NIS2-direktiivin vahvistetut kyberturvavaatimukset

Nis2

NIS2-direktiivi, joka tuli voimaan 8.4.2025, velvoittaa EU:n jäsenmaiden keskeisiä ja tärkeitä toimijoita nostamaan kyberturvansa tasoa. Tavoitteena on vahvistaa koko Euroopan unionin resilienssiä ja operatiivista jatkuvuutta kyberhyökkäyksiä vastaan. NIS2:n sivuuttaminen voi tulla erittäin kalliiksi: EU:n seuraamuksiin voivat kuulua useiden miljoonien eurojen sakot, liiketoiminnan keskeyttäminen ja jopa johtotehtävissä toimimisen estäminen.

Ketä NIS2 koskee?

Tarkempi toimialaluokitus löytyy Kyberturvallisuuskeskuksen verkkosivuilta. Yhteenvetona NIS2 koskee keskeisiä ja tärkeitä toimijoita seuraavilla toimialoilla:

  • Energia
  • Liikenne
  • Pankkitoiminta
  • Digitaalinen infrastruktuuri
  • Julkishallinto
  • Juomavesi ja jätevesi
  • Terveydenhuolto
  • ICT-palvelut
  • Avaruus
  • Postipalvelut
  • Jätehuolto
  • Kemikaalit
  • Elintarvikeala
  • Valmistava teollisuus
  • Digitaaliset palvelut
  • Tutkimus

Kun näillä toimialoilla ylläpidetään riittävää kyberturvaa, Suomi kykenee jatkamaan toimintaansa myös laajamittaisten kyberhyökkäysten aikana.

Vaatiiko NIS2:n noudattaminen laajoja toimenpiteitä?

Se riippuu täysin organisaation nykytilasta. Yritykset, joilla on jo käytössään hyvät kyberturvakäytännöt ja verkkosuojaukset koko arvoketjussaan, tarvitsevat yleensä vain vaiheittaisia parannuksia. Sen sijaan organisaatiot, jotka ovat laiminlyöneet kyberturvaa vuosien ajan, joutuvat tekemään huomattavasti enemmän työtä.

Jos yrityksesi kuuluu NIS2:n piiriin, ensimmäinen tehtävä on tunnistaa toimivaltainen viranomainen, jolle poikkeamista on ilmoitettava. Kyberturvallisuuskeskuksen laatima luokitus löytyy heidän verkkosivuiltaan. NIS2:n alaisia toimijoita velvoitetaan rekisteröitymään NIS2-toimijarekisteriin ja varautumaan pakolliseen kolmivaiheiseen poikkeamailmoitusprosessiin.

Mitä NIS2 edellyttää?

Jos organisaatiossasi havaitaan poikkeama, joka vaikuttaa kielteisesti omaan toimintaanne tai kumppaniverkostoonne, siitä on ilmoitettava kolmessa vaiheessa:

  • Alkuilmoitus 24 tunnin kuluessa — alustavat tiedot poikkeamasta
  • Tarkennettu ilmoitus 72 tunnin kuluessa — kattavampi tilanneraportti
  • Loppuraportti yhden kuukauden kuluessa — kokonaisvaltainen analyysi, joka sisältää juurisyyn, vaikutusarvion, pitkän aikavälin vaikutukset ja korjaavat toimenpiteet

NIS2 edellyttää kuitenkin paljon enemmän kuin pelkkää poikkeamien raportointia. Velvoitteiden kokonaislista on laaja, ja erinomainen opas löytyy Teknologiateollisuuden (FISC) sivuilta. Hyvänä nyrkkisääntönä kyberturvan tulisi rakentua seuraavien vaiheiden ympärille:

Tunnista

Tunnista uhat, haavoittuvuudet ja riskit — ja dokumentoi ne.

Suojaa

Toteuta tekniset ja menettelylliset suojatoimet hyökkäyksiä vastaan.

