Yritysten kyberturvallisuusvelvoitteet laajenevat vuonna 2024
Kyberturvallisuusdirektiivi NIS2:n tavoitteena on parantaa julkisen ja yksityisen sektorin sekä koko EU:n kyberturvallisuuden tasoa. Uudella sääntelyllä pyritään suojaamaan kansalaisia, yrityksiä ja kriittistä infrastruktuuria kyberhyökkäyksiltä ja muulta haitalliselta toiminnalta. Direktiivi pyrkii näihin tavoitteisiin asettamalla yrityksille ja julkisyhteisöille riskienhallintatoimenpiteitä ja raportointia koskevia velvoitteita.
Tietyillä toimialoilla, kuten energia, liikenne, pankkitoiminta ja digitaalinen infrastruktuuri, toimiville yrityksille on jo nyt merkittäviä tietoturvavelvoitteita verkko- ja tietoturvadirektiivin (NIS1-direktiivi) perusteella. NIS2-direktiivi laajentaa merkittävästi kyberturvallisuutta koskevien vaatimusten soveltamisalaa. Sääntelyn piiriin tulee suuri joukko uusia yrityksiä NIS1-direktiivin määrittelemiltä toimialoilta ja sääntelyn piiriin tulee uusia toimialoja. Uusi direktiivi merkitsee lisäksi kaikille yrityksille uusia velvoitteita.
Mitä yrityksiä uusi sääntely koskee?
NIS2-direktiivin soveltamisala on monimutkainen ja osin tulkinnanvarainen. Direktiivi jättää soveltamisalan osalta myös paljon kansallista harkintavaltaa. Tämän vuoksi vielä on osittain epävarmaa, kuinka laajalle joukolle eri aloilla toimivia yrityksiä velvoitteet lopulta tullaan ulottamaan kansallisessa lainsäädännössä.
Pääsääntöisesti direktiivi koskee tiettyjen toimialojen julkisia tai yksityisiä toimijoita (keskeiset ja tärkeät toimijat), jotka työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan euron vuosiliikevaihto. Henkilöstön määrää koskeva kriteeri kattaa kokopäiväiset, osa-aikaiset, määräaikaiset ja kausityöntekijät. Henkilöstön määrään katsotaan kuuluvan myös yrityksen johtamiseen osallistuvat omistajat sekä yrityksessä säännöllisesti työskentelevät yhtiökumppanit, jotka saavat yritykseltä rahamääräisiä etuja.
Direktiivi velvoittaa myös tietyillä kriittisillä toimialoilla toimivia yrityksiä niiden koosta riippumatta. Tällaisina kriittisinä aloina on jo ennestään pidetty muun muassa energia-alaa, pankkialaa sekä digitaalista infrastruktuuria. Uusia sääntelyn piiriin kuuluvia toimialoja ovat muun muassa posti- ja kuriiripalvelut, jätehuolto ja -vesi sekä elintarvikkeiden tuotanto, jalostus ja jakelu. Olemme koonneet tarkemman listauksen niistä toimialoista ja toimijoista, jotka tulevat uusina sääntelyn piirin NIS2:n myötä suoraa direktiivin perusteella. Mahdollisista kansallisista laajennuksista soveltamisalaan ei tässä vaiheessa ole tietoa.
Mitä sanktioita velvoitteiden noudattamatta jättämisestä seuraa?
Velvoitteiden rikkomisesta voi seurata hallinnollinen seuraamusmaksu, jonka suuruus keskeisten toimijoiden osalta on enimmillään vähintään 10 miljoonaa euroa tai vähintään 2 prosenttia yrityksen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan kumpi näistä määristä on suurempi. Lisäksi tärkeiden toimijoiden osalta vastaavat määrät ovat 7 miljoonaa euroa tai 1,4 prosenttia kokonaisliikevaihdosta.
Milloin direktiivin soveltaminen alkaa?
NIS2-direktiivi tulee saattaa osaksi kansallista lainsäädäntöä viimeistään 17.10.2024.
Direktiivin implementointi on Suomessa vielä kesken ja kansallisesti tullaan vielä muun muassa tarkentamaan edellytykset sille, mihin yrityksiin vaatimukset lopulta kohdistuvat.
Liikenne- ja viestintäministeriö on luvannut kertoa toimeenpanohankkeen etenemisestä lokakuun alussa järjestämässään avoimessa kuulemistilaisuudessa. Seuraamme kansallista lainsäädäntöprosessia ja tulemme kirjoittamaan aiheesta lisää, kun kansallinen soveltamisala vielä tarkentuu.
Lisää tietoa direktiivin kansallisesta täytäntöönpanosta etenemisestä valtioneuvoston hankesivuilta.
Kysy lisää
Tilaa uutiskirje
Kirjoitamme ja koulutamme säännöllisesti osaamisalueitamme koskevista ajankohtaisista aiheista. Ilmoittamalla sähköpostisi alla olevalla lomakkeella saat jatkossa Merilammen uutiskirjeitä ja tapahtumakutsuja suoraan sähköpostiisi.