9.3.2023

NIS2-kyberturvallisuusdirektiivi luo uusia velvollisuuksia kriittisillä sektoreilla toimiville yrityksille

Euroopan unionissa on hiljattain tullut voimaan uusi NIS2-niminen kyberturvallisuusdirektiivi, jonka tarkoituksena on yhdenmukaistaa eri jäsenmaiden kyberturvallisuutta koskevia vaatimuksia ja kyberturvallisuustoimien toteuttamista. Direktiivi korvaa unionin aiemman NIS-kyberturvallisuusdirektiivin. Direktiivin velvoitteet tulee saattaa osaksi jäsenvaltioiden lainsäädäntöä viimeistään lokakuussa 2024, ja liikenne- ja viestintäministeriössä on tämän saavuttamiseksi käynnistetty vuoden alussa kansallinen täytäntöönpanohanke.

Säännellyt toimialat ja toimijat

Direktiivi asettaa velvoitteita julkisten toimijoiden lisäksi pääasiassa kriittisillä toimialoilla toimiville suurille ja keskisuurille yrityksille. Kriittisiksi toimialoiksi direktiivin puitteissa katsotaan esimerkiksi energia-, finanssi-, terveydenhuolto- ja liikennesektorit sekä digitaalinen infrastruktuuri. Tiettyihin erityisen kriittisiin yrityksiin velvoitteet kohdistuvat yrityksen koosta riippumatta.

Uusia velvoitteita direktiivin soveltamisalaan kuuluvien yritysten hallintoelimille

Yksi direktiivin tarkoituksista on varmistaa, että vastuu kyberturvallisuusriskien hallintatoimenpiteistä ja raportointivelvoitteista on soveltumisalaan kuuluvien yritysten organisaatiossa korkealla tasolla. Tästä johtuen direktiivissä asetetaan uusia velvoitteita kyseisten yritysten hallintoelimille.

Hallintoelimen käsitettä ei ole tarkemmin määritelty itse direktiivissä, vaan tämä on jätetty kansallisten lainsäätäjien tehtäväksi. Direktiivin eri kieliversioiden ja sanamuotojen perusteella pidämme kuitenkin todennäköisenä, että Suomessa velvoitteet kohdistuvat ainakin yritysten hallituksiin. Tarkka määritelmä varmistuu kuitenkin vasta siinä vaiheessa, kun luonnos kansalliseksi lainsäädännöksi julkaistaan.

Hallintoelimen on ensinnäkin hyväksyttävä yrityksessä käytettävät kyberturvallisuusriskien hallintatoimenpiteet ja valvottava niiden täytäntöönpanoa. Hallintatoimenpiteiden konkreettisesta vähimmäissisällöstä säädetään tarkemmin kyberturvallisuusdirektiivissä, mutta niiden tulee sisältää muun muassa seuraavat:

Lisäksi hallintoelinten jäseniltä edellytetään osallistumista kyberturvallisuuskoulutukseen, jotta he tunnistaisivat paremmin mahdolliset kyberturvallisuusriskit ja pystyisivät arvioimaan niiden hallintaa koskevia käytäntöjä.

Vastuusäännökset laajenevat koskemaan myös yritysten yksittäisiä edustajia

NIS2 edellyttää, että jäsenvaltiot toimeenpanevat joukon sanktiomekanismeja – kuten yrityksiin kohdistuvia hallinnollisia määräyksiä ja sakkoja – direktiivin velvoitteiden rikkomisesta. Uuden direktiivin myötä vastuusäännökset laajenevat tietyissä tilanteissa yrityksiltä myös niiden yksittäisille edustajille.

Hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. Tiettyjen edellytysten täyttyessä yritysten johtotehtävissä olevia henkilöitä voidaan myös määrätä väliaikaisesti keskeyttämään tehtäviensä hoitaminen.

Direktiivin tuomiin muutoksiin kannattaa valmistautua jo nyt

Kaikkinensa NIS2-direktiivi asettaa joukon uusia velvoitteita soveltamisalaansa kuuluville kriittisten toimintasektorien yrityksille. Yrityksiä koskevien velvoitteiden lisäksi direktiivissä edellytetään aiempaa aktiivisempaa roolia kyberturvallisuuden varmistamisessa myös näiden yritysten hallintoelimiltä. Täten myös hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaiseen vastuuseen, jos he eivät pysty varmistamaan, että direktiivissä yrityksille asetettuja kyberturvallisuusvelvoitteita noudatetaan.

Lopullisen muotonsa direktiivin velvoitteet saavat vasta osana kansallista täytäntöönpanoa, viimeistään lokakuussa 2024. Direktiivin soveltamisalaan kuuluvien yrityksen on kuitenkin suositeltavaa ryhtyä arvioimaan omia kyberturvallisuuskäytäntöjään sekä mahdollisten riskien hallintatoimenpiteitä jo hyvissä ajoin, myös toimitusketjujensa osalta.

