Lokakuun 17. päivästä alkaen ylimmän johdon tehtävänä on varmistaa, että heidän organisaationsa toteuttavat asianmukaisia ja oikeasuhteisia teknisiä, toiminnallisia ja organisatorisia toimenpiteitä, mukaan lukien kyberturvallisuusriskien seuranta ja vähentäminen sekä tietoturvaratkaisujen käyttöönotto.
Direktiivi toimenpiteistä yhteisen korkeatasoisen kyberturvallisuuden varmistamiseksi koko unionissa (NIS2-direktiivi)
NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Siinä säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa.
Vuonna 2016 käyttöön otettuja EU:n kyberturvallisuussääntöjä päivitettiin verkko- ja tietoturvadirektiivillä, joka tuli voimaan vuonna 2023. Sillä nykyaikaistettiin nykyistä oikeudellista kehystä, jotta voidaan jatkaa digitalisaation lisääntymistä ja kehittyvää kyberturvallisuuden uhkaympäristöä. Laajentamalla kyberturvallisuussääntöjen soveltamisalaa uusiin aloihin ja toimijoihin se parantaa edelleen julkisten ja yksityisten tahojen, toimivaltaisten viranomaisten ja koko EU:n häiriönsietokykyä ja reagointivalmiuksia.
Toimenpiteistä yhteisen korkeatasoisen kyberturvallisuudenvarmistamiseksikoko unionissa annetussa direktiivissä (verkko- ja tietoturvadirektiivi) säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa varmistamalla, että
- Jäsenvaltioiden valmius edellyttää, että niillä on asianmukaiset varusteet. Esimerkiksi tietoturvaloukkauksiin reagoivan ryhmän (CSIRT) ja toimivaltaisen kansallisen verkko- ja tietojärjestelmien (NIS) viranomaisen kanssa,
- kaikkien jäsenvaltioiden välinen yhteistyö perustamalla yhteistyöryhmä
- tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa jäsenvaltioiden välillä.
- turvallisuuskulttuuri kaikilla talouden ja yhteiskunnan kannalta elintärkeillä aloilla, jotka ovat vahvasti riippuvaisia tieto- ja viestintätekniikasta, kuten energia, liikenne, vesi, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri.
Yritysten, jotka jäsenvaltiot ovat määrittäneet keskeisten palvelujen tarjoajiksi edellä mainituilla aloilla, on toteutettava asianmukaiset turvatoimet ja ilmoitettava asiasta kansallisille viranomaisille vakavista vaaratilanteista. Keskeisten digitaalisten palvelujen tarjoajien, kuten hakukoneiden, pilvipalvelujen ja verkossa toimivien markkinapaikkojen, on noudatettava direktiivin mukaisia turvallisuus- ja ilmoitusvaatimuksia.
lähde: EU komissio