Direktiivi toimenpiteistä yhteisen korkeatasoisen kyberturvallisuuden varmistamiseksi koko unionissa (NIS2-direktiivi) – Usein kysyttyä

Verkko- ja tietoturvadirektiivi – ensimmäinen EU:n kyberturvallisuuslainsäädäntö – on ensimmäinen horisontaalinen sisämarkkinaväline, jolla pyritään parantamaan unionin verkko- ja tietojärjestelmien häiriönsietokykyä kyberturvallisuusriskejä vastaan. Merkittävistä saavutuksistaan huolimatta verkko- ja tietoturvadirektiivi on osoittanut tiettyjä rajoituksia. Yhteiskunnan digitalisaatio, jota covid-19-kriisi voimistaa, on laajentanut uhkaympäristöä. On ilmaantunut uusia haasteita, jotka edellyttävät mukautettuja ja innovatiivisia ratkaisuja.

Voidakseen analysoida verkko- ja tietoturvadirektiivin vaikutuksia ja havaita siinä olevat puutteet komissio järjesti laajan sidosryhmien kuulemisen. Komissio yksilöi seuraavat keskeiset kysymykset:

• EU:ssa toimivien yritysten kyberuhkien sietokyvyn riittämättömyys
• epäyhtenäinen häiriönsietokyky eri jäsenvaltioissa ja sektoreilla
• jäsenvaltioiden suurimpia uhkia ja haasteita koskevan yhteisymmärryksen riittämättömyys
• yhteisen kriisitoiminnan puute.

Tämän vuoksi ja vastatakseen digitalisaatiosta ja keskinäisistä kytköksistä johtuviin kasvaviin uhkiin komissio ehdotti joulukuussa 2020 tarkistettuja tulevaisuuden vaatimukset huomioon ottavia sääntöjä, joilla pyritään vahvistamaan kyberuhkien sietokykyä unionissa ja joista lainsäätäjät pääsivät poliittiseen yhteisymmärrykseen 13. toukokuuta 2022 ja hyväksyivät uuden direktiivin virallisesti marraskuun 2022 lopussa.

Covid-19-kriisin jälkeen Euroopan talous on kasvanut riippuvaisemmaksi digitaalisista ratkaisuista kuin koskaan aiemmin. Alat ja palvelut ovat yhä enemmän kytköksissä toisiinsa ja riippuvaisia toisistaan. Tämä on johtanut kasvavaan ja nopeasti kehittyvään kyberturvallisuuden uhkaympäristöön: kaikilla häiriöillä, jotka alun perin rajoittuvat yhteen yksikköön tai yhteen toimialaan, voi olla laaja-alaisia vaikutuksia, jotka voivat johtaa kauaskantoisiin ja pitkäaikaisiin kielteisiin vaikutuksiin palvelujen toimittamisessa koko sisämarkkinoilla.

Covid-19-pandemia on osoittanut yhä riippuvaisempien yhteiskuntiemme haavoittuvuuden odottamattomien riskien edessä. Se tehosti nykyisessä verkko- ja tietoturvadirektiivissä jo esiin nousevia kysymyksiä ja toimi sen tarkistamisen katalysaattorina. Tämän kriisin vuoksi verkko- ja tietoturvadirektiiviin tehtiin konkreettinen muutos uuden direktiivin soveltamisalan laajentamiseksi siten, että se kattaisi terveydenhuoltoalan erityiselementit, kuten lääkkeiden tutkimus- ja kehittämistoimintaa harjoittavat yksiköt.

NIS2-direktiivissä säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa, jotta voidaan edistää sisämarkkinoiden yleistä toimintaa. Se perustuu kolmeen pääpilariin, jotka olivat NIS1-direktiivin perustana:

