Voimaan astunut NIS2 direktiivi vaatii tietoturvatason nostoa EU:n jäsenmailta

nis2 picture

8.4.2025 voimaan astunut EU:n NIS2-direktiivi velvoittaa Euroopan jäsenmaiden keskeisiltä ja tärkeiltä toimijoilta tietoturvatason nostoa. Tarkoituksena on vahvistaa koko EU:n toimintavarmuutta ja kestävyyttä kyberhyökkäyksiä vastaan. NIS2:n huomiotta jättäminen voi koitua kohtalokkaaksi, sillä EU uhkaa laiminlyöjiä mm. miljoonien eurojen sakoilla, liiketoiminnan keskeytyksellä ja johtotehtävissä toimimisen estämisillä.

Keitä kaikkia NIS2-direktiivi sitten koskee? Tarkempaan jaotteluun voit perehtyä kyberturvallisuuskeskus.fi sivuilta tästä linkistä. Tiivistettynä keskeiset ja tärkeät toimijat, jotka toimivat Energia, Liikenne, Pankkitoiminta, Digitaalisen infrastruktuurin, Julkishallinnon, Juoma- ja Jätevesi, Terveys, ICT-palvelut, Avaruus, Posti, Jätehuollon, Kemikaalit, Elintarvikkeet, Valmistus, Digitaaliset palvelut ja Tutkimus aloilla ovat NIS2 velvollisia. Kun kyseisten toimijoiden tietoturva on kohdillaan, Suomi kykenee jatkamaan toimintaansa mittavienkin kyberhyökkäyksien aikana.

Vaatiiko NIS2:n noudattaminen paljonkin toimenpiteitä yrityksiltä? Tämä riippuu täysin lähtötilanteesta. Jo hyviä tietoturvakäytäntöjä ja verkkosuojauksia koko toimintaketjussaan käyttävät yritykset tarvitsevat vain hieman lisäyksiä nykyisiin toimintamalleihinsa. Jos tietoturvaa on laiminlyöty koko yrityksen eliniän ajan, tehtävää kertyy huomattavasti enemmän.

Jos yrityksesi on NIS2 velvollinen, ensimmäisenä toimenpiteenä kannattaa selvittää mille viranomaistaholle olet ilmoitusvelvollinen poikkeustilanteissa. Kyberturvallisuuskeskuksen tekemä jaottelu löytyy tästä linkistä. NIS2 velvollisia yrityksiä vaaditaan ilmoittautumaan NIS2-toimijaluetteloon ja valmistautumaan kolmivaiheiseen ilmoitusmenettelyyn poikkeustilanteiden sattuessa.

Mitä NIS2 vaatii toimijoilta?

Jos yrityksesi toiminnassa havaitaan sen oman tai kumppaniverkoston toimintaa heikentävä poikkeama, tulee siitä ilmoittaa kolmella eri tavalla. Ensin 24h kuluessa ensi-ilmoitus, jossa annetaan alustavat tiedot poikkeamasta. 72h kuluessa jatkoilmoitus, jossa poikkeamasta annetaan tarkempi raportti. 1kk kuluessa loppuraportti, jossa annetaan yksityiskohtainen raportti mm. kokonaisuudesta, poikkeaman syystä, mahdollisista jatkovaikutuksista ja toimenpiteistä.

Toki NIS2 vaatii paljon muutakin yritysten tietoturvalta. Kaiken kattava tehtävälista on pitkä, ja hyvän oppaan tähän löydät Teknologiateollisuus.fi (FISC) sivuilta tästä linkistä. Alustavaksi ohjenuoraksi on hyvä ottaa mieleen tämä ohjenuora: Tunnistaminen, Suojautuminen, Havainnointi, Reagointi ja Palautuminen. Eli laajemmin avattuna:

  • Tunnistaminen: Uhkien, haavoittuvuuksien ja riskien tunnistaminen ja dokumentointi
  • Suojautuminen: Hyökkäyksiltä suojautuminen, joko teknisillä ratkaisuilla tai toimintamalleilla
  • Havainnointi: Menettely tapahtuneiden tietoturvahyökkäysten havainnointiin ja dokumentointiin
  • Reagointi: Toimintamalli tietoturvahyökkäysten tapahtuessa hyökkäyksen vaikutuksen minimoimiseksi
  • Palautuminen: Kuinka onnistuneesta tietoturvahyökkäyksestä palaudutaan ja varmistetaan, että sama ei tapahdu uudestaan?