Uusimmat referenssit

Avustimme Smarter Contracts Ltd:tä prosessissa, jossa Liikenne- ja viestintävirasto Traficom vahvisti sen EU:n tunnustamaksi datan välityspalveluksi. EU:n ulkopuolisten yritysten on nimettävä laillinen edustaja johonkin EU-maahan, jotta ne voivat tarjota datan välityspalveluja datanhallinta-asetuksen mukaisesti. Smarter Contracts sijaitsee Isossa-Britanniassa ja valitsi tehtävään Suomen. Smarter Contracts on ensimmäinen Traficomin rekisteröimä EU:n ulkopuolinen datan välityspalvelu. Smarter Contractsin perustaja ja toimitusjohtaja Wayne Lloyd:  Castrénin tiimin tuki oli poikkeuksellista alusta loppuun. Uuden alueen valloitus on aina haastavaa, ja ensimmäisenä EU:n ulkopuolisena datan välityspalvelun tarjoajana kohtasimme merkittäviä oikeudellisia epävarmuuksia. Näistä haasteista huolimatta Castrénin tiimi ohjasi meitä asiantuntevasti jokaisessa vaiheessa huomattavalla tehokkuudella, tarjoten meille tarvittavaa varmuutta. Smarter Contracts tarjoaa kehittyneitä suostumus- ja käyttöoikeuksien hallintapalveluita kehittämänsä Pulse Permissions Protocol® -työkalun avulla. Tämä merkkipaalu on osoitus Castrén & Snellmanin taidosta hallita monimutkaisia sääntely-ympäristöjä ja Smarter Contractsin innovatiivisesta lähestymistavasta turvalliseen ja vaatimustenmukaiseen tietojen hallintaan.
Julkaistu 11.12.2024
Avustimme Pharmaca Health Intelligencea sen ostaessa Mediaattori Oy:n PODIUM Connect®- ja PODIUM Vierailut -liiketoiminnat. Liiketoimintakaupan myötä Pharmaca Health Intelligence vahvistaa palvelutarjontaansa sekä terveydenhuollon edustajille että lääkeyrityksille. Palvelutarjontaan kuuluu laajasti lääketiedon, tiedolla johtamisen ja koulutuksen palveluita. Pharmaca Health Intelligence on digitaalisen lääketiedon edelläkävijä sekä hyvinvointialueiden, yksityisen terveyspalvelusektorin ja apteekkien luotettava yhteistyötahona. Yhtiö panostaa lääkeinformaatioon liittyvien teknologia- ja palveluratkaisujen kehittämiseen myös kansainvälisesti.
Julkaistu 5.12.2024
Toimimme Fortumin pääneuvonantajana rajat ylittävässä yritysjärjestelyssä, jossa Fortum myy kierrätys- ja jäteliiketoimintansa. Liiketoiminnot myydään temaattiseen vaikuttavuussijoittamiseen keskittyvälle Summa Equitylle tämän portfolioyhtiön NG Groupin kautta ja velaton kauppahinta on noin 800 miljoonaa euroa. Kaupan toteutuminen edellyttää viranomaishyväksyntää sekä tavanomaisten ehtojen täyttymistä. Fortumin myytävät kierrätys- ja jäteliiketoiminnot (Recycling & Waste) tarjoavat teollisille ja kuntasektorin asiakkaille jätehuoltopalveluja sekä kokonaisvaltaisia muovien, metallien, tuhkan, kuonan ja vaarallisten jätteiden käsittely- ja kierrätyspalveluja. Liiketoiminnot sijaitsevat Suomessa, Ruotsissa, Tanskassa ja Norjassa ja työllistävät noin 900 työntekijää. 
Julkaistu 18.7.2024
Neuvoimme ANDRITZ-konserniin kuuluvaa Andritz Oy:tä sen ostaessa koko Procemex Oy:n osakekannan. Kauppa vahvistaa entisestään ANDRITZin automaatio- ja digitalisointiratkaisujen valikoimaa. Procemex on yksi maailman johtavista integroituja radanvalvonta- ja vianilmaisuratkaisuja sellu- ja paperiteollisuudelle tarjoavista yrityksistä. Se työllistää yli 100 konenäköjärjestelmien asiantuntijaa, ja sillä on tytäryhtiöitä Saksassa, Japanissa ja Yhdysvalloissa. ANDRITZ tarjoaa laajan valikoiman innovatiivisia laitoksia, välineitä, järjestelmiä, palveluita ja digitaalisia ratkaisuja monille eri toimialoille ja loppumarkkinoille. ANDRITZilla on johtava asema maailmanmarkkinoilla kaikilla neljällä liiketoiminta-alueellaan: sellu ja paperi, metallit, vesivoima sekä ympäristö ja energia. Se on julkisesti noteerattu konserni, jolla noin 30 000 työntekijää ja yli 280 toimipistettä yli 80 maassa.
Julkaistu 18.7.2024