1. Verkko- ja tietojärjestelmien turvallisuutta koskevan NIS1-strategian pohjalta jäsenvaltioiden korkean valmiustason saavuttamiseksi verkko- ja tietoturvadirektiivissä edellytetään, että jäsenvaltiot hyväksyvät kansallisen kyberturvallisuusstrategian. Jäsenvaltioiden on myös nimettävä kansalliset tietoturvaloukkauksiin reagoivat ryhmät (CSIRT), jotka vastaavat riskien ja poikkeamien käsittelystä, toimivaltainen kansallinen kyberturvallisuusviranomainen ja keskitetty yhteyspiste (SPOC). Keskitetyn asiointipisteen on hoidettava yhteystehtävää varmistaakseen rajatylittävän yhteistyön jäsenvaltioiden viranomaisten ja muiden jäsenvaltioiden asiaankuuluvien viranomaisten välillä ja tarvittaessa komission ja ENISAn kanssa sekä varmistaakseen monialaisen yhteistyön jäsenvaltionsa muiden toimivaltaisten viranomaisten kanssa.
2. NIS2-direktiivillä jatketaan myös NIS1-kehystä, jolla perustetaan verkko- ja tietoturvayhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa jäsenvaltioiden välillä, sekä CSIRT-verkostoa, joka edistää nopeaa ja tehokasta operatiivista yhteistyötä kansallisten CSIRT-toimijoiden välillä.
3. NIS1-direktiivillä varmistetaan, että kyberturvallisuustoimenpiteitä toteutetaan seitsemällä alalla, jotka ovat elintärkeitä taloudelle ja yhteiskunnalle ja jotka ovat vahvasti riippuvaisia tieto- ja viestintätekniikasta, kuten energia, liikenne, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, juomavesi, terveydenhuolto ja digitaalinen infrastruktuuri.

Julkisten ja yksityisten toimijoiden, jotka jäsenvaltiot ovat määrittäneet keskeisten palvelujen tarjoajiksi näillä aloilla, on suoritettava kyberturvallisuusriskien arviointi ja otettava käyttöön asianmukaiset ja oikeasuhteiset turvatoimenpiteet. Niiden on ilmoitettava vakavista vaaratilanteista asianomaisille viranomaisille. Lisäksi keskeisten digitaalisten palvelujen tarjoajien (digitaalisten palvelujen tarjoajien tai digitaalisten palvelujen tarjoajien), kuten hakukoneiden, pilvipalvelujen ja verkossa toimivien markkinapaikkojen, on myös noudatettava direktiivin mukaisia turvallisuus- ja ilmoitusvaatimuksia. Samaan aikaan jälkimmäisiin sovelletaan niin sanottua kevyttä sääntelyjärjestelmää, mikä merkitsee sitä, että kyseisiin yksiköihin ei sovelleta ennakkovalvontatoimenpiteitä.

NIS2-direktiivillä laajennetaan merkittävästi toimialojen soveltamisalaa ja otetaan käyttöön kokoraja sen määrittämiseksi, mitkä toimijat kuuluvat sen soveltamisalaan ja joiden olisi raportoitava merkittävistä kyberturvallisuuspoikkeamista kansallisille toimivaltaisille viranomaisille.

NIS2-direktiivillä pyritään korjaamaan aiempien sääntöjen puutteet, mukauttamaan sitä nykyisiin tarpeisiin ja tekemään siitä tulevaisuuden vaatimukset huomioon ottava.

Tätä varten direktiivillä laajennetaan aiempien sääntöjen soveltamisalaa lisäämällä siihen uusia aloja, jotka perustuvat niiden digitalisaatioasteeseen ja keskinäisiin kytköksiin sekä niiden elintärkeyteen talouden ja yhteiskunnan kannalta, ottamalla käyttöön selkeä kokorajasääntö, joka tarkoittaa, että kaikki valituilla aloilla toimivat keskisuuret ja suuret yritykset sisällytetään soveltamisalaan. Samalla siinä jätetään jäsenvaltioille tiettyä harkintavaltaa sellaisten pienempien yksiköiden yksilöimiseksi, joilla on korkea turvallisuusriskiprofiili ja joiden olisi kuuluttava myös uuden direktiivin velvoitteiden piiriin.

Uudella direktiivillä poistetaan myös ero keskeisten palvelujen tarjoajien ja digitaalisten palvelujen tarjoajien välillä. Yhteisöt luokiteltaisiin niiden merkityksen perusteella, ja ne jaettaisiin kahteen ryhmään: keskeiset ja tärkeät toimijat, joihin sovelletaan erilaisia valvontajärjestelmiä.

Sillä vahvistetaan ja virtaviivaistetaan yritysten turvallisuus- ja raportointivaatimuksia ottamalla käyttöön riskinhallintamenetelmä, jossa esitetään vähimmäisluettelo keskeisistä turvallisuustekijöistä, joita on sovellettava. Uudessa direktiivissä säädetään tarkemmin poikkeamien ilmoittamismenettelystä, raporttien sisällöstä ja määräajoista.

