Euroopassa halutaan vahvistaa kyberturvallisuuden tasoa uusilla EU-säädöksillä. Suomessa sen kansallinen toimeenpanohanke käynnistyi jo, mutta säädösten voimaantuloon voi mennä vielä kesään 2024 asti. Uuden kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta.
EU:n uuden kuberturvallisuusdirektiivin soveltamisala kattaa entistä laajemmin esimerkiksi energia- ja terveydenhuoltosektorilla toimivia tahoja sekä digitaalisen infrastruktuurin palveluntarjoajia. Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa ja jätehuoltoa.
Uusi ns. NIS2-direktiivi julkaistiin EU:n virallisessa lehdessä 27.12.2022. Sillä tullaan korvaamaan EU:n aiemman verkko- ja tietoturvadirektiivi (NIS-direktiivi).Uudella direktiivillä halutaan osoittaa yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet kyberhäiriöistä.
irektiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä. Direktiivin mukaan riskien hallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden tasoa määritettäessä täytyy huomioida muun muassa toimijoiden erilainen altistuminen riskeille sekä toimijan koko.
Toimijoiden olisi myös ilmoitettava merkittävistä poikkeamista viranomaisille sekä tilanteest riippuen palvelujensa vastaanottajille. Lisäksi direktiivi jatkaa jäsenvaltioiden olemassa olevia yhteistyömekanismeja ja tiivistää viranomaisten välistä yhteistyötä. Direktiivillä perustetaan virallisesti Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU CyCLONe), joka tukee laajamittaisten kyberturvallisuuspoikkeamien koordinoitua hallinnointia. Suomen edustajana on Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Suomessa Liikenne- ja viestintäministeriö Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä. EU-valtioilla on 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöään.
Lisää: NIS2-direktiivi 27.12.2022 EU:n virallinen lehti (LINKKI).
Kuvituskuva: Shutterstock