Kuva: Canva-tekoäly / Kimmo Kääriäinen.

NIS2 – mitä minun pitäisi siitä tietää?

16.10.2023

Euroopan unionin uusi kyberturvallisuusdirektiivi vaatii yrityskenttää lisäämään panostuksiaan tietoturvaan.

Kyberturvallisuus on noussut jo yleisesti otsikoihin osana hybridivaikuttamista. Uutisissa on enenevässä määrin kerrottu naapurin informaatiovaikuttamisesta, jota kansantajuisesti voidaan myös nimittää propagandaksi. Myös erilaiset tietomurrot ja palvelunestohyökkäykset ovat saaneet palstatilaa entistä enemmän.

Tätä juttua kirjoittaessa ulkoinen uhkatekijä on todennäköisesti hyökännyt Suomen kriittistä infrastruktuuria vastaan, kun kohteena on ollut kaasuputki ja tietoliikennekaapeli Suomenlahdella. Uhkatekijöiden aktiivisuus on noussut koko ajan. Onneksi julkinen hallintokaan ei ole seissyt asian edessä tumput suorina.

Kyberturvallisuuden saralla tapahtuu tällä hetkellä paljon sääntelyyn liittyvää toimintaa Euroopan unionin tasolla. Osana yhteisiä pyrkimyksiä kyberturvallisuuden parantamiseksi koko unionin alueella julkaistiin NIS2-direktiivi EU:n virallisessa lehdessä 27.12.2022. Jäsenmaiden on otettava virallisesti julkaistu direktiivi käyttöön viimeistään 18.10.2024. Samalla nykyisen NIS-direktiivin voimassaolo lakkaa.

Direktiivin jalona päämääränä on vahvistaa jäsenmaiden sekä EU:n yhteisen kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta. Soveltamisalaa, eli käytännössä yhteiskunnan kannalta kriittisten toimijoiden kenttää on laajennettu. Kuten viimeaikaiset tapahtumatkin osoittavat, tälle on suuri tarve. Aikaisempi NIS-direktiivi niin sanotusti vanheni käsiin ja voimme vain toivoa, ettei samoin käy uudelle.

Mitä NIS2 sitten tarkoittaa käytännössä?

Direktiivi määrittelee vähimmäistoimenpiteet, joita soveltamisalojen toimijoiden täytyy toteuttaa kyberturvallisuusriskien hallitsemiseksi. Miksi riskienhallinta on otettu direktiivin ohjenuoraksi?

Riskienhallinta on todistetusti määrämuotoinen prosessi, jolla yrityksen liiketoiminnan jatkuvuuteen voidaan vaikuttaa positiivisesti. Käytännössä yritysten pitää tiedostaa kyberturvallisuuden vaikutukset liiketoiminnan prosesseihin ja ottaa nämä huomioon rakennettaessa yrityksen omaa riskienhallintaprosessiaan.

Keskiössä on liiketoiminnan jatkuvuus ja sen mahdollistamisen keinona on riskienhallinta. Jos yrityksissä ei ole mietitty liiketoiminnan jatkuvuuden takaamista, niin kohta alkaa olla kiire.

Kuva: Canva-tekoäly / Kimmo Kääriäinen.

Myös toimijoiden turvallisuuspoikkeamien raportointivelvollisuus kasvaa. Aikaisemmin oli helpompaa ”pimittää” tietoja turvallisuuspoikkeamiin liittyen, mutta nyt uusi direktiivi velvoittaa raportoimaan poikkeamista valvovalle viranomaiselle. Tämä parantaa myös viranomaisen tilannekuvaa ja osaltaan helpottaa avunantoa poikkeamista kärsiville tahoille.

Suomessa on tällä hetkellä menossa säädösvalmisteluhanke, jonka sidosryhmien kuulemistilaisuus järjestettiin 9.10.2023. Yritysmaailmassa on nyt otollinen hetki toimia proaktiivisesti ja selvittää, mitä tulevat velvoitteet merkitsevät omalle liiketoiminnalle. Mikäli havaitset, että näin on, on järkevää ryhtyä tarvittaviin toimenpiteisiin ennen kuin asian suhteen tulee kiire.

Pienet yritykset voivat tässä vaiheessa kuitenkin huokaista helpotuksesta, koska direktiivi koskettaa lähinnä keskisuuria ja suuria yhteiskunnan kannalta kriittisillä aloilla toimivia yrityksiä. Riskienhallinta ja kyberturvallisuuteen panostaminen on tulevaisuudessa enenevässä määrin keskeistä myös pienemmille yrityksille jo pelkästään yrityksien liiketoiminnan jatkuvuuden turvaamiseksi.

Xamk tekee töitä myös koulutuksen ulkopuolella yritysten kyberturvallisuuden parantamiseksi. Esimerkiksi Kyberturvallisuuden ABC -hanke on kohdennettu erityisesti mikro- ja pienyrittäjille, jonka tarkoituksena on lisätä tieto- ja kyberturvallisuustietämystä.

Turvallisuuden kivijalkana turvallisuustietämys on lähtökohta, jonka päälle voidaan rakentaa konkreettisia ratkaisuja turvallisuuden ja jatkuvuuden parantamiseksi. Ja vaikka NIS2-direktiivi kohdistuukin suurempiin yrityksiin, ei ole sanottua, ettei vaikutuskenttää laajenneta tulevaisuudessa koskemaan myös pienempiä yrityksiä.

Lähteet

Kyberturvallisuus: Miten EU torjuu kyberuhkia?
https://www.consilium.europa.eu/fi/policies/cybersecurity/

NIS2-direktiivi:
https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0080.01.FIN&toc=OJ%3AL%3A2022%3A333%3AFULL

NIS2-direktiivin kansallinen toimeenpano
https://api.hankeikkuna.fi/asiakirjat/2b11d230-a4ff-47be-89f9-29e396f2c7bf/e793895e-984e-47c0-a822-298e3c1dd6c2/YHTEENVETO_20231010070137.PDF

Kirjoittanut Kimmo Kääriäinen

Kirjoittaja työskentelee lehtorina ja koulutusvastaavana Kaakkois-Suomen ammattikorkeakoulussa kyberturvallisuuden koulutusohjelmissa.