Lisäksi NIS2 käsittelee toimitusketjujen turvallisuutta ja toimittajasuhteita vaatimalla yksittäisiä yrityksiä puuttumaan toimitusketjujen kyberturvallisuusriskeihin ja toimittajasuhteisiin. Euroopan tasolla direktiivillä vahvistetaan keskeisten tieto- ja viestintäteknologioiden toimitusketjun kyberturvallisuutta. Jäsenvaltiot voivat yhteistyössä komission ja ENISAn kanssa toteuttaa kriittisten toimitusketjujen koordinoituja turvallisuusriskien arviointeja unionin tasolla 5G-verkkojen kyberturvallisuudesta annetun komission suosituksen yhteydessä omaksutun onnistuneen lähestymistavan pohjalta.

Direktiivillä otetaan käyttöön kansallisille viranomaisille tiukemmat valvontatoimenpiteet, tiukennetaan täytäntöönpanovaatimuksia ja pyritään yhdenmukaistamaan seuraamusjärjestelmiä kaikissa jäsenvaltioissa.

Se myös vahvistaa yhteistyöryhmän roolia strategisten poliittisten päätösten muotoilussa ja lisää tiedonvaihtoa ja yhteistyötä jäsenvaltioiden viranomaisten välillä. Sillä myös tehostetaan operatiivista yhteistyötä CSIRT-verkoston puitteissa ja perustetaan eurooppalainen kyberkriisiyhteysorganisaatioverkosto (EU-CyCLONe), jolla tuetaan laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoitua hallintaa.

NIS2:ssa luodaan myös peruskehys, johon kuuluu vastuullisten keskeisten toimijoiden kanssa koordinoitua haavoittuvuuksien paljastamista EU:ssa, ja luodaan EU:n haavoittuvuustietokanta tieto- ja viestintätekniikan tuotteiden ja palvelujen yleisesti tunnetuista haavoittuvuuksista, joita EU:n kyberturvallisuusvirasto (ENISA) hallinnoi ja ylläpitää.

NIS2 kattaa seuraavien alojen yksiköt:

Kriittisetalat: energia (sähkö, kaukolämmitys ja -jäähdytys, öljy, kaasu ja vety); liikenne (lento-, rautatie-, vesi- ja maantieliikenne) pankkitoiminta; rahoitusmarkkinoiden infrastruktuurit; terveys, mukaan lukien farmaseuttisten tuotteiden, myös rokotteiden, valmistus; juomavesi; jätevesi; digitaalinen infrastruktuuri (internet-vaihtopisteet; DNS-palvelujen tarjoajat; TLD-nimirekisterit; pilvipalvelujen tarjoajat; datakeskuspalvelujen tarjoajat; sisällönjakeluverkot; luottamuspalvelujen tarjoajat; yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat; ICT-palvelujen hallinta (hallitut palveluntarjoajat ja hallitut turvallisuuspalvelujen tarjoajat), julkishallinto ja tila.

Muut kriittiset alat: posti- ja kuriiripalvelut; jätehuolto; kemikaalit; elintarvikkeet; lääkinnällisten laitteiden, tietokoneiden ja elektroniikan, koneiden ja laitteiden, moottoriajoneuvojen, perävaunujen ja puoliperävaunujen sekä muiden kuljetusvälineiden valmistus; digitaaliset palveluntarjoajat (verkkomarkkinat, verkossa toimivat hakukoneet ja sosiaalisen verkostoitumisen palvelualustat) ja tutkimusorganisaatiot.

Turvallisuus- ja vaaratilanteiden raportointivaatimuksia koskevien nykyisten sääntöjen arviointi on osoittanut, että joissakin tapauksissa jäsenvaltiot ovat panneet nämä vaatimukset täytäntöön merkittävästi eri tavoin. Tämä on aiheuttanut lisätaakkaa useammassa kuin yhdessä jäsenvaltiossa toimiville yrityksille.

Kyberturvallisuusvaatimusten osalta haluamme myös varmistaa, että kaikki yritykset käsittelevät kyberturvallisuusriskien hallintapolitiikassaan tarvittavia keskeisiä osatekijöitä.

Tästä syystä NIS2 sisältää luettelon kymmenestä keskeisestä tekijästä, jotka kaikkien yritysten on käsiteltävä tai pantava täytäntöön osana toimenpiteitä, joita ne toteuttavat, mukaan lukien poikkeamien käsittely, toimitusketjun turvallisuus, haavoittuvuuksien käsittely ja paljastaminen, salauksen käyttö ja tarvittaessa salaus.