Seuraavaksi käydään läpi kaikki nämä yrityksen toimintaan vaikuttavat osa-alueet hyödyntäen aikaisempaa ohjenuoraa:

  • Assets: Omaisuuden, järjestelmien ja konfiguraatioiden hallinta
  • Threats: Tiedostettujen uhkien ja haavoittuvuuksien hallinta
  • Risks: Ennustettujen riskien hallinta
  • Access: Identiteetin- ja pääsynhallinta teknisissä järjestelmissä ja fyysisissä tiloissa
  • Situation: Nykyinen tilannekuva dokumentoituna. Järjestelmien ja yhteistyökumppanien yhteneväisyydet ja riippuvuudet toisistaan.
  • Response: Tapahtumien ja häiriöiden hallinta, toiminnan jatkuvuuden takaaminen teknisillä ratkaisuilla ja toimintamalleilla
  • Third-parties: Kumppaniverkoston riskienhallinta ja heidän tietoturvaongelmien riskit omalle liiketoiminnalle
  • Workforce: Henkilöstön johtaminen ja kehittäminen. Heidän koulutus tietoturvallisista toimenpiteistä ja heille työympäristön tietoturvallinen tekninen suojaus.
  • Architecture: Kyberturvallisuusarkkitehtuuri dokumentointeineen
  • Program: Kyberturvallisuuden hallinnan ohjelmistot ja vastuuhenkilöt
  • Critical: Kriittisten palveluiden suojaaminen

Täyteen NIS2 yhteensopivuuteen tarvitaan toki muutakin, mutta tämän läpikäynnin jälkeen ollaan jo pitkällä. 

Miten päästä helposti alkuun?

Alkaako tässä olla jo paljon läpikäytävää sisäisesti yrityksellesi? Puuttuuko yrityksestäsi tietotaitoa tieturvasta ja teknisistä ratkaisuista? Onko IT-infrastruktuurisi toimintamallit ja tiedot kenties hävinneet vuosien saatossa väen vaihtuessa? Pääset helpommalla, jos otat meidät varmistamaan yrityksesi NIS2 yhteensopivuuden.

Tunninen Oy:llä on 20 vuoden kokemus yritysten tietoturvasta. Olemme Kyberala Ry:n (FISC) jäsenenä mukana edistämässä Suomen tietoturvaa valtakunnallisella tasolla. Meihin voit ottaa yhteyttä, olipa tietoturvataso yrityksessäsi nykyiseltään millä tasolla tahansa. Me asennamme tarvittavat laitteet, suojaamme verkkosi ja konsultoimme tietoturvan toimintamallien parantamisessa NIS2 tasoiseksi. Pyydä meiltä kartoitusta OTA YHTEYTTÄ välilehdeltämme.

Hyödyt tietoturvasta eivät tietenkään lopu vain lakipykälien täyttymiseen. Yrityksen tietoturvan kunnossapito antaa mukanaan mm. näitä hyötyjä:

  • Varmistaa yritystoiminnan jatkuvuuden ongelmatilanteissa
  • Minimoi rahalliset menetykset kyberhyökkäyksistä ja palvelun alasajoista
  • Suojaa kriittistä infoa ja dataa liiketoiminnastasi
  • Kasvattaa luottamusta yhteistyökumppaneissasi ja asiakkaissasi

Jos et kuulu NIS2 toimijoihin?

Entä jos yrityksesi ei kuulukaan NIS2-direktiivin alle? Voiko tietoturvan jättää täysin huomiotta yrityksen toiminnassa? Vaikka laki ei siihen pakottaisikaan, jokaisen yrityksen ja henkilön tietoturvalla on merkitystä Suomen turvallisuuden parantamisessa. Tietoturvahyökkäykset saavat voimansa massasta, ja suojaamattomat laitteet ja yritykset ovat omiaan antamaan pohjan maanlaajuisille hyökkäyksille. Haittaohjelmistot kytevät laitteissa yleensä huomaamatta, kunnes ne aktivoidaan kaikki kerralla mahdollistamaan suuria hyökkäyksiä yksittäisiin yrityksiin, toimijoihin ja palveluihin.

Kanna siis kortesi kekoon Suomen tietoturvatalkoissa! Kaikki toimenpiteet tietoturvan parantamiseksi niin yrityksessäsi, kuin henkilökohtaisella tasolla omassa elämässäsi ovat tärkeitä.