CER- ja NIS2-Direktiivit

Yhteystiedot

CER-direktiivi parantaa häiriönsietokykyä yhteiskunnan kriittisissä palveluissa

Uuden CER-direktiivin (Critical Entities Resilience Directive) tavoitteena on yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn parantaminen eli niiden mahdollisimman häiriöttömän toiminnan sekä jatkuvuuden varmistaminen. 

CER-direktiivi astui voimaan 14. joulukuuta 2022, ja siirtymäaika kansalliseen lainsäädäntöön tapahtuu lokakuuhun 2024 mennessä. Se korvaa aiemman ECI-direktiivin.

CER-direktiivin sovelluskohteisiin kuuluvat lukuisat sektorit ja toimialat: energia-ala, liikenne, finanssiala, vesihuolto, terveydenhuolto, digitaalinen infrastruktuuri, tietoverkkopalvelut, julkishallinto, avaruusalan toimijat, posti- ja kuriiripalvelut, elintarvikkeiden valmistus, tuotanto ja jakelu, valmistava teollisuus, kemianteollisuus, jätehuolto, digitaalisten palveluiden tarjoajat sekä tutkimustoiminta. Jokainen valtio voi halutessaan ottaa mukaan näiden lisäksi muitakin toimialoja.

Häiriönsietokykyä parannetaan jatkuvuussuunnittelulla

Parhaiten tämän "resilienssidirektiivin" vaatimuksiin vastataan – toimialasta riippumatta – liiketoiminnan perusteellisella jatkuvuussuunnittelulla ja jatkuvuudenhallinnalla.

Jokainen elintärkeitä palveluita tarjoava yritys tarvitsee ajan tasalla olevan ja parhaisiin käytäntöihin pohjautuvan liiketoiminnan jatkuvuussuunnitelman, joka sisältää varautumissuunnitelman ja valmiussuunnitelman.

Direktiivi tuo pakollisia velvoitteita

CER-direktiivi on merkittävä muutos myös siksi, että sen myötä toimijoille tulee pakollisia velvoitteita. Nykyinen laki huoltovarmuuden turvaamisesta (1390/1992) säätää, että huoltovarmuuden kannalta kriittisille sektoreille tai toimialoille kuuluvien toimijoiden osallistuminen resilienssin parantamiseen on vapaaehtoista.

Direktiivi painottaa jatkuvuussuunnittelua ja kriisinsietokykyä

Direktiivin soveltamisen perusteina ovat direktiivin kriteeristö sekä kansallinen riskiarvio. Soveltamiseen tulee toimialoittain rajauksia esimerkiksi yrityksen koon tai organisaation roolin mukaan.

Avainasemassa ovat organisaatioiden omien riskiarvioiden ja kriisinkestävyyssuunnitelmien eli toiminnan jatkuvuussuunnitelmien laatiminen.Organisaatioiden kriisinsietokykyyn tulee konkreettisia vaatimuksia, kuten häiriöiden ehkäisy, infrastruktuurin fyysinen suojaaminen, riskin- ja kriisinhallintajärjestelyt sekä jatkuvuudenhallinta ja henkilöstön turvallisuusselvitykset. Lisäksi viranomaisille tulee direktiivin perusteella uusia velvoitteita.

Yritysten kannattaa ottaa huomioon myös valmiuslain soveltamisalan tuleva laajeneminen sekä julkishallinnon jatkossa yksityisen sektorin kumppaneiltaan edellyttämä varautuminen. Tätä koskeva lainsäädäntö tulee voimaan aikaisintaan vuonna 2026.

NIS2-direktiivi parantaa kyberturvallisuuden perustasoa EU:ssa

Uuden NIS2-direktiivin tavoitteena on parantaa koko Euroopan unionin kyberturvallisuuden perustasoa, ja siinä asetetaan direktiivin alaisille toimialoille minimitaso kyberturvallisuusriskien hallintaan. NIS2-direktiivi astui voimaan 14. joulukuuta 2022, ja siirtymäaika kansalliseen lainsäädäntöön tapahtuu lokakuuhun 2024 mennessä. NIS2 korvaa aiemman NIS-direktiivin.

Direktiivin sovelluskohteisiin kuuluvat lukuisat sektorit ja toimialat: energia-ala, liikenne, finanssiala, vesihuolto, terveydenhuolto, digitaalinen infrastruktuuri, tietoverkkopalvelut, julkishallinto, avaruusalan toimijat, posti- ja kuriiripalvelut, elintarvikkeiden valmistus, tuotanto ja jakelu, valmistava teollisuus, kemianteollisuus, jätehuolto, digitaalisten palveluiden tarjoajat sekä tutkimustoiminta.

Direktiivi koskee yrityksiä, joissa on enemmän kuin 250 työntekijää, tai joiden liikevaihto ylittää 10 miljoonaa euroa. NIS2-direktiivi koskee lisäksi kaikkia CER-direktiivin perusteella kriittisiksi luokiteltuja toimijoita.

Direktiivi lisää raportointivelvollisuutta ja antaa vähimmäisvaatimukset

Keskeiset uudistukset aiempaan NIS-direktiivin verrattuna ovat toimialojen lukumäärän kasvu sekä artikla 21, joka velvoittaa toimijat raportoimaan tietoturvan riskienhallinnastaan.

