ja raportoimaan seuraavista seikoista:

• Riskianalyysi ja tietojärjestelmien tietoturvakäytännöt
• Häiriötilanteiden hallintamenettelyt
• Liiketoiminnan jatkuvuusratkaisut (varmuuskopiointi ja katastrofien jälkeinen palautus) sekä kriisinhallinta- ja viestintämenettelyt
• Toimitusketjun turvallisuusohjeet (toimittajat ja palveluntarjoajat)
• Tietojärjestelmien ja verkkojen haavoittuvuuksien hallinta hankinnan, kehittämisen, ylläpidon ja hallinnoinnin yhteydessä

NIS2-aikataulu

Yritysten ja julkishallinnon viranomaisten on suoritettava arviointi selvittääkseen, kuuluvatko ne NIS2-direktiivin velvoitteiden piiriin.

1. joulukuuta 2024 – 28. helmikuuta 2025; yritysten tulee olla todentaneet henkilöllisyytensä ACN:n (kansallinen kyberturvallisuusvirasto) portaalissa SPID-tunnistetietojensa avulla. Tänä aikana; käyttäjät, jotka on nimetty /Registration Service -palveluun.

Erityisesti yritysten on:

• Ilmoittakaa, kuuluuko yhteisö yritysryhmään, ja ilmoittakaa tarvittaessa emoyhtiön verotunnus.
  
• Luettele yhteydessä olevat yritykset ja ilmoita niiden verotunnisteet.
  
• Luettele ATECO-koodit, jotka kuvaavat yrityksen toimintaa.
• Mainitse asiaankuuluvat Euroopan unionin alakohtaiset säännökset.
• Ilmoita liikevaihto, taseen tiedot ja työntekijämäärä yrityksen luokittelua varten.
• Luettele ne yritysryhmät, joihin yritys kuuluu.

17. tammikuuta 2025 mennessä ylätason verkkotunnusrekisterien ylläpitäjien, verkkotunnusjärjestelmä- ja verkkotunnusrekisteröintipalvelujen tarjoajien, pilvipalveluiden, datakeskusten, sisällönjakeluverkkojen tarjoajien, hallinnoitujen palveluiden tarjoajien, hallinnoitujen tietoturvapalveluiden tarjoajien sekä verkkokauppapaikkojen, verkkohakukoneiden ja sosiaalisen verkostoitumisen palvelualustojen tarjoajien tulisi olla rekisteröityneet alustalle.

31. maaliskuuta 2025 mennessä ACN laati luettelon välttämättömistä ja tärkeistä toimijoista alustan kautta saatujen rekisteröintien perusteella.

1. huhtikuuta 2025 ja 15. huhtikuuta 2025 välisenä aikana ACN ilmoitti asianomaisille tahoille, oliko ne sisällytetty välttämättömien tai tärkeiden tahojen luetteloon.

Ilmoituksen saaneiden tahojen oli 15. huhtikuuta 2025 mennessä nimettävä erillisellä päätöksellä taho, joka vastaa asetuksen velvoitteiden täyttämisestä.

Sen jälkeen direktiivin soveltamisalaan kuuluvien tahojen on noudatettava seuraavia vaatimuksia:

• 1. tammikuuta 2026 mennessä; velvollisuus ilmoittaa poikkeamat
• 1. lokakuuta 2026 mennessä; hallintoelimiä ja turvatoimia koskevat velvoitteet on täytettävä

ACN päivittää vuosittain luettelon mukana olevista tahoista. Yrityksillä ja julkishallinnon virastoilla on mahdollisuus ilmoittautua vuosittain tammikuun ja helmikuun välisenä aikana, jos ne katsovat kuuluvansa kyseisiin tahoihin.

Yrityksille koituvat riskit, mutta myös mahdollisuudet

NIS2-direktiivin voimaantulon ja asianomaisten operaattoreiden tunnistamisen jälkeen toimivaltaiset viranomaiset voivat suorittaa valvontaa ja pistokokeita varmistaakseen, että direktiiviä noudatetaan. Jos säännöksiä ei noudateta, asianomaisille yrityksille määrätään seuraamuksia.

