21 heinä NIS-direktiivi velvoittaa tiettyjä toimialoja raportoimaan tietoturvaloukkauksista valvontaviranomaisille

NIS-direktiivi (Network and information systems -direktiivi) on Euroopan Unionissa säädetty verkko- ja tietoturvadirektiivi, jota sovelletaan jäsenvaltioiden kansallisissa lainsäädännöissä. Toukokuussa voimaan astunut lainsäädäntö velvoittaa tiettyjen toimialojen organisaatioita raportoimaan tietoturvapoikkeamista suoraan toimialakohtaisille valvontaviranomaisille.

NIS-direktiivin tuoma lainsäädäntö velvoittaa, että yhteiskunnan kannalta tärkeillä toimialoilla organisaatioiden tulee ehkäistä ja minimoida tietoturvapoikkeamien vaikutus palvelujen jatkuvuuteen. Tämän lisäksi näiden kyseisten organisaatioiden tulee suorittaa teknisiä ja organisatorisia toimenpiteitä verkko- ja tietojärjestelmien turvallisuuteen kohdistuvien poikkeamien ja riskien hallitsemiseksi.

Taulukossa toimialat, joita NIS-direktiivi velvoittaa sekä kyseisten toimialojen valvontaviranomaiset.

Opsecin tietoturvapoikkeamien hallintamalli auttaa vastaamaan lainsäädännön tuomiin vaatimuksiin

Tietoturvapoikkeamien hallintamallit ovat tällä hetkellä kysyttyjä monissa suomalaisissa organisaatioissa, koska tietoturvallisuus- ja häiriöraportointivaatimukset ovat tiukentuneet.

Direktiivin lisäksi organisaatioiden on hyvä huomioida tietoturvapoikkeamien hallintamallissa tietosuojalainsäädännön (GDPR) ilmoitusvelvollisuus. Tämän vuoksi olemme Opsecin tietoturva-asiantuntijoiden kanssa tuottaneet tietoturvatapahtumien hallintamallin, jossa huomioidaan sekä NIS-direktiivin vaatimukset että GDPR. Hallintamallimme on tällä hetkellä erittäin tärkeässä roolissa asiakkaidemme hallinnollisessa tietoturvassa.

Ota yhteyttä asiantuntijoihimme, jos tietoturvapoikkeamien hallintamalli on ajankohtainen sinun organisaatiossasi.

Ville Stolpe
tietoturva-asiantuntija