Yritykset ovat tehneet kovasti töitä muuttaakseen kulttuuriaan sisäisesti varmistaakseen, että ne ottavat tietoturvaloukkausten ja sähkökatkosten uhan vakavasti.
Andrew Brookes | Kuvan lähde | Getty Images
EU:n uudet säädökset, jotka edellyttävät yrityksiä vahvistamaan kyberpuolustustaan, ovat lähteneet hitaasti alkuun, sillä monet jäsenvaltiot eivät ole onnistuneet hyväksymään sääntöjä ajoissa noudattaakseen keskeistä täytäntöönpanon määräaikaa direktiivin edistymistä seuranneen tutkimuksen mukaan.
EU:n NIS 2 -kyberturvallisuusdirektiivi asettaa yrityksille korkean vertailukohdan niiden sisäisille kyberturvallisuusjärjestelmille ja -käytännöille. Se asettaa tiukempia vaatimuksia riskienhallinnan, avoimuusvelvoitteiden ja liiketoiminnan jatkuvuuden suunnittelun suhteen kyberloukkauksen sattuessa.
Uusi direktiivi tuli torstaina virallisesti täytäntöönpanokelpoiseksi jäsenmaissa. Tämä tarkoittaa, että yritysten on nyt varmistettava, että niiden toiminta on sääntöjen mukaista. Useimmat EU:n jäsenvaltiot eivät kuitenkaan ole vielä saaneet NIS 2:ta käyttöön omissa kansallisissa laeissaan, mikä tarkoittaa, että täytäntöönpano on todennäköisesti epäselvää.
Internet-tutkimusorganisaation DNS Research Federationin seurantatyökalun mukaan kaksi maata – Portugali ja Bulgaria – eivät ole aloittaneet NIS 2:n täytäntöönpanoprosessia, jossa direktiivit on sisällytetty EU:n jäsenvaltioiden kansallisiin lakeihin.
Portugalin ja Bulgarian hallitukset eivät olleet heti saatavilla kommentoitavaksi, kun CNBC keskiviikkona otti heihin yhteyttä.
Euroopan komissio kertoi CNBC:lle, että se kehottaa EU:n jäsenvaltioita, jotka eivät ole vielä panneet täytäntöön NIS 2 -yhteensopivia lakeja, tekemään niin nopeasti.
“Toistaiseksi Belgia ja Italia ovat ilmoittaneet NIS2-direktiivin täydellisestä saattamisesta osaksi kansallista lainsäädäntöä ja Kroatia, Latvia ja Liettua osittaisesta täytäntöönpanosta”, komission tiedottaja kertoi CNBC:lle sähköpostitse. “Kehotamme muita jäsenvaltioita seuraamaan esimerkkiä.”
Komissio sanoi, että se on tukenut jäsenvaltioita viimeisten 21 kuukauden aikana antamalla ohjeita ja vastaamalla kysymyksiin, ja varoitti olevansa valmis “käyttämään… käytettävissään olevia välineitä” varmistaakseen, että jäsenvaltiot saattavat säännöt päätökseen.
Mikä on NIS 2?
NIS 2 – tai verkko- ja tietoturvadirektiivi 2 – on EU:n direktiivi, jonka tavoitteena on parantaa IT-järjestelmien ja -verkkojen turvallisuutta koko blokissa. Ensimmäistä kertaa vuonna 2020 ehdotettu laki toimii päivityksenä aikaisempaan direktiiviin nimeltä NIS.
NIS 2 laajentaa edeltäjänsä soveltamisalaa vastatakseen uudempiin kyberturvallisuushaasteisiin ja -uhkiin, kun rikolliset ovat löytäneet uusia tapoja hakkeroida yrityksiä ja vaarantaa niiden arkaluonteiset tiedot.
Direktiivi koskee EU:ssa toimivia ja kuluttajille keskeisiä palveluja tarjoavia organisaatioita, mukaan lukien pankit, energiantoimittajat, terveydenhuoltolaitokset, internet-palveluntarjoajat, kuljetusyritykset ja jätteenkäsittelijät.