Rangaistukset ovat erittäin ankarat: suurille yrityksille enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta; keskisuurille yrityksille enintään 7 miljoonaa euroa tai 1,4 % maailmanlaajuisesta liikevaihdosta.

Vaikka säännösten noudattaminen vaatii yrityksiltä selkeitä ponnisteluja ja investointeja, on myös tunnustettava, että säännösten tarkoituksena on tarjota merkittävä ratkaisu kyberhyökkäysongelmaan, jolle italialaiset yritykset ovat edelleen hyvin alttiita ja jota ne usein pyrkivät peittelemään imagonsa vuoksi. Taloudellisessa mielessä kunkin yksittäisen kyberhyökkäyksen arvioitu keskimääräinen vahinko on yli 2 miljoonaa euroa riippumatta yrityksen liikevaihdosta.

Miten ERA voi auttaa NIS2-vaatimustenmukaisuuden hallinnassa

Kaikesta edellä mainitusta huolimatta – mikä saattaisi antaa ymmärtää, että yritykset ovat erittäin kiinnostuneita ja aktiivisia kyberturvallisuuskysymyksissä – ei ole harvinaista, etenkin pienten ja keskisuurten yritysten keskuudessa, että yritykset ovat tehneet Meistä asioiden Meistä vain vähän tai Meistä lainkaan Meistä eivätkä tällä hetkellä kykene määrittelemään asemaansa suhteessa niihin riskeihin, joille ne ovat alttiina, niin teknisestä näkökulmasta kuin voimassa olevien säännösten noudattamisen kannalta.

Jotkut yritykset ratkaisevat kyberturvallisuusongelman vakuutusturvan avulla. Vakuutusyhtiöt ovat kuitenkin usein haluttomia tarjoamaan tällaista suojaa yrityksille, jotka eivät ole koskaan toteuttaneet konkreettisia toimia kyberturvallisuuden alalla. Tämä johtuu siitä, ettei ole olemassa luotettavaa menetelmää kyberhyökkäyksen aiheuttamien vahinkojen tarkkaan arvioimiseen. Tämän seurauksena ”NIS2-paketit” keskittyvät kyberriskien arviointipalveluihin, mutta jättävät yritysten tehtäväksi toteuttaa tarvittavat toimenpiteet puutteiden korjaamiseksi. ERA voi tarjota kattavampaa palvelua hyödyntämällä korkeasti pätevien toimittajien verkostoa erittäin kilpailukykyisin ehdoin.

Tarkemmin sanottuna ERA:n tuki koostuu seuraavista osista:

• Yrityksen organisatorisen ja teknisen rakenteen arviointi; ennalta määriteltyjä indikaattoreita hyödyntävien itsearviointikyselyjen avulla;
• Tietoisuuden lisäämiseen ja koulutukseen tähtäävät kurssit; peruskurssit koko henkilöstölle sekä syventävät moduulit ylimmälle ja keskijohdolle; NIS2-ohjeiden mukaisesti;
• Tarkat ja korkeatasoiset testit haavoittuvuusanalyysin, tietojenkalastelun torjunnan ja kiristysohjelmien riskien arvioinnin osalta;
• Omistautuneiden konsulttien tuki arviointia seuraavassa korjausvaiheessa;
• Erikoistuneiden konsulttien tarjoama asiantuntijatuki strategisten päätösten ohjaamiseen kyberturvallisuuden alalla.

Ratkaisumme kattaa NIS2-säännösten noudattamisen analysoinnin, mikä on epäilemättä kiireellisin asia; voimme kuitenkin myös tukea asiakasta korjausvaiheen projektinhallinnassa, eli siinä vaiheessa, jossa asiakkaan on korjattava diagnoosiprosessissa havaitut erilaiset ”puutteet”; juuri tässä vaiheessa joidenkin yritysten vaikeudet tulevat selvästi esiin, niin sisäisen osaamisen kuin ajan ja resurssien saatavuudenkin osalta.