NIS2

Euroopan ja kansallisen tason lainsäädäntö organisaatioiden kyberturvallisuudelle

Euroopan unionin uusi kyberturvallisuusdirektiivi (NIS2) on tammikuussa 2024 yhä eduskunnan käsittelyssä. Uusi direktiivi asettaa merkittäviä vaatimuksia organisaatioiden kyberturvallisuustasolle usealla yhteiskunnan alalla, jotka ovat määritelty elintärkeiksi tai välttämättömiksi.

Näiden pakollisten, riskeihin perustuvien kyberturvallisuusvaatimusten noudattaminen voi parantaa merkittävästi organisaatioiden turvallisuutta vaikka monet osatekijät voivat kuulua jo nyt organisaatioiden turvallisuuskäytäntöihin. Uusien vaatimusten laiminlyönti voi johtaa merkittäviin sakkoihin.

BDO on kehittänyt tämän selkeän NIS2-arviointityökalun joka voi auttaa sinua ymmärtämään paremmin organisaatiosi nykytilannetta. Pääset käsiksi tähän työkaluun alempana olevasta painikkeesta.

NIS2-analyysityökalu

MITEN SE TOIMII

NIS2 LYHYESTI:

Tarjoamme lyhyen katsauksen Euroopan unionin kyberturvallisuusdirektiiviin. Tässä artikkelissa kerromme direktiivistä pääpiirteittäin ja myös siitä, kenelle se on tärkeä. Löydät täältä vaatimukset ja parhaat käytännöt NIS2:n määräysten noudattamiseen.

Mikä on organisaatiosi tilanne?

Yritysjohdon on tärkeää varmistaa, että organisaatio on aloittanut valmistautumisen NIS2-vaatimusten osalta. Vaikka vaatimusten virallistaminen on vielä kesken, direktiivi antaa riittävän selkeän suunnan tarvittaville toimenpiteille. NIS2-analyysityökalulla voit nopeasti hahmottaa mikä organisaatiosi tilanne on tällä hetkellä.

NIS2-analysaattori

Mikä?

NIS2 asettaa turvallisuusvaatimuksia, jotka ovat lajiteltu huolenpito-, raportointi- ja valvontavelvollisuuksiin. Jo ennen kuin nämä vaatimukset virallistetaan kansallisessa lainsäädännössä, ne ovat jo suhteellisen konkreettisia. Ne sisältävät mm. konkreettisen listan toimenpiteistä, jotka ovat johdettu artiklasta 21 ja merkittävät sakot artiklasta 34 (4). Voit lukea lisää direktiivistä: EUR-Lex – 32022L2555 (europa.eu). Lisäksi on muita merkittäviä osatekijöitä kuten toimitusketjujen turvallisuus, hallintoelimien vastuullisuus ja harjoitusvelvollisuudet.

KENELLE?

Organisaatiot, jotka kuuluvat Euroopan unionin uuden kyberturvallisuusdirektiivin (NIS2) piiriin edustavat monia yhteiskunnan aloja. Se sisältää mm. energiayhtiöt, lentoyhtiöt, vesiyhtiöt, digitaalisten palveluiden tuottajat, viranomaisedustustot, ja heidän toimittajansa. Tarkistaaksesi, että kuuluuko organisaatiosi direktiivin piiriin, on suositeltavaa konsultoida paikallisia viranomaisia. Mikäli sinulla on kysyttävää, voit olla myös yhteydessä meihin.

Mitkä yksiköt?

NIS2-direktiivi on tarkoitettu laajemmalle joukolle yrityksiä ja organisaatioita kuin ensimmäinen NIS-direktiivi. Se tarkoittaa, että nyt useamman julkisen sekä yksityisen organisaation täytyy noudattaa direktiivin sääntöjä.

Seuraavat organisaatiot kuuluvat NIS2-direktiivin piiriin:

Liite I – Sektorit:

Liite II – Sektorit:

Energia
Kuljetus
Pankkitoiminta
Infrastruktuurirahoitusmarkkinat
Terveydenhuolto
Juomavesi
Digitaalinen infrastruktuuri
ICT-palveluntarjoajat
Jätevesi
Valtion palvelut
Avaruus

Digitaaliset palveluntarjoajat
Posti- ja kuriiripalvelut
Jätehuolto
Elintarviketuotanto
Kemikaalit
Tutkimus
Valmistus

Välttämättömät yksiköt.

Nämä ovat isoja organisaatioita, jotka toimivat alalla joka löytyy direktiivin liitteestä I (katso taulukko).

Organisaatio luetaan isoksi seuraavien määritelmien mukaisesti:

ainakin 250 työntekijää;
vuosiliikevaihto ylittää 50M€ ja taseen loppusumma enemmän kuin 43M€.

Tärkeät yksiköt.

Nämä ovat keskisuuria organisaatioita, jotka toimivat liitteessä I määritellyllä alalla sekä isoja ja keskisuuria organisaatioita, jotka toimivat liitteessä määritellyllä alalla.

Organisaatio luetaan keskikokoiseksi seuraavien määritelmien mukaisesti:

ainakin 50 työntekijää;
tai
vuosiliikevaihto ja taseen loppusumma ylittävät 10M€

Meidän palvelumme

Me voimme tukea organisaatiotasi saavuttamaan NIS2-vaatimustenmukaisuuden ja ylläpitämään sitä. Sen lisäksi voimme auttaa muidenkin kyberturvallisuustoimenpiteiden toteuttamisessa ja jatkuvassa kehittämisessä.