NIS 2 -tietoturvadirektiivi

Kirjoittaja: Janne Aaltonen, ICT Elmo Oy

Mikä on NIS 2?

“NIS 2 -direktiivi,” eli kyberturvallisuusdirektiivi tai yksinkertaisesti “NIS2,” on Euroopan unionin direktiivi, joka määrittelee kyberturvallisuusvaatimukset, jotka on toteutettava EU:n organisaatioissa, ja joiden katsotaan olevan kriittistä infrastruktuuria.

Direktiivinä NIS 2 tarkoittaa, että jokainen EU-maa määrittelee omat kyberturvallisuuslakinsa NIS 2:n perusteella, kun taas NIS 2 määrittelee vähimmäistason kyberturvallisuudelle. Käytännössä tämä tarkoittaa, että tietyissä maissa yritysten on noudatettava NIS 2:ssa määriteltyä vähimmäistasoa, ja toisissa maissa heidän on noudatettava tiukempia kyberturvallisuusvaatimuksia, jotka on määritelty paikallisissa laeissa.

NIS 2:lla on merkintä “2”, koska se korvaa vanhan NIS-direktiivin.

Direktiivi julkaistiin 14. joulukuuta 2022. NIS 2 tulee voimaan 18. lokakuuta 2024 – tämä on myös EU-maiden määräaika oman lainsäädäntönsä määrittelemiseksi NIS 2:n perusteella. NIS 2 direktiivi löytyy EU:n sivuilta »

Keitä NIS 2 koskee?

On kolme kriteeriä, jotka määrittelevät, mitkä organisaatiot (NIS 2 kutsuu näitä ”toimijoiksi”) ovat velvollisia noudattamaan NIS 2:ta.

1. Sijainti: Jos ne tarjoavat palveluita tai harjoittavat toimintaa missä tahansa Euroopan unionin maassa (riippumatta siitä, ovatko ne EU:ssa vai eivät).
2. Koko: Keskikokoiset ja suuret organisaatiot eli jos niillä on yli 50 työntekijää ja yli 10 miljoonaa euroa liikevaihtoa tai tase.
3. Toimiala: Jos ne toimivat missä tahansa seuraavista sektoreista: Energia, Liikenne, Pankkitoiminta, Finanssimarkkinoiden infrastruktuurit, Terveys, Juomavesi, Jätevesi, Digitaalinen infrastruktuuri, TVT (tieto- ja viestintätekniikka) -palveluiden hallinta, Julkishallinto, Avaruus, Posti- ja kuriiripalvelut, Jätehuolto, Kemikaalien valmistus, tuotanto ja jakelu, Elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus (varsin laajasti), Digitaalisen palvelun tarjoajat, Tutkimustoiminta.

Näiden lisäksi NIS 2 direktiivissä määrätään lisäksi poikkeuksena, että se koskee kaikkia yleistä teletoimintaa harjoittavia yrityksiä koosta riippumatta.

Mitä NIS 2 vaatii toimijoilta?

NIS 2 direktiivin käytännön vaatimukset on määritelty direktiivin 21 artiklassa (Kyberturvallisuusriskien hallintatoimenpiteet).

Yleisesti voidaan sanoa, että toimijalle pitää olla organisaation toimintaympäristön tarpeista lähtien määritelty, toteutettu ja jalkautettu tietoturvallisuuden hallintajärjestelmä, jossa huomioidaan seuraavat asiat:

1. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
2. poikkeamien käsittely;
3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
5. verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Direktiivissä mainitaan, että hallintajärjestelmän pitää olla ns. kaikki vaaratekijät huomioiva lähestymistapa (”All-Hazards approach). Tämä tarkoittaa, että pitää huomioida myös sellaiset riskienhallintatoimenpiteet, joilla vastataan muuhun kuin digi-maailmaan eli kyberturvallisuuteen. Myös esimerkiksi fyysisen turvallisuuden asiat (esim. toimitilat) pitää olla huomioitu hallintajärjestelmässä.

Direktiivi myös asettaa vaatimuksia organisaation ylimmälle johdolle eli viime kädessä ylin johto (johtoryhmä, hallitus) vastaa NIS 2 -vaatimustenmukaisuudesta. Puutteista ja poikkeamista voi olla suoria ja suuria seuraamuksia ylimmälle johdolle. Direktiivissä on määritelty myös merkittävät seuraamusmaksut, jotka viranomainen voi määrätä velvoitteiden laiminlyömisestä. Seuraamusmaksun enimmäismäärä suurille yrityksille on 10 000 000 euroa tai 2 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Keskikokoisille yrityksille seuraamusmaksun enimmäismäärä on 7 000 000 euroa tai 1,4 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

NIS 2 tilanne Suomessa?

