NIS2-direktiivi – mitkä ovat johdon velvoitteet ja sanktiot?   

NIS2-direktiivi ja Suomen kansallinen kyberturvallisuuslaki on astunut voimaan. Direktiivi tuo toden teolla kyberturvallisuuden yrityksien johtoryhmien ja johtajien agendalle. Laki ja direktiivi velvoittavat organisaatioita ja sen johtajia henkilökohtaisesti varmistamaan tietoturvallisuuden hallinnan ja tietoturvallisuusriskien asianmukaisen käsittelyn. Mitä tämä käytännössä tarkoittaa johdolle? 

NIS2-direktiivin 10 keskeistä vaatimusta organisaatioille

Tässä kertauksena kymmenen kohdan lista siitä, mitä NIS2-direktiivi organisaatiolta edellyttää:

1. Tietoturvallisuusriskien arviointi ja -hallinta
2. Tietoverkkoja ja tietojärjestelmiä koskevat turvallisuusperiaatteet
3. Tietoverkkojen ja tietojärjestelmien hankintaa ja ylläpitoa koskevat turvallisuustoimet
4. Toimitusketjujen turvallisuus
5. Turvallisuuden kannalta tärkeiden toimintojen ja omaisuuden tunnistaminen ja hallinta
6. Henkilöstöturvallisuus, tietoturvallisuuskoulutus ja kyberhygienia
7. Pääsynhallinnan toteuttaminen tietoturvallisesti
8. Salausmenetelmät tietoverkoissa ja tietojärjestelmissä
9. Tietoturvapoikkeamien käsittely
10. Toiminnan jatkuvuuden varmistaminen myös poikkeustilanteiden jälkeen

NIS2-rikkomusten sanktiot ja taloudelliset seuraamukset

NIS2-direktiivin vaatimuksien laiminlyönnistä voi seurata vakavia seurauksia sekä organisaatiolle että organisaation johtajille henkilökohtaisesti.

Seuraamukset voivat olla:

1. Hallinnolliset sakot. Yrityksille voidaan määrätä huomattavia sakkoja, jos ne eivät noudata direktiivin vaatimuksia. Sakkojen suuruus voi olla jopa 10 miljoonaa euroa tai 2 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta, riippuen siitä kumpi on suurempi.
2. Toiminnan keskeyttäminen. Vakavissa tapauksissa viranomaiset voivat määrätä yrityksen keskeyttämään toimintansa, kunnes se täyttää direktiivin vaatimukset.
3. Henkilökohtaiset sanktiot. Yrityksen johdolle voidaan määrätä henkilökohtaisia seuraamuksia, kuten sakkoja tai jopa toimitsijakieltoja, jos he laiminlyövät velvollisuutensa.

Johdon vastuu kyberturvallisuudesta kasvaa

Tietoturvallisuus ei enää lepää yksin IT-osaston vastuulla, vaan organisaation johdon on sitouduttava tietoturvallisuuteen sekä mahdollistettava sen toteutuminen kaikilla organisaation tasoilla. Direktiivin noudattamatta jättäminen voi aiheuttaa sekä organisaatiolle että sen johdolle vakavia seurauksia.

NIS2-direktiivi velvoittaa yrityksen johtoa henkilökohtaisesti varmistamaan yrityksen tietoturvallisuuden toteutuminen sekä varmistumaan siitä, että tietoturvallisuuteen liittyvät riskit ovat hallinnassa. Käytännössä tämä tarkoittaa muun muassa resurssien varmistamista, toiminnan ohjaamista sekä valvomista. Tietoturva ei enää voi olla erillinen saareke, vaan se nivoutuu jatkossa entistä enemmän yhteen organisaation liiketoiminnan ja strategian kanssa.

Ville Koskinen 

PS. Organisaatioiden johdolta edellytetään yleisestikin huolellisuusvelvoitteen noudattamista työssään. Erinomainen tapa osoittaa tietoturvallisuuden osalta sen nykytilaa sekä huolellisuusvelvollisuuden toteutumista ovat erilaiset tietoturvallisuuden auditoinnit ja sertifioinnit, kuten ISO 27001 -sertifiointi.