Cyber Security

Kyberturvallisuusdirektiivi NIS2 tulee, onko yrityksesi valmis?

Pohjoismaissa käydään vilkasta keskustelua EU:n verkko- ja tietoturvadirektiivin uudesta versiosta NIS2:sta (Directive of Security of Network and Information Systems) ja siitä, mitä se käytännössä tarkoittaa.

Euroopan parlamentti hyväksyi direktiivin vuoden 2022 lopussa ja se tulee voimaan kansallisesti kaikissa EU-maissa lokakuussa 2024.

NIS2:n tavoitteena on kyberturvallisuuden tason nostaminen Euroopassa ja vähentää kyberrikollisuuden aiheuttamia menetyksiä. NIS2 pyrkii varmistamaan jäsenmaiden kollektiivisen tietoturvan parantamisen sekä yhteisen perustason minimivelvoitteineen. Direktiivi kattaa kriittisten toimialojen lisäksi uusia toimialoja, julkisia organisaatioita ja yli 50 työntekijän yrityksiä. Julkisten organisaatioiden lisäksi yritykset, joissa on yli 250 työntekijää kuuluvat automaattisesti NIS2:n piiriin riippumatta niiden liikevaihdosta.

AFRY selvittää direktiivin vaikutukset liiketoiminnallesi ja auttaa yritystäsi löytämään tasapainon sujuvan liiketoiminnan ja vaadittavan tietoturvan välillä.

EU:n tavoitteena on suojella sisämarkkinoita

Uuden NIS2-direktiivin tarkoituksena on suojella EU:n sisämarkkinoita. Jäsenmaihin kohdistuvat tietoturvauhat tulevat yhä enemmän vihamielisiltä, valtioiden tukemilta toimijoilta. Tämän takia EU tehostaa ponnisteluja sekä eurooppalaisen tietoturvan laadun parantamiseksi että digitaalisten rakenteiden ja järjestelmien suojan lisäämiseksi.

NIS2-direktiivin vaikutukset

NIS2-direktiivi laajentaa toimialojen ja julkisten palvelujen luetteloa. Direktiivin soveltamisalaan kuuluvien yritysten määrä on kasvanut moninkertaiseksi. Toimialat ja palvelut on jaettu kahteen luokkaan: kriittiseen (essential) ja tärkeään (important). Molemmilta luokilta vaaditaan pohjimmiltaan samanlaista kyberturvallisuutta, mutta niiden valvonta ja seuraamukset eroavat toisistaan.

NIS2-direktiivi vaikuttaa suuresti toimialoihin, joille on ominaista korkea automaatio- ja digitalisaatioaste, mukaanlukien valmistavassa teollisuudessa käytettävä tuotantoteknologia (OT). Yritysten tulee huomioida kyberturvallisuuden vaatimukset tuotteiden ja palveluiden koko elinkaaren aikana. Tämä tulee vaikuttamaan satoihin suomalaisiin yrityksiin pelkästään teollisuudessa. Myös elintarviketuotannon, kemiantehtaiden, avaruusteollisuudelle materiaaleja ja teknologiaa tarjoavien yritysten ja kaikenlaisia digitaalisia palveluja tuottavien yritysten on nyt noudatettava NIS2-direktiiviä.

Lisäksi direktiivi edellyttää, että yritykset ottavat vastuuta myös alihankintaketjunsa kyberturvasta ja sen vaikutuksesta yrityksen toimintaan, jolloin toimintaympäristön kokonaisvaltainen ymmärtäminen on organisaation kyberturvallisuuden kannalta keskeistä. Valtaosa yrityksistä on enemmän tai vähemmän riippuvaisia esimerkiksi ulkoistetuista digitaalisista palveluista.

On korkea aika aloittaa valmistautuminen NIS2:een

AFRYllä on laaja asiantuntemus yritysten liiketoiminnan tarpeista ja toimintatavoista. Asiantuntijamme osaavat kertoa toimialakohtaisesti, mitkä yritykset kuuluvat NIS2:n piiriin, ja mitä tarvitaan EU:n vaatimusten täyttämiseksi.

Toiminnan ja käytettävien järjestelmien ymmärtämisen lisäksi tarvitaan myös ihmisten, organisaatioiden, johtamisen ja muutoksen johtamisen ymmärtämistä. Esimerkiksi turvallisuuspainotuksen lisääminen ja työntekijöiden kouluttaminen turvaluokiteltujen tietojen tietosuoja-arviointien laatimiseen yleensä vaatii paljon työtä. Tämä tarkoittaa usein, että prosesseja, johtamista, tehtäviä ja organisaatiokulttuuria on muutettava, jotta kyberturvallisuus saadaan luontevaksi osaksi organisaation toimintaa.

AFRY on ollut mukana toteuttamassa turvallisuuskulttuuria eri teollisuustoimialoilla ja julkisella sektorilla. Tiedämme mitä tarvitaan, jotta organisaation toimintatapa muuttuisi pysyvästi. Se vaatii digitaalisen ja teknisen asiantuntemuksen lisäksi lainsäädäntöä, viestintää ja sosiologiaa. Olemme tottuneet työskentelemään erilaisista taustoista tulevien ryhmien kanssa ja siten tuomme monipuolisen osaamisemme asiakkaidemme käyttöön.

Miten yrityksesi voi valmistautua toimimaan NIS2-direktiivin mukaisesti?

  1. Koskeeko NIS2 liiketoimintaasi? Arvioi direktiivin vaikutukset.
  2. Kykenetkö tunnistamaan ja analysoimaan kyberturvallisuusuhat ja haavoittuvuudet.
  3. Kartoita liiketoimintasi, toimitusketjusi ja yhteistyökumppanisi.
  4. Suunnittele strategia havaittujen haavoittuvuuksien korjaamiseksi ja luo kyberturvan hallintajärjestelmä.
  5. Kouluta yrityksesi kaikki työntekijät ja luo hyvä turvallisuuskulttuuri.

Kysy lisää teollisuuden kyberturvallisuuspalveluistamme!

Tapio Koskinen - Sales Director, Process Industries Finland

Tapio Koskinen

Sales Director, Process Industries Finland

Ota yhteyttä: Tapio Koskinen

Käytä tätä lomaketta palveluihimme liittyviin yhteydenottoihin ja tarjouspyyntöihin. Muissa asioissa voit vierailla toimistot ja yhteystiedot -sivullamme.

Kiinnostuitko? Katso myös

Palvelu
Building at night

Kyberturvallisuus: Tuotantoverkkojen tietoturvakatselmointi

Onko yritykselläsi viimeisin tilannetieto tuotantoverkosta ja -laitteistoista sekä inventoinnin että tietoturvan osalta? Palvelumme avulla tuotantoverkkojen tietoturvakatselmointi voidaan automatisoida.
toimiala
Girl with VR headset

Digitaalisen muutoksen vauhdittaja

AFRY auttaa asiakkaitaan rakentamaan digitaalista osaamista hyödyntävää liiketoimintaa teollisuuden IoT:ssä, tekoälyssä, suunnittelussa, kyberturvallisuudessa ja data-analytiikassa.
toimiala
Industrial pipelines with sunset, hero image for process industries

Prosessiteollisuus

Tuemme prosessiteollisuuden hankkeita paperi- ja selluteollisuudessa, kemianteollisuudessa, biojalostuksessa, kaivos- ja metalliteollisuudessa, elintarvike- ja juomateollisuudessa sekä muilla prosessiteollisuuden aloilla.