NIS2: kaikki mitä sinun tulee tietää kyberturvallisuuslaista ja ohjelmistohankinnoista
NIS2 on merkittävin Euroopan kyberturvallisuuslaki vuosien varrella. Kritiittisillä aloilla toimiville organisaatioille tapahtuu paljon muutoksia, myös ohjelmistohankintojen ja toimittajahallinnan osalta. Tässä kaikki oleellinen.
- 15. tammikuuta 2025
- 5 min
- NIS2 – Kyberturvallisuusdirektiivi
NIS2-direktiivi on suurin Euroopan kyberturvallisuuslainsäädäntöön liittyvä uudistus vuosikausiin. Se on laaja-alainen, tiukasti valvottu ja suoraan merkityksellinen kaikille, jotka vastaavat ohjelmistohankinnoista organisaatiossa. Tässä tärkeimmät asiat.
Mitä NIS2 on?
NIS2 tarkoittaa Network and Information Security Directive 2, joka on alkuperäisen vuoden 2016 NIS-direktiivin seuraaja. Direktiivi velvoittaa kritiittisillä aloilla toimivia organisaatioita vahvistamaan digitaalista resilienssiään rakenteellisesti. NIS2 tulee voimaan Euroopassa 17. lokakuuta 2024. Hollannin implementaatio Cyberbeveiligingswetin kautta odotetaan toiselle vuosineljännekselle 2026.
Kohdistuuko NIS2 minuun?
NIS2 koskee organisaatioita 18 kriittisellä toimialalla, jotka on jaettu olennaisiin ja merkittäviin toimijoihin. Näihin lukeutuvat esimerkiksi energia, liikenne, terveydenhuolto, vesi, digitaalinen infrastruktuuri, finanssipalvelut, julkinen sektori ja muut. Myös näiden alojen organisaatioiden toimittajat voivat joutua lain piiriin ketjuvastuullisuuden kautta.
Mitä NIS2 muuttaa verrattuna NIS1:een?
Tärkeimmät muutokset:
Laajempi soveltamisala: Nykyään direktiivin piiriin kuuluu huomattavasti enemmän toimialoja ja organisaatioita
Henkilökohtainen vastuu: Johtajat ovat vastuussa noudattamisesta ja voivat joutua henkilökohtaiseen vastuuseen
Korkeammat sakot: Enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta olennaisille toimijoille
Ketjuvastuullisuus: Organisaatioiden on myös valvottava toimittajiensa turvallisuutta
Ilmoitusvelvollisuus: Tapahtumista on ilmoitettava CSIRT:lle 24 tunnin sisällä
Mitä NIS2 tarkoittaa ohjelmistohankinnoille?
Ketjuvastuullisuus on suorin vaikutus ohjelmistohankintoihin. Organisaatioiden on velvollisuus:
Pitää yllä ajantasaista tietoa kaikista ICT-toimittajista ja ohjelmistoista
Tehdä sopimuksiin perustuvia turvallisuussopimuksia kaikkien olennaisten toimittajien kanssa
Arvioida toimittajien turvallisuutta säännöllisesti
Sopimuksia kriittisten ohjelmistotoimittajien kanssa häiriötilanteiden eskalointimenettelyistä
Ilman jäsenneltyä ohjelmistoyhteenvetoa NIS2-vaatimusten täyttäminen ei ole mahdollista. SoftVaro auttaa organisaatioita luomaan tämän kokonaiskuvan vaatimustenmukaisuuden lähtökohdaksi.
Usein kysytyt kysymykset
Useimmin tähän aiheeseen liittyvät kysymykset.
Miten NIS2 liittyy ohjelmistohankintoihin?
NIS2 velvoittaa organisaatiot pitämään ajantasaista tietoa kaikista ohjelmistoista ja ICT-toimittajista, mukaan lukien sopimukselliset turvallisuussopimukset. Ilman tätä kokonaiskuvaa ei ole vaatimustenmukaisuuden mukaista.
Milloin NIS2 astuu voimaan Alankomaissa?
Cyberbeveiligingswet (NIS2:n hollantilainen implementaatio) odotetaan tulevan voimaan vuoden 2026 toisella neljänneksellä. Organisaatioiden on oltava vaatimustenmukaisia heti lakien voimaan tullessa.
Mitkä ovat sakot NIS2:n rikkomisesta?
Olennaiset toimijat voivat saada sakkoja jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta. Merkittävät toimijat jopa 7 miljoonaa euroa tai 1,4 % vuotuisesta liikevaihdosta. Johtajat voivat joutua henkilökohtaiseen vastuuseen.
Valmiina säästämään ohjelmistoissa?
SoftVaro neuvottelee puolestasi parhaat tarjoukset yli 4 000 toimittajalta. Riippumattomasti, läpinäkyvästi, 24 tunnin sisällä.