Mitä tulee poikkeamista ilmoittamiseen, meidän on löydettävä oikea tasapaino nopean raportoinnin tarpeen, jotta vältetään poikkeamien mahdollinen leviäminen, ja perusteellisen raportoinnin tarpeen välillä, jotta voidaan hyödyntää arvokkaita kokemuksia yksittäisistä poikkeamista. Uudessa direktiivissä säädetään poikkeamista ilmoittamiseen sovellettavasta monivaiheisesta lähestymistavasta. Asianomaisten yritysten on 24 tunnin kuluttua siitä, kun ne saavat ensimmäisen kerran tiedon poikkeamasta, annettava CSIRT-toimijalle tai toimivaltaiselle kansalliselle viranomaiselle ennakkovaroitus, jonka avulla ne voivat myös pyytää apua (ohjeistusta tai operatiivista neuvontaa mahdollisten lieventävien toimenpiteiden täytäntöönpanosta), jos ne sitä pyytävät. Ennakkovaroituksen jälkeen olisi ilmoitettava poikkeamasta 72 tunnin kuluessa poikkeamasta ja annettava loppuraportti viimeistään kuukautta myöhemmin.

Uusi verkko- ja tietoturvadirektiivi asettaa valvonnan ja täytäntöönpanon toimivaltaisten viranomaisten tehtävien ytimeen ja muodostaa johdonmukaisen kehyksen kaikille valvonta- ja täytäntöönpanotoimille kaikissa jäsenvaltioissa.

Jotta voitaisiin tehostaa valvontaa, joka auttaa varmistamaan säännösten tehokkaan noudattamisen, verkko- ja tietoturvadirektiivissä esitetään vähimmäisluettelo valvontakeinoista, joiden avulla toimivaltaiset viranomaiset voivat valvoa olennaisia ja tärkeitä toimijoita. Näihin kuuluvat säännölliset ja kohdennetut tarkastukset, paikan päällä ja sen ulkopuolella tehtävät tarkastukset, tietojen pyytäminen sekä asiakirjojen tai todisteiden saatavuus.

Lisäksi uudessa direktiivissä säädetään valvontajärjestelmien eriyttämisestä keskeisten ja tärkeiden toimijoiden välillä, jotta voidaan varmistaa sekä toimijoiden että toimivaltaisten viranomaisten velvoitteiden oikeudenmukainen tasapaino.

Täytäntöönpanon valvonnanosalta jäsenvaltiot ovat tähän mennessä olleet yleisesti haluttomia määräämään seuraamuksia yhteisöille, jotka eivät ole ottaneet käyttöön turvatoimenpiteitä tai raportoineet poikkeamista. Tällä voi olla kielteisiä vaikutuksia yhteisöjen kyberuhkien sietokykyyn. Täytäntöönpanon tehostamiseksi uudella direktiivillä luodaan yhdenmukaiset puitteet seuraamuksille kaikkialla unionissa. Sen vuoksi siinä vahvistetaan vähimmäisluettelo hallinnollisista seuraamuksista, joita määrätään verkko- ja tietoturvadirektiivissä säädettyjen kyberturvallisuusriskien hallintaa ja raportointia koskevien velvoitteiden rikkomisesta. Näihin seuraamuksiin kuuluvat sitovat ohjeet, turvallisuustarkastuksen suositusten täytäntöönpano, turvatoimien saattaminen verkko- ja tietoturvavaatimusten mukaisiksi sekä hallinnolliset sakot. Hallinnollisten sakkojen osalta uudessa verkko- ja tietoturvadirektiivissä erotetaan toisistaan keskeiset ja tärkeät toimijat. Keskeisten toimijoiden osalta siinä edellytetään, että jäsenvaltiot säätävät tietyntasoisista hallinnollisista sakoista, erityisesti vähintään 10,000,000 euroa tai 2 prosenttia edellisen tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeiden toimijoiden osalta NIS2 edellyttää, että jäsenvaltiot määräävät sakon, joka on vähintään 7,000,000 euroa tai vähintään 1,4 prosenttia edellisen tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.

