CER- ja NIS2-Direktiivit

CER-direktiivi parantaa häiriönsietokykyä yhteiskunnan kriittisissä palveluissa

Uuden CER-direktiivin (Critical Entities Resilience Directive) tavoitteena on yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn parantaminen eli niiden mahdollisimman häiriöttömän toiminnan sekä jatkuvuuden varmistaminen. 

CER-direktiivi astui voimaan 14. joulukuuta 2022, ja siirtymäaika kansalliseen lainsäädäntöön tapahtuu lokakuuhun 2024 mennessä. Se korvaa aiemman ECI-direktiivin.

CER-direktiivin sovelluskohteisiin kuuluvat lukuisat sektorit ja toimialat: energia-ala, liikenne, finanssiala, vesihuolto, terveydenhuolto, digitaalinen infrastruktuuri, tietoverkkopalvelut, julkishallinto, avaruusalan toimijat, posti- ja kuriiripalvelut, elintarvikkeiden valmistus, tuotanto ja jakelu, valmistava teollisuus, kemianteollisuus, jätehuolto, digitaalisten palveluiden tarjoajat sekä tutkimustoiminta. Jokainen valtio voi halutessaan ottaa mukaan näiden lisäksi muitakin toimialoja.

Häiriönsietokykyä parannetaan jatkuvuussuunnittelulla

Parhaiten tämän "resilienssidirektiivin" vaatimuksiin vastataan – toimialasta riippumatta – liiketoiminnan perusteellisella jatkuvuussuunnittelulla ja jatkuvuudenhallinnalla.

Jokainen elintärkeitä palveluita tarjoava yritys tarvitsee ajan tasalla olevan ja parhaisiin käytäntöihin pohjautuvan liiketoiminnan jatkuvuussuunnitelman, joka sisältää varautumissuunnitelman ja valmiussuunnitelman.

Direktiivi tuo pakollisia velvoitteita

CER-direktiivi on merkittävä muutos myös siksi, että sen myötä toimijoille tulee pakollisia velvoitteita. Nykyinen laki huoltovarmuuden turvaamisesta (1390/1992) säätää, että huoltovarmuuden kannalta kriittisille sektoreille tai toimialoille kuuluvien toimijoiden osallistuminen resilienssin parantamiseen on vapaaehtoista.

Direktiivi painottaa jatkuvuussuunnittelua ja kriisinsietokykyä

Direktiivin soveltamisen perusteina ovat direktiivin kriteeristö sekä kansallinen riskiarvio. Soveltamiseen tulee toimialoittain rajauksia esimerkiksi yrityksen koon tai organisaation roolin mukaan.

Avainasemassa ovat organisaatioiden omien riskiarvioiden ja kriisinkestävyyssuunnitelmien eli toiminnan jatkuvuussuunnitelmien laatiminen.Organisaatioiden kriisinsietokykyyn tulee konkreettisia vaatimuksia, kuten häiriöiden ehkäisy, infrastruktuurin fyysinen suojaaminen, riskin- ja kriisinhallintajärjestelyt sekä jatkuvuudenhallinta ja henkilöstön turvallisuusselvitykset. Lisäksi viranomaisille tulee direktiivin perusteella uusia velvoitteita.

Yritysten kannattaa ottaa huomioon myös valmiuslain soveltamisalan tuleva laajeneminen sekä julkishallinnon jatkossa yksityisen sektorin kumppaneiltaan edellyttämä varautuminen. Tätä koskeva lainsäädäntö tulee voimaan aikaisintaan vuonna 2026.

NIS2-direktiivi parantaa kyberturvallisuuden perustasoa EU:ssa

Uuden NIS2-direktiivin tavoitteena on parantaa koko Euroopan unionin kyberturvallisuuden perustasoa, ja siinä asetetaan direktiivin alaisille toimialoille minimitaso kyberturvallisuusriskien hallintaan. NIS2-direktiivi astui voimaan 14. joulukuuta 2022, ja siirtymäaika kansalliseen lainsäädäntöön tapahtuu lokakuuhun 2024 mennessä. NIS2 korvaa aiemman NIS-direktiivin.

Direktiivin sovelluskohteisiin kuuluvat lukuisat sektorit ja toimialat: energia-ala, liikenne, finanssiala, vesihuolto, terveydenhuolto, digitaalinen infrastruktuuri, tietoverkkopalvelut, julkishallinto, avaruusalan toimijat, posti- ja kuriiripalvelut, elintarvikkeiden valmistus, tuotanto ja jakelu, valmistava teollisuus, kemianteollisuus, jätehuolto, digitaalisten palveluiden tarjoajat sekä tutkimustoiminta.

