Euroopan unionin kyberturvallisuusdirektiivin eli NIS2-direktiivin kansallinen soveltaminen astui voimaan huhtikuussa 2025. Varmistetaan, että toimintanne on uuden lain mukaista. Me autamme, opastamme, määrittelemme ja tuemme.
NIS2-direktiivi pähkinänkuoressa
NIS2-direktiivin tavoitteena on vahvistaa ja yhdenmukaistaa EU:n kyberturvallisuuden tasoa ja lisätä valmiutta sekä nykyisiin että tuleviin kyberuhkiin. NIS2-direktiivi ja kyberturvallisuuslaki (ent. laki kyberturvallisuuden riskienhallinnasta) pyrkii parantamaan EU:n yleistä kyberturvallisuutta, varmistamaan, että eri toimijat noudattavat tietoturvavaatimuksia ja suojelemaan digitaalista infrastruktuuria. Se toimii osana laajempaa pyrkimystä vahvistaa EU:n kyberturvallisuutta.
Keitä NIS2-direktiivi koskettaa ja miten se vaikuttaa yritysten toimintaan?
Viranomaisten, kuntien, hyvinvointialueiden ja yhteiskunnallisesti tärkeitä tehtäviä suorittavien yritysten on noudatettava NIS2:ta (mm. tiedonhallintalain kautta). Kyberturvallisuuslaki antaa yritysten ja organisaatioiden päättäjille oikeutuksen ja velvoitteen kehittää ja parantaa tietoturvaa kokonaisvaltaisesti. Laki asettaa organisaation hallinnon vastuuseen kyberturvallisuusriskien hallintatoimenpiteistä, kyberturvallisuuden toteutuksesta sekä raportointivelvoitteista.
Erittäin kriittiseksi määritellyt toimialat
Energia, liikenne, pankkitoiminta, finanssimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, tieto- ja viestintätekniikan palvelujen hallinta, julkishallinto ja avaruus
Kriittisiksi määritellyt toimialat
Posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, tuotanto ja jakelu, elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus, digitaalisen palvelun tarjoajat ja tutkimustoiminta
Kuinka varmistua, että organisaatio noudattaa kyberturvallisuuslain vaatimustenmukaisuutta?
Työt tekevät konsultit, joilla on yli 20 vuotta kokemusta erilaisten tietoturvaan liittyvien kokonaisuuksien toteuttamisesta. Olemme luoneet seuraavat konsultointikokonaisuudet aiheeseen liittyen:
GAP-analyysi NIS2-direktiivin pohjalta
Idea: Asiantuntijatyön tarkoituksena on havainnoida keskeiset puutteet ja kehityskohteet lain osalta.
Kesto: Määrämuotoinen asiantuntijatyö, jonka arvioitu kesto on 3-4 työpäivää.
Ketä osallistetaan: Sisältö ja laajuus sovitaan tarkemmin asiakaskohtaisesti. Työtä tekevät kokeneet hallinnollisen tietoturvan asiantuntijat.
Kehityshanke NIS2 direktiivin pohjalta
Idea: Asiantuntijatyön tarkoituksena on havainnoida keskeiset puutteet ja kehityskohteet lain osalta. Tämän jälkeen tehdään tarvittavat määrittelytyöt ja tarvittava dokumentaatio.
Ketä osallistetaan: Atea toteuttaa tarpeelliset tekniset hankkeet, koulutukset, jalkautuksen ja myyn määritellyt työn, jotta asiakasorganisaatio täyttää lain edellyttämät toimintamallit ja hallintatoimenpiteet.
Kesto: Asiakaskohtaisesti toteutettava asiantuntijatyö, jonka sisältö ja laajuus sovitaan tarkemmin tapauskohtaisesti. Työtä tekevät kokeneet hallinnollisen tietoturvan ja teknisen tietoturvan asiantuntijat.
Me autamme sinut kohti NIS2 -direktiivin vaatimuksia
Huomioi ainakin nämä asiat liiketoiminnan turvaamiseksi tietoturvan kannalta
Tietoturva on monitahoinen kokonaisuus ja 100% tietoturvaa ei käytännössä ole. Tietoturvan rakentaminen kannattaa aloittaa varmistamalla perusasiat kuten varmuuskopiot, 2-vaiheinen tunnistautuminen ja henkilöstön koulutus. Monia näistä osa-alueista onkin jo käytössä organisaatioissa. Kokonaiskuvan saaminen tietoturvallisuuden hallintajärjestelmän avulla ja puuttuvien komponenttien tunnistaminen auttaa eteenpäin NIS2 matkalla.
