Mitä NIS2 tarkoittaa suomalaisille yrityksille ja meidän toiminnassamme?
NIS2-direktiivi tulee voimaan lokakuussa 2024. On tärkeää ymmärtää, mitä tämä direktiivi merkitsee ja koskeeko se omaa organisaatiotamme.
EU on ryhtynyt useisiin toimiin kyberturvallisuuden parantamiseksi, sillä kyberhyökkäysten määrä ja vakavuus ovat kasvaneet viime vuosina. NIS2 (Network and Information Security Directive 2) on EU:n direktiivi, joka päivittää vuonna 2018 voimaan astuneen NIS-direktiivin. Sen tavoitteena on parantaa kriittisen infrastruktuurin kyberturvallisuutta ja kykyä vastustaa kyberhyökkäyksiä.
Mitä toimialoja NIS2:n vaatimukset koskevat?
NIS2:n piiriin kuuluvat organisaatiot ja toimialat, jotka tuottavat yhteiskunnan toimivuuden kannalta tärkeitä palveluita ja toimintoja, ja joilla on yli 50 työntekijää ja liikevaihto yli 10 miljoonaa euroa. Pienempikin organisaatio voi kuulua NIS2:n velvoitteiden piiriin, jos sen toiminta on merkittävää ja kriittistä erityisesti yhteiskunnan poikkeustilanteissa.
NIS2-direktiivi kohdistuu erityisesti kriittiseen infrastruktuuriin, kuten energia-, liikenne-, terveys- ja digitaalipalvelusektoreille. On kuitenkin tärkeää huomata, että direktiivin soveltamisala voi olla tulkinnanvarainen ja riippua yrityksen tarjoamista palveluista.
Kaikkien organisaatioiden on hyvä ymmärtää NIS2:n merkitys
Vaikka NIS2:n velvoitteet koskevat ensisijaisesti rajattua kohderyhmää, kaikkien vastuullisten organisaatioiden kannattaa kehittää ja ylläpitää uskottavaa ja toimivaa kyberturvallisuuden hallintajärjestelmää.
Monet suomalaiset organisaatiot ovat jo ryhtyneet toimiin direktiivin vaatimusten täyttämiseksi, mikä voi tarkoittaa esimerkiksi:
- Kyberturvallisuusriskien arvioinnin ja hallinnan parantamista
- Tietoturvatoimien vahvistamista
- Häiriönhallintakyvyn kehittämistä
- Yhteistyön lisäämistä viranomaisten ja muiden yritysten kanssa
Mikäli et ole vielä tutustunut direktiiviin, kannattaa se tehdä pikaisesti ja pohtia sen merkitys omassa toiminnassa.
Miten me otamme NIS2:n huomioon toiminnassamme?
Asiakkaiden sopimukselliset velvoitteet
Asiakasorganisaatiot, jotka kuuluvat NIS2-direktiivin piiriin, ovat velvoitettuja sitomaan myös alihankintaketjunsa direktiivin kyberturvavelvoitteisiin. Henkilöstöalan yritykset eivät lähtökohtaisesti tuota asiakkaille it-palveluita tai käsittele asiakkaan liiketoiminta- tai henkilödataa. Näin henkilöstöalan yrityksiä ei lasketa NIS2-direktiivin tarkoittamaksi alihankkijaksi.
Henkilöstöalan yrityksen työntekijä NIS2-asiakkaalla
Vaikka henkilöstöalan yrityksen toiminta ei edellyttäisi NIS2:n mukaista toiminta, työntekijämme voivat työskennellä asiakasorganisaatioissa, jotka ovat NIS2-velvoitteen piirissä. Olemme kouluttaneet ja ohjeistaneet henkilöstöämme NIS2:sta ja sen merkityksestä, ja siitä miten direktiivin piiriin kuuluvassa asiakasorganisaatioissa pitää toimia. Tämän lisäksi olemme sopineet asiakkaidemme kanssa, että he kouluttavat vuokratyöntekijämme oman organisaationsa kyberturvakäytäntöihin heti vuokrajakson alussa.
Henkilöstöalan yrityksen kyberturva/NIS2-asiantuntija asiakastoimeksiannossa
Meillä on kyberturvallisuuteen erikoistuneita asiantuntijoita, joita vuokraamme asiakkaillemme erilaisiin NIS2-aiheisiin toimeksiantoihin. Olemme varmistaneet, että nämä asiantuntijat ovat perehtyneet NIS2-direktiiviin ja kykenevät tukemaan asiakkaitamme siihen liittyvissä kysymyksissä parhaalla osaamisella. Näin voimme taata, että asiantuntijamme voivat auttaa asiakkaitamme täyttämään NIS2:n vaatimukset.
Vastuu suomalaisessa yhteiskunnassa
Ymmärrämme, että kaikki organisaatiot ja yritykset ovat osa toimivaa suomalaista yhteiskuntaa ja taloudellista toimintaympäristöä, joka varmistaa kansallisen turvallisuuden, itsenäisyyden ja taloudellisen jatkuvuuden. Tästä näkökulmasta olemme kehittäneet ja toteuttaneet omia kyberturvallisuustoimiamme NIS2:n ja muiden tietoturvaan liittyvien viitekehysten mukaisesti.
Koska käsittelemme runsaasti henkilötietoja rekrytoinnin ja resursoinnin tehtävissä sekä asiakasmarkkinoinnin ja -myynnin alueilla, olemme toteuttaneet seuraavat toimenpiteet:
- Osana laatujärjestelmäämme olemme ottaneet käyttöön tietoturvanhallintajärjestelmän.
- Henkilöstöllämme on säännöllinen tietoturvakoulutusohjelma.
- Olemme kehittäneet tietosuojakäytännöt henkilötietojen käsittelyyn.
Näiden toimenpiteiden avulla varmistamme, että toimintamme on yhteensopivaa NIS2-direktiivin vaatimusten kanssa ja että asiakkaamme voivat luottaa kyberturvallisuutemme tasoon.
Tulemme varmastikin näkemään ja kuulemaan NIS2:n astuttua voimaan uutisia erilaisista kyberturvallisuuspoikkeamista, niiden vaikutuksista ja jopa sanktioista mediassa. Tämän osalta jäämme kuulolle tulevaisuuden suhteen. Myös tulkinnat NIS2:sta tullevat jatkumaan eri yhteyksissä.
Juha Hyvärinen
juha.hyvarinen@fujitsu.com
Jos tarvitset apua teknisissä rekrytoinneissa, ota yhteyttä Juhaan!