NIS2-kyberturvallisuusdirektiivi luo uusia velvollisuuksia kriittisillä sektoreilla toimiville yrityksille

Säännellyt toimialat ja toimijat

Direktiivi asettaa velvoitteita julkisten toimijoiden lisäksi pääasiassa kriittisillä toimialoilla toimiville suurille ja keskisuurille yrityksille. Kriittisiksi toimialoiksi direktiivin puitteissa katsotaan esimerkiksi energia-, finanssi-, terveydenhuolto- ja liikennesektorit sekä digitaalinen infrastruktuuri. Tiettyihin erityisen kriittisiin yrityksiin velvoitteet kohdistuvat yrityksen koosta riippumatta.

Uusia velvoitteita direktiivin soveltamisalaan kuuluvien yritysten hallintoelimille

Yksi direktiivin tarkoituksista on varmistaa, että vastuu kyberturvallisuusriskien hallintatoimenpiteistä ja raportointivelvoitteista on soveltumisalaan kuuluvien yritysten organisaatiossa korkealla tasolla. Tästä johtuen direktiivissä asetetaan uusia velvoitteita kyseisten yritysten hallintoelimille.

Hallintoelimen käsitettä ei ole tarkemmin määritelty itse direktiivissä, vaan tämä on jätetty kansallisten lainsäätäjien tehtäväksi. Direktiivin eri kieliversioiden ja sanamuotojen perusteella pidämme kuitenkin todennäköisenä, että Suomessa velvoitteet kohdistuvat ainakin yritysten hallituksiin. Tarkka määritelmä varmistuu kuitenkin vasta siinä vaiheessa, kun luonnos kansalliseksi lainsäädännöksi julkaistaan.

Hallintoelimen on ensinnäkin hyväksyttävä yrityksessä käytettävät kyberturvallisuusriskien hallintatoimenpiteet ja valvottava niiden täytäntöönpanoa. Hallintatoimenpiteiden konkreettisesta vähimmäissisällöstä säädetään tarkemmin kyberturvallisuusdirektiivissä, mutta niiden tulee sisältää muun muassa seuraavat:

Lisäksi hallintoelinten jäseniltä edellytetään osallistumista kyberturvallisuuskoulutukseen, jotta he tunnistaisivat paremmin mahdolliset kyberturvallisuusriskit ja pystyisivät arvioimaan niiden hallintaa koskevia käytäntöjä.

Vastuusäännökset laajenevat koskemaan myös yritysten yksittäisiä edustajia

NIS2 edellyttää, että jäsenvaltiot toimeenpanevat joukon sanktiomekanismeja – kuten yrityksiin kohdistuvia hallinnollisia määräyksiä ja sakkoja – direktiivin velvoitteiden rikkomisesta. Uuden direktiivin myötä vastuusäännökset laajenevat tietyissä tilanteissa yrityksiltä myös niiden yksittäisille edustajille.

Hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. Tiettyjen edellytysten täyttyessä yritysten johtotehtävissä olevia henkilöitä voidaan myös määrätä väliaikaisesti keskeyttämään tehtäviensä hoitaminen.

Direktiivin tuomiin muutoksiin kannattaa valmistautua jo nyt

Kaikkinensa NIS2-direktiivi asettaa joukon uusia velvoitteita soveltamisalaansa kuuluville kriittisten toimintasektorien yrityksille. Yrityksiä koskevien velvoitteiden lisäksi direktiivissä edellytetään aiempaa aktiivisempaa roolia kyberturvallisuuden varmistamisessa myös näiden yritysten hallintoelimiltä. Täten myös hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaiseen vastuuseen, jos he eivät pysty varmistamaan, että direktiivissä yrityksille asetettuja kyberturvallisuusvelvoitteita noudatetaan.

Lopullisen muotonsa direktiivin velvoitteet saavat vasta osana kansallista täytäntöönpanoa, viimeistään lokakuussa 2024. Direktiivin soveltamisalaan kuuluvien yrityksen on kuitenkin suositeltavaa ryhtyä arvioimaan omia kyberturvallisuuskäytäntöjään sekä mahdollisten riskien hallintatoimenpiteitä jo hyvissä ajoin, myös toimitusketjujensa osalta.