EU:n tietoturvadirektiivi, NIS2, tulee voimaan ja osaksi kansallista lainsäädäntöä viimeistään 17.10.2024.

NIS2 laajentaa huomattavasti kyberturvallisuuden vaatimuksia yrityksille. NIS2 laajentaa direktiiviin kuuluvien toimialojen määrää, asetettuja vaatimuksia, sekä tuo mukanaan myös laajemmat sanktiot.

Tiivistettynä yrityksien tulee tuottaa kyberstrategia, tehdä tietoturvaan liittyvät hallintatoimenpiteet ja menettelyt, tehdä koulutussuunnitelma ja tuottaa jatkuvaa arviointia tietoturvatilanteesta, sekä tehdä viranomaisilmoitus havaituista poikkeamista. Yrityksien tulee tuottaa vähintään seuraavat hallintamallit:

– Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
– Poikkeamien käsittely
– Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
– Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
– Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
– Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
– Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
– Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
– Henkilöstöturvallisuuden menettelyt, pääsynhallintaperiaatteet ja omaisuudenhallinta
– Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Vaatimukset ovat laajat ja toimenpiteet vaatimusten edistämiseen kannattaakin aloittaa ajoissa.

Ota yhteyttä, niin käydään yhdessä yrityksesi tilanne läpi!