NIS 2 -direktiivi: verkko- ja tietojärjestelmien kyberturvallisuutta koskevat uudet säännöt

Kyberturvallisuuteen kuuluu verkko- ja tietojärjestelmien, niiden käyttäjien ja muiden asianomaisten henkilöiden suojaaminen kyberturvallisuuspoikkeamilta ja -uhkilta. Vastatakseen Euroopan lisääntyneeseen altistumiseen kyberuhkille direktiivillä 2022/2555, joka tunnetaan myös nimellä NIS2 ⁇ , korvattiin sen edeltäjä, direktiivi 2016/1148 tai NIS1. Toisessa verkko- ja tietoturvadirektiivissä nostetaan kyberturvallisuutta koskevaa EU:n yhteistä tavoitetasoa laajentamalla soveltamisalaa, selkeyttämällä sääntöjä ja vahvistamalla valvontavälineitä. Siinä edellytetään, että jäsenvaltiot parantavat kyberturvallisuusvalmiuksiaan ja ottavat samalla käyttöön riskinhallintatoimenpiteitä ja raportointivaatimuksia useammilta aloilta tuleville toimijoille sekä vahvistavat kyberturvallisuustoimenpiteiden yhteistyötä, tietojenvaihtoa, valvontaa ja täytäntöönpanoa koskevat säännöt.

Direktiivissä edellytetään, että kukin jäsenvaltio hyväksyy kansallisen kyberturvallisuusstrategian, joka sisältää toimitusketjun turvallisuutta, haavoittuvuuksien hallintaa sekä kyberturvallisuuskoulutusta ja -tietoisuutta koskevat toimintapolitiikat. Jäsenvaltioiden on myös laadittava ja saatettava säännöllisesti ajan tasalle luettelo keskeisten palvelujen tarjoajista ja varmistettava, että nämä toimijat noudattavat direktiivin vaatimuksia. 

NIS 1 -direktiivin jo kattamien alojen, kuten energian, liikenteen, terveydenhuollon, rahoituksen, vesihuollon ja digitaalisen infrastruktuurin, lisäksi näitä sääntöjä sovelletaan yleisten sähköisten viestintäpalvelujen tarjoajiin, digitaalisempiin palveluihin, kuten sosiaalisiin alustoihin, jätevesi- ja jätehuoltoon, kriittisten tuotteiden valmistukseen, posti- ja kuriiripalveluihin sekä julkishallintoon sekä keskus- että aluetasolla tai avaruudessa. Näiden kriittisten alojen keskisuurten ja suurten toimijoiden on pääsääntöisesti toteutettava asianmukaisia kyberturvallisuusriskien hallintatoimenpiteitä ja ilmoitettava merkittävistä poikkeamista asiaankuuluville kansallisille viranomaisille. Nämä ovat tapahtumia, jotka voivat aiheuttaa merkittäviä häiriöitä tai vahinkoja. 

Direktiivi sisältää myös valvontaa, täytäntöönpanoa ja vapaaehtoisia vertaisarviointeja koskevia säännöksiä, joilla parannetaan keskinäistä luottamusta ja kyberturvallisuusvalmiuksia kaikkialla EU:ssa. Sillä otetaan myös käyttöön ylimmän johdon vastuuvelvollisuus kyberturvallisuusriskien hallintatoimenpiteiden noudattamatta jättämisestä ja tuodaan siten kyberturvallisuus johtokunnan tietoon.

Direktiivillä perustetaan tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (Computer Security Incident Response Teams, CSIRT) verkosto vaihtamaan tietoja kyberuhkista ja reagoimaan poikkeamiin. Nämä ryhmät ovat ratkaisevan tärkeitä tilannetietoisuuden ylläpitämiseksi ja avun tarjoamiseksi. Laajamittaisten kyberturvallisuuspoikkeamien tai -kriisien hallitsemiseksi direktiivillä perustetaan ⁇ Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe) ⁇ . Verkosto tukee koordinoitua hallinnointia ja varmistaa säännöllisen tietojenvaihdon jäsenvaltioiden ja EU:n toimielinten välillä laajamittaisten poikkeamien ja kriisien yhteydessä. 

Verkko- ja tietoturva-alan yhteistyöryhmä on verkko- ja tietoturvadirektiivillä perustettu foorumi, jonka tarkoituksena on helpottaa strategista yhteistyötä ja tietojenvaihtoa EU:n jäsenvaltioiden, Euroopan komission ja EU:n kyberturvallisuusviraston (ENISA) välillä. Ryhmä julkaisee ei-sitovia ohjeita ja suosituksia verkko- ja tietoturvadirektiivin täytäntöönpanon tueksi.

Taustaa

NIS 1 (direktiivi 2016/1148) oli ensimmäinen kattava EU:n lainsäädäntö, jolla pyrittiin parantamaan verkko- ja tietojärjestelmien kyberturvallisuutta EU:n taloudelle ja yhteiskunnalle elintärkeiden palvelujen turvaamiseksi. Komissio ehdotti joulukuussa 2020 NIS 1 -direktiivin tarkistamista, minkä seurauksena hyväksyttiin uusi verkko- ja tietoturvadirektiivi NIS 2, joka tuli voimaan tammikuussa 2023. Jäsenvaltioiden oli saatettava verkko- ja tietoturvadirektiivi osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä. NIS 2 kumosi NIS 1:n 18 päivästä lokakuuta 2024.