Artikla 21 sisältää luettelon toimenpiteistä, jotka yrityksessä on otettava käyttöön. Luettelo kuvaa vähimmäisstandardit muun muassa riskianalyysille, turvallisuuskonsepteille, tietoturvaloukkausten ehkäisemiselle, kyberturvallisuuskoulutukselle sekä kriisinhallinnalle.

Vaatimukset liittyvät tietoturvanhallintaan ja sen hallintajärjestelmään, "tietoturvahygieniaan" sekä raportointiin. Vaatimukset eivät niinkään kosketa tietoturvan

Direktiivi painottaa jatkuvuussuunnittelua ja kriisinsietokykyä

teknistä toteutusta, vaikka yksittäisenä asiana edellytetään monivaiheisen tunnistautumisen käyttöä aina kun se on mahdollista.

Direktiivi tähtää kyberturvallisuuden riman nostoon

Keskeisiä vähimmäisvaatimuksia ovat: 

  • raportointivelvollisuus tietoturvapoikkeamista (mukaan lukien määritellyt aikarajat)
  • riskiarvioiden tuottaminen
  • tietojärjestelmiä koskevat turvallisuuspolitiikat
  • poikkeamahallintamenetelmät
  • toiminnan jatkuvuusvalmistelut
  • määrittely johdon vastuista
  • tietoturvatietoisuuden lisääminen koulutuksella

Direktiivin noudattaminen on sanktioitu, ja rangaistus on enimmillään 10 miljoonaa euroa tai 2 prosenttia yrityksen kansainvälisestä liikevaihdosta. Direktiiviin liittyvä uusi laki on lausuntokierroksella, ja tullessaan voimaan laki asettaa minimitason, joka kaikkien toimialojen on toteutettava NIS2-direktiivin osalta. Laki määrittelee mitä on tehtävä, ei miten. Toimialakohtaisesti voidaan säätää lisäksi tiukempia ja yksityiskohtaisempia määräyksiä. 

ISO/IEC 27001 -standardi vastaa hyvin NIS2-direktiiviin vaatimuksiin, mutta esimerkiksi jatkuvuudenhallinta voi vaatia ISO/IEC 27001 -standardia laajempia toimia.

Hyvin toteutetut liiketoiminnan jatkuvuudenhallinta- ja tietoturvanhallintajärjestelmä luovat pohjan CER- ja NIS2-direktiivien vaatimusten täyttämiseen. Tarvittaessa selvitämme organisaationne tilanteen ja kehityskohteet liiketoiminnan jatkuvuudenhallinnan, valmiussuunnittelun ja CER-direktiivin vaatimusten osalta.

Lisätietoa CER-direktiivistä:

EUR Lex - Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI kriittisten toimijoiden häiriönsietokyvystä

CER Direktiivi: DIRECTIVE (EU) 2022/2557 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022

Huoltovarmuuskeskus - CER-direktiivin valmistelu

Valtioneuvosto - lainsäädäntöhanke, säädösvalmistelu
Lisätietoa NIS2-direktiivistä:

Euroopan komissio - Direktiivi toimenpiteistä yhteisen korkeatasoisen kyberturvallisuuden varmistamiseksi koko unionissa

Valtioneuvosto - NIS2-direktiiviin kansallista toimeenpanoa tukeva työryhmä

EUR Lex - NIS2 Direktiivi suomeksi
REFERENSSEJÄ

Mitä asiakkaamme sanovat

"Monipuolinen ja vaativakin harjoitus koeponnisti suunnitelmiamme ja osoitti, kuinka tärkeää suunnitelmia on testata käytännön harjoittelulla. Harjoituksen tuloksena syntyi paljon uusia ajatuksia, joiden pohjalta kehitämme toimintaamme."
TOIMITUSJOHTAJA
Sähköverkkoyritys
"Jatkuvuuskonsultointi Oy järjesti meille harjoituksen, jossa testattiin konsernijohdon ja sairaanhoitoalueen yhteistoimintaa, kriisiviestinnän järjestelyjä sekä valmiuskäytäntöjemme toimivuutta. Saimme päivän aikana paljon kehitysideoita eri organisaatiotasojen suunnitelmien kehittämiseen."
JOHTAJAYLILÄÄKÄRI
Sairaanhoitopiiri
"Harjoitukseen Jatkuvuuskonsultointi loi tilanteen mukaisen harjoituskehyksen, joka testasi erinomaisesti organisaatiomme kykyä toimia kriisissä ja oli innostava kaikille osallistujille."
TOIMITUSJOHTAJA
Vesihuoltolaitos

Tuotteet ja palvelut

Jatkuvuussuunnitelma

CER- ja NIS-direktiivit

Kriisinjohtamisharjoitukset

Tilannekuva

Palvelutoimittajien jatkuvuudenhallinta

Tietohallinto ja kyberturvallisuus

Yritysturvallisuuden arviointi ja todentaminen

Jatkuvuudenhallinta palveluna

Riskiarviot

Ota yhteyttä

Tervetuloa keskustelemaan yrityksenne jatkuvuudenhallinnasta ja sen kehitysmahdollisuuksista.
050 551 2093Yhteystiedot
+358 50 511 2093
info@jatkuvuus.fi
© 2024 Jatkuvuuskonsultointi Oy
Tämä sivusto käyttää evästeitä
Asetukset
HylkääHyväksy
evästeet