Tampereen Tilapalvelut sai tietoturvallisuuden sertifikaatin
Tampereen Tilapalvelut rakensi tietoturvallisuuden hallintajärjestelmänsä niin kattavaksi, että saisi sille vaativan ja arvostetun kansainvälisen sertifikaatin. ”Kyllä tuli hyvä fiilis, kun saavutimme työllämme jotain näin konkreettista”, sanoo ICT-päällikkö Antti Räsänen. Taustalla vaikutti EU:n NIS2-direktiivi. Lue lisää asiakastarinasta.
Kuusi faktaa NIS2-direktiivista ja kyberturvallisuuslaista
- Korvaa aiemman NIS-direktiivin
Syksyllä 2024 voimaantullut NIS2 korvasi alkuperäisen NIS-direktiivin ja laajensi sen soveltamisalaa. Se tarkoittaa, että uusia toimialoja ja toimijoita koskevat vaatimukset otettiin käyttöön. - Laajempi soveltamisala
NIS2-direktiivi koskettaa laajempaa joukkoa organisaatioita ja toimialoja kuin edellinen direktiivi. Se koskettaa toimijoita, jotka tarjoavat tiettyjä palveluita ja toimivat yhteiskunnallisesti erittäin kriittisillä tai kriittisillä toimialoilla. - Vähimmäistoimenpiteet
NIS2 asettaa vähimmäisvaatimukset, joita organisaatioiden on noudatettava kyberturvallisuuden varmistamiseksi. Nämä voivat liittyä tietoturvakäytäntöihin, riskienhallintaan ja varautumiseen.
- Uusi ulottuvuus: järjestelmien fyysinen turvallisuus
Uutena osana NIS2:ta on vaatimus ottaa huomioon fyysisen turvallisuuden. Tämä tarkoittaa, että organisaatioiden on huomioitava ja suojattava järjestelmien fyysisiä resursseja ja infrastruktuuria. - Poikkeamien raportointi
Direktiivi asettaa tiukat vaatimukset poikkeamien raportoinnille. Organisaatioiden on ilmoitettava toiminnan häiriöistä ja läheltä piti -tilanteista viranomaisille ja muille sidosryhmille. - Valvonta ja seuraamukset
NIS2-direktiivin myötä keskeisiä toimijoita valvotaan ennaltaehkäisevästi, ja tärkeitä toimijoita valvotaan jälkikäteen. Hallinnolliset seuraamukset voivat olla merkittäviä niille organisaatioille, jotka eivät noudata direktiivin vaatimuksia. - Kansallinen täytäntöönpano
EU:n jäsenvaltioiden on sisällytettävä NIS2-direktiivin vaatimukset kansalliseen lainsäädäntöönsä. Uusi kyberturvallisuuslaki tuli voimaan 8.4.2025.
Miksi valita Atea kumppaniksi kohti NIS2-direktiiviä?
Atealla on laaja-alainen vuosien kokemus teknisestä ja hallinnollisesta tietoturvasta aina ISO-27001 vaatimuksenmukaisuudesta vaikkapa teollisuusympäristöjen tekniseen OT-tietoturvaan. Meillä on tehokas työpajoihin perustuva toteutusmalli, sertifioidut osaajat ja valmiit arkkitehtuurimallit. Me seuraamme aktiivisesti tulevaa lakia ja olemme auttamassa asiakaitamme monipuolisesti eri konsultointituotteitten kautta.
Ota yhteyttä, niin kerromme lisää!
Akimatti Katainen
Interim Head of Security, Atea
Akimatti työskentelee Atealla tietoturvaliiketoiminnan parissa turvallisen arjen varmistamiseksi. Vallitsevassa maailmantilanteessa tietoturvallisuuden tason nostaminen on kriittistä. Atealta löydät kattavan osaamisen kyberturvallisuuden kehittämiseen, aina nykyisestä tilannekuvasta jatkuviin palveluihin. Ota yhteyttä, niin keskustellaan tarkemmin lisää!
Ville Kangasniemi
Head of Consultant Services
Ville vastaa Atean konsultointipalveluyksikön toiminnasta ja nauttii työstään erityisesti silloin, kun hän onnistuu auttamaan muita kehittymään työssään tai viemään läpi merkittävän muutoshankkeen.
Heikki Jauhiainen
Solution Manager, Hybrid Cloud
Heikki työskentelee Atealla ratkaisupäällikkönä pilvi- ja infra-tietoturvan parissa. Asiakkaan tietoturvatarpeiden tunnistaminen ja asiassa auttaminen tuovat onnistumisen tunteen ja hyvän mielen työarkeen.
