Laaja-alainen, mutta epätarkka NIS2

Jussi Kataja

Artikkelit Teknologia ja data

31.10.2024

Tuore NIS2 eli ns. kyberturvallisuusdirektiivi on aikaa kestäväksi luotu säädös, joka ei anna yksiselitteistä vastausta siihen, mikä on kulloinkin ”asianmukainen” tietoturvan taso. Tämä toisaalta heijastaa NIS2:n riskiperusteista lähestymistapaa sekä sitä, että kyberturvallisuuden tasoa tulee seurata kyberturvallisuusriskienkin jatkuvasti kehittyessä.

Keskeiset velvoitteet ja jopa alihankkijoihin ulottuvat velvoitteet

NIS2:n keskeiset velvoitteet koostuvat kyberturvallisuuden riskinhallintatoimenpiteistä, raportointivelvoitteista tietoturvapoikkeamien sattuessa sekä velvollisuudesta rekisteröityä toimijaluetteloon. NIS1:een verrattuna NIS2:ta sovelletaan laajempaan joukkoon aloja ja toimijoita, mutta jatkossa myös soveltamisalaan kuulumattomat toimijat saattavat joutua tarkastelemaan tietoturva-asioitaan, jos ne kuuluvat sellaisen organisaation toimitusketjuun, jota NIS2 koskee.

Osana NIS2:n edellyttämiä riskinhallintatoimenpiteitä organisaatioiden on nimittäin varmistettava myös toimitusketjuunsa kuuluvien alihankkijoidensa kyberturvallisuuskäytännöt. Tämä voi alihankkijan kannalta tarkoittaa toimenpiteitä sekä tietoturvan tason että raportointivelvoitteiden täyttämisen osalta.

Käytännössä alihankkijoiden NIS2:n mukaiset velvoitteet voidaan varmistaa sopimuksellisin keinoin. Ehkä tulevaisuudessa näemme ”kyberturvallisuussopimusten” vakiinnuttavan paikkansa samanlaisena sopimusliitteenä kuin yleisen tietosuoja-asetuksen mukanaan tuomat ”henkilötietojen käsittelysopimukset”.

Valmistautuminen kannattaa aloittaa viimeistään nyt

Summa summarum, NIS2 nostaa kyberturvallisuuden rimaa merkittävästi koko EU:ssa, ja siinä asetetaan tiukat, joskin tapauskohtaisuuden vuoksi tulkinnanvaraiset edellytykset kyberturvallisuudelle. Vaikka NIS2:n velvoitteisiin reagoiminen saattaa tuntua vaikealta – ja kestää muutaman vuoden, kuten aikanaan monille kävi yleisen tietosuoja-asetuksen kohdalla – on asia kuitenkin hyvä ottaa tosissaan, sillä NIS2:n myötä toimivaltaisilla viranomaisilla on valtuudet valvoa sääntöjen noudattamista sekä myös määrätä tuntuvia sakkoja.

Jussi Kataja