Yrityksillä on “huolehtimisvelvollisuus” raportoida ja jakaa tietoa kyberhaavoittuvuuksista ja hakkeroista muiden yritysten kanssa uuden asetuksen mukaan – vaikka se merkitsisikin joutumista kybermurron uhriksi.
Jos yritys joutuu tietoturvaloukkauksen uhriksi, hänellä on 24 tuntia aikaa tehdä ennakkovaroitusilmoitus viranomaisille – tiukempi aikaraja kuin 72 tunnin ikkuna, joka yritysten on ilmoitettava viranomaisille tietosuoja-asetuksen mukaisesta tietoturvaloukkauksesta. EU:ssa erillinen tietosuojalaki.
Yritysten on myös tarkastettava teknologiatoimittajansa yksitellen kyberuhkien ja haavoittuvuuksien varalta.
Onko se tehokasta?
Tim Wright, Fladgaten yhteistyökumppani ja teknologialakimies, kertoi CNBC:lle, että NIS 2:n tehokkuus sääntelynä riippuu suurelta osin johdonmukaisesta täytäntöönpanosta ja täytäntöönpanosta EU:n jäsenvaltioissa.
“Huonot toimijat voivat kohdistaa tavoitteensa maihin, jotka ovat jäljessä NIS2:n täytäntöönpanossa, tai etsiä heikkouksia toimitusketjuissa ja kohdentaa pienempiä, vähemmän turvallisia myyjiä ja toimittajia päästäkseen käsiksi suurempiin, paremmin suojattuihin organisaatioihin”, hän kertoi CNBC:lle.
Yritykset ovat työskennelleet saadakseen sisäiset prosessinsa, valvontansa ja laajemman kyberturvallisuuskulttuurinsa muotoon jo vuosia ennen torstai-aikaa.
Chris Gow, yritysteknologiayritys Ciscon EU:n yleisen politiikan johtaja, sanoi, että NIS 2:n toteutuksen epäpuhtaus on myös “pahentanut lain paikalliset mukautukset”.
Tämä puolestaan ”luo ristiriitaisuuksia, jotka voivat osoittautua vaikeaksi navigoitaviksi, etenkin pienille organisaatioille, joilla on rajalliset resurssit”, Gow kertoi CNBC:lle sähköpostitse lähetetyissä kommenteissa.
Hän suositteli, että NIS 2:n paikallisten mukautusten eroavaisuuksien sijasta organisaatioiden tulisi “identifioida yhteinen ydin turvatoimista ja prosesseista, jotka pitävät niitä hyvänä, jotta ne voivat täyttää ja osoittaa vaatimustenmukaisuuden laajassa mittakaavassa”.
Mitä jos yritys ei noudata?
NIS 2:n noudattamatta jättäminen “olennaisille” tahoille, kuten liikenne-, rahoitus- ja vesiyhtiöille, voi johtaa jopa 10 miljoonan euron (10,9 miljoonan dollarin) sakkoihin tai 2 %:iin maailmanlaajuisista vuosituloista – sen mukaan, kumpi on suurempi.
Samaan aikaan “tärkeät” yritykset – kuten elintarvikeyhtiöt, kemikaaliyritykset ja jätehuoltopalvelut – odottavat rikkomuksista jopa 7 miljoonan euron sakkoja tai 1,4 % niiden maailmanlaajuisista vuosituloista.
Yritykset voivat myös kohdata mahdollisen palvelun keskeyttämisen, jos ne eivät noudata NIS 2 -standardia, sekä tiukempaa valvontaa.
“NIS 2 tekee selväksi – suuria sakkoja, mahdollista palvelun keskeyttämistä ja vaatimustenmukaisuuden valvontaa käytetään keinoina rohkaista kriittisistä palveluista vastaavia organisaatioita kiinnittämään huomiota kyberturvallisuusuhkiin ja reagoimaan niihin”, Carl Leonard, EMEA-kyberturvallisuusstrategi Proofpoint, kertoi CNBC:lle.
“Perustaso on asetettu riskienhallinnan ja lieventämistoimenpiteiden suhteen, mukaan lukien tapausten käsittely, henkilöstön koulutus, johtajien vastuullisuus ja monet muut”, Leonard lisäsi.