Toimivaltaisten viranomaisten olisi täytäntöönpanovaltuuksiaan käyttäessään otettava asianmukaisesti huomioon kunkin tapauksen erityisolosuhteet, kuten rikkomisen luonne, vakavuus ja kesto, aiheutunut vahinko tai aiheutunut vahinko sekä rikkomisen tahallisuus tai tuottamuksellisuus.

Jotta voidaan varmistaa todellinen vastuuvelvollisuus kyberturvallisuustoimenpiteistä organisaatiotasolla, verkko- ja tietoturvadirektiivissä otetaan käyttöön säännöksiä, jotka koskevat niiden luonnollisten henkilöiden vastuuta, jotka hoitavat ylemmän johdon tehtäviä uuden verkko- ja tietoturvadirektiivin soveltamisalaan kuuluvissa yhteisöissä.

Uusilla säännöillä parannetaan tapaa, jolla EU ehkäisee, käsittelee ja reagoi laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin. Ne tekevät sen ottamalla käyttöön selkeät vastuut, asianmukaisen suunnittelun ja EU:n yhteistyön lisäämisen. NIS2 edellyttää, että jäsenvaltiot nimeävät kyberkriisinhallinnasta vastaavat kansalliset viranomaiset, ottavat käyttöön kansalliset laaja-alaiset kyberturvallisuuspoikkeamat ja kriisinhallintasuunnitelmat ja perustavat Euroopan kyberkriisin yhteyshenkilöverkoston (EU-CYCLONe) tukemaan laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoitua hallintaa operatiivisella tasolla. Tämä verkosto on keskeinen osa komission vuonna 2017 hahmotteleman EU:n kyberkriisinhallintakehyksen perustamista suosituksella koordinoidusta reagoinnista laajoihin poikkeamiin ja kriiseihin.

Keskeisten ja tärkeiden toimijoiden katsotaanpääsääntöisesti kuuluvan sen jäsenvaltion lainkäyttövaltaan, johon ne ovat sijoittautuneet. Jos yhteisö on sijoittautunut useampaan kuin yhteen jäsenvaltioon, sen olisi kuuluttava kunkin tällaisen jäsenvaltion lainkäyttövaltaan. Kunkin näistä jäsenvaltioista toimivaltaisten viranomaisten olisi tehtävä yhteistyötä, annettava keskinäistä apua toisilleen ja toteutettava tarvittaessa yhteisiä valvontatoimia. Tähän sääntöön on useita poikkeuksia:

• yleisten sähköisten viestintäverkkojen tai palveluntarjoajien tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat kuuluisivat sen jäsenvaltion lainkäyttövaltaan, jossa ne tarjoavat palvelujaan.
• julkishallinnon yksiköt kuuluisivat sen jäsenvaltion lainkäyttövaltaan, joka on ne perustanut.
• tietyntyyppiset yhteisöt kuuluisivat sen jäsenvaltion lainkäyttövaltaan, jossa niiden päätoimipaikka on unionissa. Näihin yksiköihin kuuluvat verkkotunnusjärjestelmäpalvelujen tarjoajat, huipputason verkkotunnusrekisterit, verkkotunnusten rekisteröintipalveluja tarjoavat yksiköt, pilvipalvelujen tarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkon tarjoajat, hallinnoidut palveluntarjoajat, hallinnoidut turvallisuuspalvelujen tarjoajat sekä verkossa toimivien markkinapaikkojen, verkossa toimivien hakukoneiden ja sosiaalisen verkostoitumisen alustojen tarjoajat. Näin varmistetaan, että tällaisiin yksiköihin ei kohdistu monia erilaisia oikeudellisia vaatimuksia, koska ne tarjoavat palveluja yli rajojen erityisen suuressa määrin. Tehokkaan valvonnan varmistamiseksi jäsenvaltiot vaativat tämäntyyppisiä yhteisöjä ilmoittamaan muun muassa siitä, missä yhteisön päätoimipaikka on, sekä sen muista laillisista toimipaikoista unionissa tai, jos ne eivät ole sijoittautuneet unioniin, paikka, jossa yhteisön edustaja on nimetty. ENISAn olisi perustettava rekisteri, joka sisältää jäsenvaltioiden tältä pohjalta toimittamat tiedot, ja ylläpidettävä sitä.

EU:n yhteistyötä jatketaan antamalla jäsenvaltioille mahdollisuus toimia yhdessä ja torjua meneillään olevan digitalisaation aiheuttamia uusia turvallisuusriskejä.

