NIS2: kaikki mitä sinun tulee tietää kyberturvallisuuslaista ja ohjelmistohankinnoista
NIS2 on suurin eurooppalainen kyberturvallisuuslaki vuosiin. Kriittisillä aloilla toimiville organisaatioille tapahtuu paljon muutoksia, myös ohjelmistohankintojen ja toimittajahallinnan osalta. Tässä kaikki, mitä sinun tulee tietää.
- 15. tammikuuta 2025
- 5 min
- NIS2 – Kyberturvallisuusdirektiivi
NIS2-direktiivi on suurin eurooppalainen kyberturvallisuuslaki vuosiin. Sen soveltamisala on laaja, valvonta tiukkaa, ja se koskee suoraan kaikkia, jotka vastaavat organisaation ohjelmistohankinnoista. Tässä mitä sinun tulee tietää.
Mikä on NIS2?
NIS2 tarkoittaa Network and Information Security Directive 2:ta, eli verkko- ja tietoturvadirektiivin toista versiota, joka korvaa alkuperäisen vuonna 2016 annetun NIS-direktiivin. Direktiivi velvoittaa kriittisten alojen organisaatiot vahvistamaan digitaalista resilienssiään rakenteellisesti. NIS2 astuu voimaan Euroopan tasolla 17. lokakuuta 2024. Suomen toteutus Cybersecurity-lain kautta odotetaan tapahtuvaksi vuoden 2026 toisen vuosineljänneksen aikana.
Kenen on noudatettava NIS2:ta?
NIS2 koskee 18 kriittisen sektorin organisaatioita, jotka on jaettu olennaisiin sekä merkittäviin yksiköihin. Näihin kuuluvat esimerkiksi energia, liikenne, terveydenhuolto, vesi, digitaalinen infrastruktuuri, rahoituspalvelut, julkinen sektori ja muita. Myös näiden alojen organisaatioiden toimittajat voivat lain kautta joutua vastuuseen ketjuvastuulainsäädännön nojalla.
Mitä muutoksia NIS2 tuo verrattuna NIS1:een?
Tärkeimmät muutokset ovat:
Laajempi soveltamisala: Paljon useammat alat ja organisaatiot kuuluvat nyt direktiivin piiriin
Henkilökohtainen vastuu: Johtajat ovat vastuussa lain noudattamisesta ja voivat joutua henkilökohtaiseen vastuuseen
Kovemmat sakot: Jopa 10 miljoonan euron sakot tai 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta olennaisille yksiköille
Ketjuvastuu: Organisaatioiden tulee myös valvoa toimittajiensa tietoturvaa
Ilmoitusvelvollisuus: Tapahtumista on ilmoitettava CSIRT:lle 24 tunnin sisällä
Mitä NIS2 merkitsee ohjelmistohankinnoille?
Ketjuvastuuvaatimuksella on suorin vaikutus ohjelmistohankintoihin. Organisaatioiden on velvollisuus:
Pitää ajan tasalla oleva luettelo kaikista ICT-toimittajista ja ohjelmistoista
Sopimusperusteiset tietoturvaehdot neuvoteltava kaikkien olennaisten toimittajien kanssa
Arvioida toimittajien tietoturvaa säännöllisesti
Sopien kriittisten ohjelmistotoimittajien kanssa häiriötilanteiden eskalointiprosessit
Ilman järjestelmällistä ohjelmistonhallintaa NIS2:n vaatimustenmukaisuus ei ole mahdollista. SoftVaro auttaa organisaatioita luomaan tämän kokonaiskuvan lähtökohdaksi lainmukaisuudelle.
Usein kysytyt kysymykset
Tämän aiheen yleisimmät kysymykset.
Miten NIS2 liittyy ohjelmistohankintoihin?
NIS2 velvoittaa organisaatiot pitämään ajan tasalla olevan luettelon kaikesta ohjelmistosta ja ICT-toimittajista, mukaan lukien sopimuspohjaiset tietoturvasopimukset. Ilman tätä kokonaisnäkemystä ei ole mahdollista täyttää vaatimuksia.
Milloin NIS2 astuu voimaan Suomessa?
Cybersecurity-lainsäädännön (NIS2:n kansallinen toteutus) arvioidaan tulevan voimaan vuoden 2026 toisella neljänneksellä. Organisaatioiden tulee noudattaa lakia heti voimaantulosta lähtien.
Millaisia sakkoja NIS2:n rikkomisesta voi seurata?
Olennaiset yksiköt voivat saada sakkoja jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuosiliikevaihdosta. Merkittävien yksiköiden sakot voivat olla enimmillään 7 miljoonaa euroa tai 1,4 % vuosiliikevaihdosta. Johtajat voivat joutua henkilökohtaisesti vastuuseen.
Valmis säästämään ohjelmistoissa?
SoftVaro neuvottelee puolestasi parhaat tarjoukset yli 4000 toimittajalta. Riippumaton, läpinäkyvä, 24 tunnin sisällä.