NIS-2 direktiivi astuu voimaan 17.10.24

Selvitä tietoturvasi nykytaso

  • Direktiivi korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. 
  • Selvitys, joka huomioi toimialan, lähtötason ja liiketoiminnan vaatimukset, tarjoaa selkeän polun vaatimustenmukaisuuden saavuttamiseksi.
  • Tilaaja saa kattavan käsityksen toimintaympäristöstään NIS2-vaatimusten suhteen sekä konkreettisen toimintasuunnitelman vaatimusten täyttämiseksi.
  • Alkuraportti määrittelee nykytilanteen. Loppuraportti kokoaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi.
  • Alkuraportti: 980€
  • Selvityksen hinta (alku- & loppuraportti): 2840€ - 4900€ 

Mitä direktiivin voimaantulo tarkoittaa ja ketä se koskee?

NIS2-direktiivi laajenee

NIS2-direktiivi aktivoituu viimeistään 17.10.24

  • NIS2-direktiivi on EU:n laajuinen lainsäädäntö, joka pyrkii yhtenäistämään ja parantamaan kyberturvallisuuden tasoa.
  • Direktiivi asettaa vähimmäistoimenpiteet, jotka toimijoiden on toteutettava. 
  • NIS2 korostaa riskienhallintaa ja tuo uutena vaatimuksena mukaan fyysisen turvallisuuden. 
  • Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti -tilanteista. 
  • Keskeisiä toimijoita valvotaan aktiivisesti etukäteen ja tärkeitä toimijoita passiivisesti jälkikäteen. 
  • Hallinnolliset seuraamukset voivat olla merkittäviä. 
  • Direktiivin sisällyttäminen kansalliseen lainsäädäntöön on tehtävä viimeistään 17.10.2024.
  • KATSO lisätietoja Kyberturvallisuuskeskus / Traficom

Direktiivin 13 osa-aluetta


  1. Riskienhallinta ja järjestelmäturvallisuus

  2. Häiriöiden hallinta ja raportointi

  3. Lokitus ja häiriöiden havaitseminen

  4. Toiminnan jatkuvuus ja varmuuskopiot

  5. Toimitusketjun tietoturva

  6. Turvallinen järjestelmähankinta ja -kehitys

  7. Tietoturvahygienian käytännöt ja koulutus

  8. Tietoturvatoimien tehokkuuden arviointi

  9. Salaus

  10. Henkilöstön tietoturva

  11. Pääsynhallinta

  12. Suojattavan omaisuuden hallinta

  13. Monivaiheinen tunnistaminen (MFA)

Ketkä kuuluvat direktiivin piiriin?

  • Direktiivi kattaa automaattisesti kaikki keskisuuret ja suuret yritykset, joiden liikevaihto ylittää 10 miljoonaa euroa ja jotka toimivat kriittisillä toimialoilla.
  • Lisäksi direktiivi koskee kaikkia kansallisesti kriittisiksi määriteltyjä toimijoita, koosta riippumatta. Näille toimijoille ilmoitetaan asiasta, ja heidät jaetaan keskeisiin ja tärkeisiin toimijoihin.

Direktiivin piiriin kuuluvat toimijat

Keskeiset toimijat:

  • Avaruus, energia, IT-infra, IT-palvelut, julkishallinto, liikenne, finanssi, terveys, vesi.

Tärkeät toimijat:

  • Digipalvelut, elintarvikkeet, jätehuolto, kemikaalit, posti, tutkimus, valmistava teollisuus.

KATSO Kyberturvallisuuskeskuksen ylläpitämä Kybermittarin arviointityökalu

Muutokset

  • Direktiivin piiriin kuuluvien toimialojen yritysten määrä kasvaa.
  • Mahdolliset sanktiot.
  • Raportointivaatimukset tiukentuvat.
  • Riskien hallinnan merkitys korostuu.
  • Tietoturvaan tulee lisää vaatimuksia.
  • Toimitusketjujen hallinta tehostuu.
  • Viranomaisten valvonta ja ohjaus lisääntyvät

Sanktiot

  • Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2% liikevaihdosta.
  • Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4% liikevaihdosta.
  • Liiketoiminnan keskeyttäminen väliaikaisesti.
  • Toimitusjohtajan tai vastaavan laillisen edustajan kielto osallistua johtotehtäviin.
  • KATSO Traficomin julkaisema "Kyberturvallisuus ja yrityksen hallituksen vastuu"

Rakenna polku

(i) Selvitä asemasi


Polun määritys käynnistyy nykytilan läpikäymisestä

  • Selvitys, joka huomioi yrityksen toimialan, lähtötason ja liiketoiminnan vaatimukset, tarjoaa selkeän polun vaatimustenmukaisuuden saavuttamiseksi. 
  • Tilaaja saa kattavan käsityksen toimintaympäristöstään NIS2-vaatimusten suhteen sekä konkreettisen toimintasuunnitelman vaatimusten täyttämiseksi. 
  • Alkuraportti määrittelee nykytilanteen. Loppuraportti kokoaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi.

(ii) Kytke 


Kytke hallintajärjestelmä sekä riskien arvioinnille ylläpitoprosessi

  • Hallintajärjestelmän avulla voit hallita tietoturvan kehitystä keskitetysti. 
  • Järjestelmä kattaa NIS2-direktiivin lisäksi myös muut yleisimmät tietoturvan ja tietosuojan vaatimukset, kuten ISO 27001, GDPR, Tiedonhallintalaki ja Katakri. 
  • Hallintamalli on helposti käytettävissä Microsoft Teamsissa tai selaimella.

Hallintajärjestelmä sisältää:

  • Hallintamalli sisältää:
  • Automaattiset raporttiohjeistukset
  • Dokumentoinnin työkalut
  • Henkilöstön ohjeistukset
  • Tietoturvatoimenpiteiden hallinnan