Organisaation kyberturvallisuuden osaamisen, ymmärryksen ja toimintakyvyn kehittäminen ovat mille tahansa organisaatiolle kriittisiä toimintoja. Kyberturvallisuuskyvykkyyttä tulee kehittää jatkuvasti, oli siihen patistelevia direktiivejä tai ei.
Pitkään odotettu NIS2 eli kyberturvallisuutta koskeva EU-direktiivi on voimassa, ja sen kansallinen lainsäädäntö Suomessa valmistunee pian perässä. Direktiivissä osoitetaan yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet merkittävistä poikkeamista. Direktiivissä on lueteltu myös vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä.
Osa organisaatioista onkin jo pitkällä NIS2-valmisteluissaan ja ottaa ohjenuoransa toimintaan esimerkiksi valvovan viranomaisen tähän asti julkaisemista suosituksista ja ohjeista.
Se toinen osa organisaatioista tuntuu odottelevan kansallisen laintulkinnan viimeistä sanaa ennen kyberturvallisuushihojensa käärimistä uuteen, NIS2-direktiivin vaatimaan asentoon. Kansallisen lainsäädännön odottelu sisältää kuitenkin suuren lahkeiden kastumiseen riskin; on hyvä muistaa, että kansallinen lainsäädäntö on vaatimuksiltaan joko EU-direktiiviä toisintava tai kiristävä – mutta helpotuksia se ei tuo.
Tähtäimessä yhteiskunnan toimivuus ja turvallisuus eri olosuhteissa
Määräävät direktiivit voivat äkkiseltään tuntua puukuivilta, jopa juridisilta velvoitteilta, jotka kenties tietohallintojohtaja tiimeineen hoitaa kuntoon. Näin ei kuitenkaan ole, sillä NIS2-direktiivin syvällisempi tarkoitus on osaltaan varmistaa yhteiskunnan toimivuutta ja turvallisuutta erilaisissa olosuhteissa. Näin se on koko organisaation yhteinen asia.
Uusi kyberturvallisuutta koskeva direktiivi onkin hyvin ajan hengen mukainen. Lokakuussa 2024 julkaistu presidentti Niinistön EU-tason kriisinkestävyyttä koskeva raportti korostaa myös, että varautuminen ja kriisinkestävyys tulee huomioida läpileikkaavasti kaikilla elämänaloilla.
Jokaisella organisaatiolla on oma tärkeä roolinsa yhteiskunnan kyberturvallisuuden varmistamisessa. Viime kädessä, NIS2:n kaltaisia direktiivejä ei tulisi tehdä vain lainsäädännön kirjaimen täyttämistä varten. Ne tulisi ymmärtää tärkeinä katalyytteina, jotka auttavat organisaatioita Euroopan tasoisesti kirittämään toimintaansa systemaattisesti uudelle poikkeama- ja häiriötilanteiden sietotasolle.
Miten valmistautua uuteen kyberturvallisuuslakiin?
NIS2 on aiemman NIS-direktiivin laajennus, joka toimeenpannaan Suomessa laiksi kyberturvallisuuden riskienhallinnasta.
Miten organisaatiosi on varautunut Euroopan Unionin laajuisen NIS2-direktiivin asettamiin vaatimuksiin? Tutustu Goforen NIS2-toimeenpanon tuen palveluihin.