Direktiivi koskee yrityksiä, joissa on enemmän kuin 250 työntekijää, tai joiden liikevaihto ylittää 10 miljoonaa euroa. NIS2-direktiivi koskee lisäksi kaikkia CER-direktiivin perusteella kriittisiksi luokiteltuja toimijoita.

Direktiivi lisää raportointivelvollisuutta ja antaa vähimmäisvaatimukset

Keskeiset uudistukset aiempaan NIS-direktiivin verrattuna ovat toimialojen lukumäärän kasvu sekä artikla 21, joka velvoittaa toimijat raportoimaan tietoturvan riskienhallinnastaan.

Artikla 21 sisältää luettelon toimenpiteistä, jotka yrityksessä on otettava käyttöön. Luettelo kuvaa vähimmäisstandardit muun muassa riskianalyysille, turvallisuuskonsepteille, tietoturvaloukkausten ehkäisemiselle, kyberturvallisuuskoulutukselle sekä kriisinhallinnalle.

Vaatimukset liittyvät tietoturvanhallintaan ja sen hallintajärjestelmään, "tietoturvahygieniaan" sekä raportointiin. Vaatimukset eivät niinkään kosketa tietoturvan

Direktiivi painottaa jatkuvuussuunnittelua ja kriisinsietokykyä

teknistä toteutusta, vaikka yksittäisenä asiana edellytetään monivaiheisen tunnistautumisen käyttöä aina kun se on mahdollista.

Direktiivi tähtää kyberturvallisuuden riman nostoon

Keskeisiä vähimmäisvaatimuksia ovat: 

  • raportointivelvollisuus tietoturvapoikkeamista (mukaan lukien määritellyt aikarajat)
  • riskiarvioiden tuottaminen
  • tietojärjestelmiä koskevat turvallisuuspolitiikat
  • poikkeamahallintamenetelmät
  • toiminnan jatkuvuusvalmistelut
  • määrittely johdon vastuista
  • tietoturvatietoisuuden lisääminen koulutuksella

Direktiivin noudattaminen on sanktioitu, ja rangaistus on enimmillään 10 miljoonaa euroa tai 2 prosenttia yrityksen kansainvälisestä liikevaihdosta. Direktiiviin liittyvä uusi laki on lausuntokierroksella, ja tullessaan voimaan laki asettaa minimitason, joka kaikkien toimialojen on toteutettava NIS2-direktiivin osalta. Laki määrittelee mitä on tehtävä, ei miten. Toimialakohtaisesti voidaan säätää lisäksi tiukempia ja yksityiskohtaisempia määräyksiä. 

ISO/IEC 27001 -standardi vastaa hyvin NIS2-direktiiviin vaatimuksiin, mutta esimerkiksi jatkuvuudenhallinta voi vaatia ISO/IEC 27001 -standardia laajempia toimia.

Hyvin toteutetut liiketoiminnan jatkuvuudenhallinta- ja tietoturvanhallintajärjestelmä luovat pohjan CER- ja NIS2-direktiivien vaatimusten täyttämiseen. Tarvittaessa selvitämme organisaationne tilanteen ja kehityskohteet liiketoiminnan jatkuvuudenhallinnan, valmiussuunnittelun ja CER-direktiivin vaatimusten osalta.

REFERENSSEJÄ

Mitä asiakkaamme sanovat

"Monipuolinen ja vaativakin harjoitus koeponnisti suunnitelmiamme ja osoitti, kuinka tärkeää suunnitelmia on testata käytännön harjoittelulla. Harjoituksen tuloksena syntyi paljon uusia ajatuksia, joiden pohjalta kehitämme toimintaamme."
TOIMITUSJOHTAJA
Sähköverkkoyritys
"Jatkuvuuskonsultointi Oy järjesti meille harjoituksen, jossa testattiin konsernijohdon ja sairaanhoitoalueen yhteistoimintaa, kriisiviestinnän järjestelyjä sekä valmiuskäytäntöjemme toimivuutta. Saimme päivän aikana paljon kehitysideoita eri organisaatiotasojen suunnitelmien kehittämiseen."
JOHTAJAYLILÄÄKÄRI
Sairaanhoitopiiri
"Harjoitukseen Jatkuvuuskonsultointi loi tilanteen mukaisen harjoituskehyksen, joka testasi erinomaisesti organisaatiomme kykyä toimia kriisissä ja oli innostava kaikille osallistujille."
TOIMITUSJOHTAJA
Vesihuoltolaitos

Tuotteet ja palvelut

Ota yhteyttä

Tervetuloa keskustelemaan yrityksenne jatkuvuudenhallinnasta ja sen kehitysmahdollisuuksista.
Tämä sivusto käyttää evästeitä
Asetukset
evästeet