• Viimeksi haettu
  1. Kotisivu
  2. Teollisuudenalat ja sovellukset
  3. Industrial Security
  4. Kyberturvallisuus – Direktiivi: NIS 2

NIS 2 Eri alojen yritysten on esitettävä todisteet turvallisuusstrategiastaan, jotta ne voivat asettaa kyberturvallisuuden standardin Euroopan unionissa. Lähtölaskenta on käynnissä, ja on aika valmistautua yhdessä!

Verkotettu maapallo, jossa on turvalukko

EU:n uusi kyberturvallisuusdirektiivi NIS 2 tuli pakolliseksi lokakuun 18. päivästä 2024 alkaen. Tässä sitovassa asetuksessa asetetaan kyberturvallisuuden standardi koko Euroopan unionin alueelle ja pakotetaan eri alojen yritykset dokumentoimaan turvallisuusstrategiansa.

Yrityksiä kehotetaan toimimaan.

Mikä on NIS 2?

NIS 2 -direktiivin (Network and Information Security) myötä EU on ottanut käyttöön tiukat kyberturvallisuussäädökset jäsenvaltioilleen. NIS 2 on vuonna 2016 voimaan tulleen NIS-direktiivin seuraaja. Kokonaisvaltaisen turvallisuusstrategian toteuttaminen ei siis ole enää tarpeen vain verkkohyökkäyksiltä suojautumiseksi, vaan sitä vaaditaan myös laissa.

Jäsenvaltioiden on täytynyt toteuttaa tarvittavat toimenpiteet NIS 2 -direktiivin noudattamiseksi 17. lokakuuta 2024 mennessä ja soveltaa näitä toimenpiteitä 18. lokakuuta 2024 alkaen.

NIS 1:n ja NIS 2:n erot

Miten NIS 1 eroaa NIS 2:sta?

NIS 2 on parannettu versio vuoden 2016 NIS-direktiivistä, jolla oli jo tarkoitus varmistaa verkko- ja tietojärjestelmien korkea turvallisuustaso unionissa, mutta siinä oli joitakin heikkouksia.

Tärkeimmät erot NIS 1:n ja NIS 2:n välillä ovat seuraavat:

  • Uudessa versiossa on mukana enemmän yhteiskunnan ja talouden kannalta keskeisiä sektoreita ja yrityksiä, kuten energia, terveydenhuolto, liikenne ja digitaalinen infrastruktuuri.

  • NIS 2:ssa edellytetään, että asianomaiset yritykset ja organisaatiot harjoittavat tehokasta riskinhallintaa ja ilmoittavat vakavista tai merkittävistä tietoverkkotapahtumista toimivaltaisille kansallisille viranomaisille, jotka voivat ryhtyä tarvittaviin toimenpiteisiin. NIS 1:ssä annettiin vain yleisohjeet turvallisuustoimenpiteistä ja vaaratilanteista ilmoittamisesta.

  • Uudessa turvallisuusdirektiivissä säädetään jäsenvaltioille tiukemmista seuraamuksista, jotka voivat olla jopa 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta liikevaihdosta, jos asianomaiset yritykset ja organisaatiot eivät toteuta tarvittavia turvatoimia tai eivät ilmoita vakavista tai merkittävistä tietoverkkotapahtumista toimivaltaisille kansallisille viranomaisille. NIS 1:ssä jätettiin seuraamusten määrittäminen jäsenvaltioille, mikä johti epäjohdonmukaiseen soveltamiseen.

  • NIS 2:ssa korostetaan johdon henkilökohtaista vastuuta kyberturvallisuudesta, ja siinä säädetään ensimmäistä kertaa, että toimitusjohtajat ovat vastuussa henkilökohtaisella omaisuudellaan, jos he eivät noudata lakisääteisiä vaatimuksia.

NIS 2:n kohderyhmä

Ketä se koskee?

Mitkä yritykset ovat velvollisia panemaan täytäntöön NIS 2 -direktiivin?

Olennaiset toimijat: Nämä ovat organisaatioita, jotka toimivat kriittisten infrastruktuurien alalla. Tällaisia aloja ovat esimerkiksi energia, kuljetus, vesitalous, terveydenhuolto ja pankkitoiminta.

Tärkeät toimijat: Tähän luokkaan kuuluvat elintarvike- ja kemianteollisuuden johtavat yritykset sekä sähkölaitteiden, koneiden ja ajoneuvojen valmistuksesta vastaavat yritykset.

Lisäksi jäsenvaltiot voivat itse laajentaa NIS 2:n asianomaisia kohderyhmiä. Ne voivat lisätä kansallisiin luetteloihinsa uusia toimijoita ja velvoittaa paikallisia viranomaisia, oppilaitoksia ja muita tahoja panemaan direktiivin täytäntöön.

Muistutus NIS 2 -direktiivistä

Mitkä ovat seuraamukset?

NIS 2 -direktiivin noudattamista valvotaan tiukasti, ja sen noudattamatta jättämisestä tai raportointivelvoitteiden laiminlyönnistä määrätään suuret sakot. Seuraamusten suuruus riippuu yksittäisten yritysten luokittelusta.

