EU:n NIS2-direktiivi (Network and Information Security Directive) edistää kyberturvallisuutta EU-alueella, mikä tarkoittaa ryhtiliikettä monella toimialalla. Direktiivillä tavoitellaan yhtenäisiä käytäntöjä tietoturvallisuuden parantamiseksi yhteiskunnallisesti kriittisten palveluiden tuottamisessa.
Direktiiviin liittyvä lainsäädäntötyö on meneillään, ja soveltuvan lainsäädännön on määrä astua voimaan 18. lokakuuta 2024.
NIS2-direktiivi – ketä se koskee?
NIS2 kiristää kyberturvallisuuden hallintaa laaja-alaisesti. Keskeistä sen kannalta, ketä direktiivin määräykset koskettavat, on paitsi toimijan liiketoiminnan suuruus myös toimialan kriittisyys. Muun muassa energia-ala on NIS2:ssa luokiteltu kriittiseksi, jolloin vaatimusten piiriin lukeutuu myös kaukolämmön tuotanto. Tällöin se koskettaa puuteollisuudessa suoraan niitä, jotka tuottavat kaukolämpöä. Lisäksi se koskettaa epäsuorasti niitä, jotka toimittavat raaka-ainetta energialaitoksille. Puuteollisuuden tehtaista valtaosa joutuu siis viimeistään nyt ottamaan direktiivin vaatimukset toiminnassaan huomioon.
Johdon henkilökohtainen vastuu riittävien kyberturvallisuuteen liittyvien rakenteiden ylläpitämisessä on keskeinen.
Lisäksi NIS2-direktiivissä on tarkasteltu toimijoiden suuruusluokkaa ja määritelty seuraavat kategoriat: keskeiset eli suuret, tärkeät eli keskisuuret sekä soveltamispiirin ulkopuoliset eli pienet ja mikrotoimijat. Kaukolämmön tuottajille tärkeän toimijan rajapyykki ylittyy jo melko nopeasti – muutokset koskettavat siis suurta määrää puuteollisuudenkin toimijoita sekä näiden alihankkija- ja toimittajaverkostoa.
Mitä keskeisiä muutoksia NIS2-vaatimukset tuovat tullessaan?
Direktiivin käytännöt liittyvät olennaisesti esimerkiksi kyberriskien hallintaan, poikkeavista tapahtumista raportoimiseen, toiminnan jatkuvuuden turvaamiseen sekä ennakkovalvontaan. Johdon henkilökohtainen vastuu riittävien kyberturvallisuuteen liittyvien rakenteiden ylläpitämisessä on keskeinen. Aiemmasta poiketen organisaation johto on jatkossa henkilökohtaisessa vastuussa direktiivin vaatimusten täyttymisestä, ja rahalliset sanktiot vastuun laiminlyömisestä voivat olla huomattavat.
Suomessa vastaavana viranomaisena toimii Traficom ja sen alaisuudessa toimiva Kyberturvallisuuskeskus, joka antaa sivuillaan ajantasaista NIS2-direktiiviin liittyvää tietoa. Kyberturvamaturiteetin arvioimisessa ja kasvattamisessa voi hyödyntää Kyberturvallisuuskeskuksen kehittämää avointa Kybermittari-työkalua, jossa on jaoteltu kyberhygieniaan tarvittavat käytännöt kahdeksaan osa-alueeseen.
Lisäksi ulkoinen kumppani voi suorittaa puolueettoman auditoinnin organisaation käytännöistä ja mahdollisen nykyisen IT-kumppanin valmiuksista vastata direktiivin vaatimuksiin. Pinjalla on takanaan vahva ICT-asiantuntijuus ja myös ISO 27001 -sertifikaatti osoituksena tietoturvaosaamisesta.
Haluatko kuulla lisää asiantuntijoiltamme? Ota meihin yhteyttä.
Lue lisää
Tietoturva metsäteollisuudessa edellyttää pelisääntöjä, yhteistyötä ja vastuullisuutta
EUDR-metsäkatoasetus asettaa haasteita metsäteollisuudelle
FSC-sertifikaatti puuteollisuudessa – kuinka varmistaa toimitusketjun jäljitettävyys?
Timber by Pinja – sahan ja puunjalostuksen koko toiminnanohjauksesta vaivatonta