Havaitse

Luo ja dokumentoi menetelmät tietoturvaloukkausten tunnistamiseen.

Reagoi

Minimoi vaikutukset poikkeamatilanteessa ennalta määritellyillä toimintamalleilla.

Palauta

Palauta järjestelmät hyökkäyksen jälkeen ja varmista, ettei sama ongelma pääse toistumaan.

Tarkemmat painopistealueet yllä olevan mallin mukaisesti:

  • Assets: omaisuuden, järjestelmien ja konfiguraatioiden hallinta
  • Threats: tunnettujen uhkien ja haavoittuvuuksien käsittely
  • Risks: ennakoitujen riskien hallinta
  • Access: identiteetin- ja pääsynhallinta järjestelmissä ja fyysisissä tiloissa
  • Situation: ajantasainen tilannekuva sekä järjestelmien ja kumppaneiden väliset riippuvuudet
  • Response: poikkeamien ja häiriöiden hallinta sekä jatkuvuussuunnittelu
  • Third-parties: kumppaneihin ja toimitusketjuun liittyvien kyberturvariskien hallinta
  • Workforce: henkilöstön johtaminen, koulutus ja suojatut työympäristöt
  • Architecture: dokumentoitu kyberturva-arkkitehtuuri
  • Program: kyberturvan hallintamalli, prosessit ja vastuuhenkilöt
  • Critical: kriittisten palveluiden suojaaminen

Täyden NIS2-vaatimustenmukaisuuden saavuttaminen vaatii lisätyötä, mutta jo näiden osa-alueiden käsittely vie organisaatiota merkittävästi eteenpäin.

Miten pääset helposti alkuun?

Tuntuuko tämä paljolta sisäisesti läpikäytäväksi? Puuttuuko organisaatiostanne tarvittava asiantuntemus tai tekninen osaaminen? Onko dokumentaatio kadonnut vuosien aikana henkilöstön vaihtuessa?

Alkuun pääseminen on huomattavasti helpompaa, kun annat meidän arvioida organisaatiosi NIS2-vaatimustenmukaisuuden.

Tunninen Oy:llä on 20 vuoden kokemus yritysten kyberturvasta. Kyberala ry:n (FISC) jäsenenä osallistumme Suomen kyberturvan kehittämiseen valtakunnallisella tasolla. Tuemme yrityksiä kaikilla kypsyystasoilla — vähäisestä suojauksesta vaativiin ympäristöihin. Asennamme tarvittavat laitteet, suojaamme verkkonne ja autamme kehittämään kyberturvaprosessinne NIS2-vaatimusten mukaisiksi.

Ota yhteyttä Ota yhteyttä -osiossa ja pyydä kartoitusta.

Vahvan kyberturvan hyödyt ulottuvat pitkälle lakivaatimusten ulkopuolelle:

  • Varmistaa toiminnan jatkuvuuden häiriötilanteissa
  • Minimoi kyberhyökkäysten ja käyttökatkosten taloudelliset vaikutukset
  • Suojaa kriittistä liiketoimintatietoa ja dataa
  • Rakentaa luottamusta kumppaneiden ja asiakkaiden keskuudessa

Entä jos yrityksesi ei kuulu NIS2:n piiriin?

Vaikka organisaatiosi ei kuuluisikaan direktiivin soveltamisalaan, kyberturvaa ei pidä sivuuttaa. Suojaamattomat laitteet ja yritykset edistävät merkittävästi laajamittaisten hyökkäysten mahdollistumista. Haittaohjelmat pysyvät usein piilevinä, kunnes ne aktivoidaan osana koordinoitua hyökkäyskampanjaa.

Vahvista kyberturvaasi — sekä organisaationa että henkilökohtaisella tasolla. Jokainen toimenpide parantaa Suomen kokonaisresilienssiä.

TUTUSTU TUNNISEN TIETOTURVA 360°-PALVELUUN