"Merkittäviksi" luokiteltujen yritysten on maksettava sakkoja, joiden suuruus on 7 miljoonaa euroa tai enintään 1,4 prosenttia niiden edellisen tilikauden maailmanlaajuisesta kokonaisliikevaihdosta. "Olennaisille yrityksille" voidaan määrätä sakkoja enintään 10 miljoonaa euroa tai enintään 2 prosenttia niiden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta.

Kyberturvallisuuteen liittyvästä huolellisuusvelvollisuudesta ei voida neuvotella, ja ylimmällä johdolla on velvollisuus johtaa näiden kyberturvallisuustoimenpiteiden täytäntöönpanoa ja valvontaa.

Mitä tämä tarkoittaa sinulle konkreettisesti?

NIS 2 -direktiivi on 16. tammikuuta 2023 voimaan tullut EU-direktiivi, jonka tavoitteena on parantaa elintärkeiden infrastruktuurien ja digitaalisten palvelujen tarjoajien kyberturvallisuutta ja häiriönsietokykyä. Direktiivissä edellytetään, että asianomaiset yritykset ja organisaatiot noudattavat tehokasta riskinhallintaa ja ilmoittavat vakavista tai merkittävistä tietoverkkotapahtumista toimivaltaisille kansallisille viranomaisille, jotka voivat toteuttaa tarvittavat toimenpiteet. Käyttäjille, ympäristölle ja yleiselle järjestykselle mahdollisesti aiheutuvien vahinkojen minimoimiseksi tavoitteena on tunnistaa turvallisuuspuutteet varhaisessa vaiheessa ja ryhtyä ennaltaehkäiseviin toimiin niiden korjaamiseksi. Varmistaakseen, että kaikki osapuolet noudattavat samoja korkeita standardeja, yritykset ovat myös vastuussa koko toimitusketjun turvallisuuden varmistamisesta ja vaatimusten välittämisestä liikekumppaneilleen ja toimittajilleen. Muita toimenpiteitä ovat muun muassa:

  • Asianmukaisten ja oikeasuhteisten turvatoimien toteuttaminen, jotka ovat nykyisten standardien ja parhaiden käytäntöjen mukaisia, jotta voidaan varmistaa tietojen ja palvelujen luottamuksellisuus, eheys, saatavuus ja aitous.

  • Luodaan ja päivitetään liiketoiminnan jatkuvuussuunnitelma, jonka avulla voidaan palauttaa normaalit toimintaolosuhteet tietoverkkohäiriön jälkeen.

  • Luvattoman pääsyn estäminen ottamalla käyttöön monivaiheinen tunnistautuminen, jotta pääsy verkkoihin ja tietojärjestelmiin voidaan estää.

EU:n verkko- ja tietoturvavirastolla (ENISA) on keskeinen rooli näiden säädösten soveltamisen valvonnassa ja tukemisessa.

NIS 2 – Valmistajan velvollisuudet
Kaikki tiedot yhdellä silmäyksellä
Kattava opas kyberkestävyyssäädöksestä

Pyydä whitepaper-julkaisu "Kyberkestävyyssäädös – digitaalisten tuotteiden kyberturvallisuuden tulevaisuus", josta saat kaikki tärkeät tiedot CRA-säädöksestä yhdellä silmäyksellä. Asiakirja sisältää kaikki tärkeimmät tiedot EU-asetuksesta ja antaa myös tietoa siitä, miten me Phoenix Contactilla täytämme CRA-säädöksen vaatimukset.

Lataa whitepaper-julkaisu
Verkottunut maailma ja turvalukko

NIS 2:n aikataulu

NIS 2 -direktiivi tuli voimaan 16. tammikuuta 2023, ja se oli saatettava osaksi kansallista lainsäädäntöä 17. lokakuuta 2024 mennessä. Komissio tarkastelee direktiivin täytäntöönpanoa 36 kuukauden välein 17. lokakuuta 2027 alkaen.

On aika ryhtyä aktiiviseksi ja valmistautua.

Aikajana NIS 2

NIS 2 tuli voimaan jo 16. tammikuuta 2023

360°:n turvallisuussykli

Täydellinen 360°-turvallisuuskonseptimme

360°-turvallisuus – täydellinen valikoimamme ilman kompromisseja

Kyberturvallisuuden dynaamisessa maailmassa muutos on jatkuvaa, ja NIS 2 -direktiivin käyttöönotto korostaa tätä tosiasiaa. Odottaessamme, että direktiivi saatetaan osaksi kansallista lainsäädäntöä, jotta se voisi tulla täysimääräisesti voimaan, on kiistatta kiireellistä ryhtyä toimiin.

Jotta voimme täyttää NIS 2:n tiukat vaatimukset, meidän on tukeuduttava eurooppalaisiin ja kansainvälisiin standardeihin, jotka muodostavat perustamme. Sen lisäksi, että näissä standardeissa määritellään turvalliset tuotteet, niissä esitetään myös periaatteet vankkojen turvajärjestelmien toteuttamiselle. Yksi erinomainen esimerkki on IEC 62443, joka on maailmanlaajuisesti tunnustettu automaation turvallisuutta koskeva standardisarja. Kokonaisvaltainen 360°-turvakonseptimme ____ sisältää sekä teknisiä että organisatorisia toimenpiteitä, joita tukevat vastaavat IEC 62443 -sertifioinnit.

Lisätietoja 360°-turvallisuuskonseptista