NIS2-direktiivi — mitä tietosuojavastaavien tulee tietää

NIS2 koskee kahta toimijaluokkaa: keskeisiä toimijoita ja tärkeitä toimijoita. Keskeisiä toimijoita ovat muun muassa energia-, liikenne-, pankki-, rahoitusmarkkina-, terveydenhuolto-, juomavesi-, jätevesi-, digitaalinen infrastruktuuri-, ICT-palvelujen hallinta- ja julkishallintosektori. Tärkeitä toimijoita ovat muun muassa postipalvelut, jätehuolto, valmistus, elintarviketuotanto, kemikaalit ja digitaaliset palveluntarjoajat. Kokorajat ovat selkeät: organisaatiot, joilla on yli 50 työntekijää tai yli 10 miljoonan euron vuotuinen liikevaihto näillä sektoreilla, kuuluvat automaattisesti soveltamisalaan. Tietyt toimijat kuuluvat kuitenkin soveltamisalaan koosta riippumatta — kuten DNS-palveluntarjoajat, aluetunnusten rekisterit ja yleisten sähköisten viestintäverkkojen tarjoajat. Tietosuojavastaaville tämä tarkoittaa, että monilla nykyisistä asiakkaistasi voi nyt olla NIS2-velvoitteita tietosuoja-asetuksen vaatimusten lisäksi. NIS2:n soveltamisalaan kuuluvien asiakkaiden ennakoiva tunnistaminen asemoi sinut arvokkaana strategisena neuvonantajana — ei vain vaatimustenmukaisuuden tarkistuslistan täyttäjänä.

NIS2 edellyttää, että soveltamisalaan kuuluvat organisaatiot toteuttavat kattavan kyberturvallisuuden riskienhallintatoimenpiteiden kokonaisuuden. Näitä ovat: riskianalyysi ja tietojärjestelmien turvallisuuspolitiikat, poikkeamien käsittelymenettelyt, liiketoiminnan jatkuvuus ja kriisinhallinta, toimitusketjun turvallisuus, verkko- ja tietojärjestelmien hankinnan ja kehittämisen turvallisuus, kyberturvallisuustoimenpiteiden tehokkuuden arviointipolitiikat, kyberturvallisuuden perushygienia ja koulutus, salauksen käyttöä koskevat politiikat, henkilöstöturvallisuus, pääsynhallinta ja omaisuudenhallinta. Organisaatioiden on myös raportoitava merkittävistä poikkeamista kansalliselle viranomaiselle 24 tunnin kuluessa ennakkovaroituksena, 72 tunnin kuluessa täydellisenä ilmoituksena ja kuukauden kuluessa loppuraporttina. Tämä kolmiportainen raportointivelvoite on tiukempi kuin tietosuoja-asetuksen 72 tunnin tietoturvaloukkausilmoitus ja edellyttää hyvin valmisteltuja poikkeamanhallinnan menettelyjä. Tietosuoja-asetuksen 32 artiklan (käsittelyn turvallisuus) NIS2-turvallisuustoimenpiteiden ja tietosuoja-asetuksen vaatimusten päällekkäisyys on merkittävä. Tietosuojavastaavat, jotka jo neuvovat asiakkaita teknisistä ja organisatorisista toimenpiteistä tietosuoja-asetuksen nojalla, ovat hyvässä asemassa laajentaakseen tätä neuvontaa NIS2-vaatimustenmukaisuuteen.

Merkittävin muutos, jonka NIS2 tuo, on johdon henkilökohtainen vastuu. Artikla 20 edellyttää, että johto hyväksyy ja valvoo kyberturvallisuustoimenpiteiden toteuttamista. Heidän on myös osallistuttava kyberturvallisuuskoulutukseen. Tärkeää on, että johto voidaan saattaa henkilökohtaisesti vastuuseen rikkomuksista. NIS2:n sakot ovat merkittäviä: jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuotuisesta liikevaihdosta keskeisille toimijoille ja jopa 7 miljoonaa euroa tai 1,4 % maailmanlaajuisesta liikevaihdosta tärkeille toimijoille. Nämä tulevat tietosuoja-asetuksen sakkojen lisäksi — eivät niiden sijaan. Tämä henkilökohtaisen vastuun ulottuvuus on se, mikä ajaa kiireellisyyttä johdon keskuudessa. Tietosuojavastaavana voit käyttää tätä budjetin ja huomion turvaamiseen vaatimustenmukaisuusprojekteille, jotka muuten saatettaisiin depriorisoida. Hallituksen jäsenet, jotka aiemmin pitivät tietosuoja-asetusta kustannuseränä, ovat yhtäkkiä hyvin kiinnostuneita vaatimustenmukaisuudesta, kun heidän henkilökohtainen omaisuutensa on vaarassa.

Ulkoisena tietosuojavastaavana sinulla on jo syvällinen tuntemus asiakkaidesi tietojenkäsittelystä, turvallisuustoimenpiteistä ja organisaatiorakenteesta. Tämä tekee sinusta luonnollisen neuvonantajan NIS2-vaatimustenmukaisuudessa — sinun ei tarvitse aloittaa tyhjästä. Aloita kartoittamalla tietosuoja-asetuksen ja NIS2-vaatimusten päällekkäisyydet. Monet tekniset ja organisatoriset toimenpiteet, jotka asiakkaillasi jo on tietosuoja-asetusta varten (salaus, pääsynhallinta, poikkeamien käsittelymenettelyt), täyttävät suoraan NIS2-vaatimuksia. Dokumentoi tämä päällekkäisyys osoittaaksesi asiakkaille, etteivät he aloita nollasta. Tarjoa NIS2-valmiusarviointia lisäpalveluna. Jäsennelty tarkistuslista, joka kattaa kaikki NIS2-velvoitteet ja vertailee niitä asiakkaan nykyisiin toimenpiteisiin, tuottaa välitöntä arvoa ja asemoi sinut jatkuvan vaatimustenmukaisuuden seurantaan. Käytä työkalua, joka tukee sekä tietosuoja-asetusta että NIS2:ta yhdistetyssä hallintapaneelissa. Erillisten järjestelmien ylläpito tietosuoja-asetuksen vaatimustenmukaisuudelle ja NIS2-valmiudelle kaksinkertaistaa työmääräsi ja vaikeuttaa synergioiden tunnistamista. Trustee.eu yhdistää molemmat yhteen näkymään, jotta voit neuvoa kokonaisvaltaisesti.