Tarkemmin sanottuna jäsenvaltiot voivat yhdessä valvoa EU:n sääntöjen täytäntöönpanoa ja auttaa toisiaan rajatylittävissä väärinkäytöksissä, käydä jäsennellympää vuoropuhelua yksityisen sektorin kanssa ja koordinoida sisämarkkinoilla myytävissä ohjelmistoissa ja laitteistoissa havaittujen haavoittuvuuksien paljastamista. Ne voivat myös toimia koordinoidusti arvioidakseen uusiin teknologioihin liittyviä turvallisuusriskejä ja -uhkia, kuten tehtiin ensimmäistä kertaa 5G:n kanssa.

Jäsenvaltiot hyödyntävät EU:n yhteistyötä kansallisten valmiuksien parantamiseksi viranomaisten välisen henkilöstövaihdon ja vertaisarviointien avulla. Nykyiset ryhmät, erityisesti yhteistyöryhmä, joka kokoaa yhteen kansallisia kyberturvallisuusviranomaisia, ja CSIRT-verkosto, jäljempänä ’CSIRT-ryhmät’, edistävät yhteistyötä sekä strategisella että teknisellä tasolla.

NIS2-direktiivi liittyy läheisesti kahteen muuhun aloitteeseen: kriittisiä yhteisöjä koskevaan direktiiviin ja finanssialan digitaalista häiriönsietokykyä koskevaan asetukseen (digital Operational Resilience Act, DORA).

Verkko- ja tietoturvadirektiivin ja kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin (CER-direktiivi) soveltamisalaa on suurelta osin mukautettu sen varmistamiseksi, että kriittisten toimijoiden fyysistä ja kyberresilienssiä käsitellään kattavasti. Toimijoihin, jotka on määritelty kriittisiksi toimijoiksi CER-direktiivin nojalla, sovelletaan myös verkko- ja tietoturvadirektiivin kyberturvallisuusvelvoitteita. Lisäksi CER- ja NIS2-direktiivien mukaisten kansallisten toimivaltaisten viranomaisten on tehtävä yhteistyötä ja vaihdettava säännöllisesti asiaankuuluvia tietoja, kuten riskeistä, kyberuhkista ja -poikkeamista sekä muista kuin kyberriskeistä, uhkista ja poikkeamista. NIS2-yhteistyöryhmän on kokoonnuttava säännöllisesti ja vähintään kerran vuodessa CER-direktiivin nojalla perustetun kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän kanssa.

Vaikka uuteen verkko- ja tietoturvadirektiiviin sisältyy sen soveltamisalaan kuuluvia luottolaitoksia, kauppapaikkojen ylläpitäjiä ja keskusvastapuolia, DORA-järjestelmää sovelletaan näihin yhteisöihin kyberturvallisuusriskien hallinnan ja raportointivelvoitteiden osalta. Samalla on tärkeää säilyttää vahvat suhteet finanssialan ja muiden verkko- ja tietoturvaan 2 kuuluvien alojen välisessä tietojenvaihdossa. Tätä varten kansalliset toimivaltaiset viranomaiset voisivat DORAn puitteissa osallistua verkko- ja tietoturva-alan yhteistyöryhmän keskusteluihin finanssialan ja finanssialan osalta Euroopan valvontaviranomaiset. Lisäksi DORAn toimivaltaiset viranomaiset voisivat kuulla ja jakaa asiaankuuluvia tietoja NIS2-järjestelmän mukaisesti perustettujen keskitettyjen asiointipisteiden ja CSIRT-toimijoiden kanssa. Toimivaltaiset viranomaiset, keskitetyt asiointipisteet tai NIS2-järjestelmän mukaisesti perustetut CSIRT-toimijat saisivat myös yksityiskohtaisia tietoja merkittävistä TVT-poikkeamista DORAn toimivaltaisilta viranomaisilta. Lisäksi jäsenvaltioiden olisi edelleen sisällytettävä finanssiala kyberturvallisuusstrategioihinsa, ja kansalliset CSIRT-toimijat voivat kattaa finanssialan toiminnassaan.

Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä (21 kuukautta NIS:n voimaantulosta). Tämän jälkeen komission on määräajoin tarkasteltava uudelleen direktiivin toimivuutta ja raportoitava siitä parlamentille ja neuvostolle ensimmäisen kerran 17. lokakuuta 2027 mennessä.