Liikenne- ja viestintäministeriö käynnisti 2023 alussa projektin, LVM027:00/2023, jonka tarkoituksena on toteuttaa kyberturvallisuusdirektiivin (NIS2-direktiivi, 2022/2555) velvoitteet Suomen kansalliseen lainsäädäntöön. Hankkeen edistymistä voi seurata valtioneuvoston hankeikkunasta »

LVM:n ehdotus tuli kommentoitavaksi lokakuussa 2023 ja lausuntoja tuli yli 100. Tämän hetken suunnitelma on, että lopullinen ehdotus esitellään Suomen eduskunnalle viikolla 21 (2024).

Suomen kansallisen toteutuksen filosofia on, että pitäydytään NIS 2 direktiivin vähimmäisvaatimuksissa eli ei lähdetä näitä koventamaan kansallisesti. Sama filosofia on myös pääosin muissa Euroopan maissa, esim. Saksassa.

Kyberturvallisuuskeskus julkaisi suosituksensa NIS 2 direktiiviä valvoville viranomaisille 11.4.2024. Suositus on kommentoitavana ja vielä luonnos, koska lopullinen toteutus Suomessa ei vielä ole hyväksytty.

Tässä Kyberturvallisuuskeskuksen suosituksessa mennään varsin paljon syvemmälle tulkinnoissa kuin mitä direktiivissä on kerrottu. On tärkeää muistaa, että tämä ei ole vaatimusdokumentti, vaan on tehty ohjeistukseksi valvoville viranomaisille, kun nämä tekevät NIS 2 toimijoille arviointeja ja auditointeja. NIS 2:lle on määritelty toimialoittain viranomaiset, jotka ovat vastuussa valvoa ja tarvittaessa auditoida toimijoiden toteutuksia.

Sinänsä Kyberturvallisuuskeskuksen suositus on hyvä ja konkreettinenkin malli, kun organisaatio arvioi omien riskinhallintatoimenpiteidensä tasoa. Kun direktiivin vaatimukset on summattu yhdelle A4-sivulle, niin kyberturvallisuuskeskuksen suosituksessa sama asia on avattu yli sadalla sivulla.

NIS 2 TOTEUTUKSEN HAASTEET?

Kuten mainittua, NIS 2 vaatimus yksinkertaistaen vaatii, että toimijalla on toimintaympäristöönsä kehitetty tietoturvallisuuden hallintajärjestelmä. ISO/IEC 27001 on kattavin ja maailmallakin johtava viitekehys tietoturvallisuudenhallintajärjestelmän kehittämiseen ja toteuttamiseen.

Myös Kyberturvallisuuskeskuksen suosituksessa viitataan usein ISO/IEC 27001:een.

Suurin haaste organisaatiolla NIS 2:en toteuttamisessa on, että vain hyvin harvoilla suomalaisilla yrityksillä on 2024 olemassa tietoturvallisuuden hallintajärjestelmää tai ymmärrystä siitä mitä se tarkoittaa. Tietoturvallisuuden viitekehyksissä ja myös NIS 2 direktiivissä käytetään paljon termejä ja konsepteja, joiden tausta ja tarkoitus ei aukea, jos ei ole aiheesta kokemusta. Tähän ongelmaan viranomaiset usein tekevät suosituksia, joiden sinänsä hyvä tarkoitus on auttaa organisaatioita toteutuksessa. Ongelmaksi muodostuu, että nämä toteutussuositukset ovat usein monin kerroin laajempia kuin varsinainen vaatimus ja myöskin suositukset sisältävät paljon ns. alan slangia. Tätä voisi verrata siihen, että usein lakitekstien tulkinnassa ja tarkoituksessa tarvitaan alan ammattilaista, lakimiestä, tulkitsemaan. Sama koskee myös tietoturvallisuudenhallintajärjestelmän toteutusta. Paras tapa lähteä kehittämään NIS 2 vaatimusten mukaista tietoturvallisuudenhallintajärjestelmää on ottaa tueksi koulutettu ja kokenut konsultti.

ICT Elmo Oy:n (Elmo) oma tietoturvallisuuden hallintajärjestelmä on ollut ISO/IEC 27001 sertifioitu jo vuodesta 2019. Elmo on kehittänyt 2022 vuodesta alkaen kymmenille suomalaisille organisaatioille tietoturvallisuudenhallintajärjestelmiä, jotka ovat NIS 2 vaatimusten mukaisia. Lisää tietoa tästä löytyy osoitteesta: https://www.kyberturvallisuusdirektiivi.fi/

Lisätietoja:

Janne Aaltonen
toimitusjohtaja, tietoturvallisuusjohtaja (CISO)
ICT Elmo Oy
janne.aaltonen@elmo.fi

www.elmo.fi