Euroopan unionin lokakuussa käyttöön tuleva uusi NIS2-kyberturvallisuusdirektiivi (Network and Information Systems 2) on lajissaan yksi merkittävimmistä muutoksista alalla. Se vaatii entistä tiukempia suojatoimia sekä tiuhempaa raportointia erilaisilta organisaatioilta kyberhyökkäyksille altistuessaan.
Aiempaan NIS1-direktiiviin verrattuna NIS2 koskee huomattavasti useampia yrityksiä, järjestöjä ja muita tahoja. Siinä missä NIS1 vaikutti vain noin kolmeen tuhanteen organisaatioon, nyt vaikutusalue on noin kymmenkertainen eli 30 000 yritystä, yhdistystä ja muuta vastaavaa organisaatiota.
Aiempaa tiukempi direktiivi tarkoittaa myös entistä kovempia seurauksia, mikäli vaatimuksista lipsutaan. Seurauksia ovat muun muassa aiempaa tuntuvammat uhkasakot sekä johtotason henkilökohtaiset vastuuseuraamukset, mikäli näitä direktiivistandardeja ei yritys- ja organisaatiotasolla täytetä.
Uusi direktiivi herättää kuitenkin myös paljon kysymyksiä. Synnyttääkö NIS2 uusia innovaatioita kyberturvallisuuden parissa ja onko alalle luvassa kasvua? Vai rajoittavatko uudet määräykset ja standardit toimia ja turvamalleja tavalla, joka hidastaa kehitystä?
Tarvetta uudelle direktiiville kuitenkin on, sillä esimerkiksi tietoturvayhtiö Palo Alto Networksin taannoin teettämän kyselyn mukaan vain 28 prosenttia tietoturvajohtajista testaa säännöllisesti tietoturvauhkien vastatoimia. Kun tämä yhdistetään mullistavaan tekoälyn aikakauteen, jossa haitalliset ohjelmat keräävät tietoa enemmän kuin koskaan aiemmin, ovat uhkakuvat kyberturvallisuuden tilasta synkkiä. Yhteiseurooppalaisena pyrkimyksenä onkin rakentaa yhteinen tietoturvarintama entistä vahvemmaksi.
Samalla direktiiviä on arvosteltu turhankin valvovaksi ja toisaalta myös varovaiseksi uusiutuvien uhkakuvien rinnalla. Tämä osaltaan saattaa johtaa siihen, että yritykset valitsevat turvaratkaisuja, jotka täyttävät direktiivin vaatimukset, mutta eivät muutoin edistä parempaa tietoturvaa.
Eli ratkaisemalla joitain ongelmia on riskinä luoda joukko uusia. Onneksi direktiivissä on otettu huomioon teknologiset kehitysaskeleet sekä uudenlaisten uhkien ilmenemisen mahdollisuus, joten kokonaisuutena kyberturvallisuustilanne vaikuttaa aiempaa valoisammalta.
Samalla NIS2 saattaa synnyttää uutta innovointia ja kehitystyötä kyberturvallisuuden saralla. Ensinnäkin uudet vaatimukset tulevat vaikuttamaan entistä laajemmin eri organisaatioihin ja näin luovat lisää työtä koko alalle. Toisaalta tämä lisää kilpailua turvallisuusyritysten sisällä, joka väistämättä johtaa innovointiin ja uusiin ratkaisumalleihin.
Samalla organisaatioiden on koulutettava tietoturvatahonsa standardeja vastaavalle tasolle, jotta uhkatilanteisiin voidaan reagoida oikealla tavalla ja riittävän nopeasti. Tässä voidaan hyödyntää myös tekoälyn mahdolliset edut nopeuden ja tarkkuuden suhteen osana entistä tiukempaa tietoturvamallia.
Lopulta NIS2 väistämättä korostaa organisaatioiden välistä kommunikaatiota ja yhteistyötä paremman, yhteisen tietoturvan saralla. Myös nämä yhteistyömallit mahdollistavat uutta innovointia ja tuotekehitystä paremman turvallisuuden nimissä.
Lisää: Traficomin NIS2-tietopaketti (LINKKI).
Kuva: Shutterstock