norppa.io
Oppaat

NIS2-opas · 10 min

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2 ei ole kertaalleen täytettävä tarkistuslista. Se on jatkuva velvoite, jota tukevat johdon vastuu ja viranomaisvalvonta. Mutta polku vaatimustenmukaisuuteen on selkeä. Tämä opas käy vaiheet läpi järjestyksessä: selvitä kuulutko soveltamisalaan, rekisteröidy viranomaiselle, sido johto muodollisesti vastuuseen, toteuta riskienhallintatoimenpiteet, turvaa toimitusketjusi, rakenna poikkeamailmoituskyvykkyys ja pidä kaikki todennettuna ajan myötä. Jokainen vaihe linkittää syvempään oppaaseen, kun tarvitset sellaista.

Keskeiset huomiot

  • NIS2 (direktiivi (EU) 2022/2555) oli saatettava kansalliseen lakiin 17.10.2024 mennessä; velvoitteet tulevat kunkin jäsenvaltion täytäntöönpanolain kautta.
  • Vaatimustenmukaisuus etenee selkeässä järjestyksessä: soveltamisala → rekisteröinti → hallinto → art. 21 -toimenpiteet → toimitusketju → poikkeamailmoitus → jatkuva varmistus.
  • Se on jatkuvaa, ei kertaluonteista. Johto on vastuussa (art. 20) ja valvontaviranomaiset voivat auditoida, määrätä korjaamaan ja sakottaa (art. 34).

Mitä “NIS2-vaatimustenmukaisuus” oikeasti tarkoittaa

NIS2 on EU-direktiivi, joten se tulee voimaan kunkin jäsenvaltion sen täytäntöönpanemiseksi säätämän kansallisen lain kautta (täytäntöönpanon määräaika oli 17.10.2024; osa valtioista myöhässä). Se asettaa perustason kyberturvallisuuden riskienhallintatoimenpiteet (art. 21), poikkeamailmoituksen (art. 23), hallinnon ja vastuuvelvollisuuden (art. 20) sekä rekisteröitymisen toimivaltaiselle viranomaiselle, valvottuna auditoinnein ja seuraamuksin (art. 34).

Olennaista on, että kyse on hallintajärjestelmästä, ei sertifikaatista. NIS2:ta ei “läpäistä” kerran; toimenpiteitä ylläpidetään, todennetaan ja parannetaan jatkuvasti, ja johtosi on siitä henkilökohtaisesti vastuussa. Alla olevat vaiheet vievät sinut puolustettavalle perustasolle ja pitävät sinut siellä.

Ketä koskee

Keskeisiä ja tärkeitä toimijoita: keskisuuria ja suuria organisaatioita liitteen I/II toimialoilla (energia, liikenne, terveys, vesi, digitaalinen infrastruktuuri, julkishallinto, valmistus ja muut). Vahvista luokkasi “ketä NIS2 koskee” -oppaalla.

Vedetään mukaan välillisesti

Vaikka sinua ei olisi nimetty, toimitusketjuvelvoite tavoittaa sinut: soveltamisalan asiakkaiden on arvioitava toimittajansa (art. 21(2)(d)), joten kohtaat kyselyitä, näyttöpyyntöjä ja jatkuvaa seurantaa sopimustesi kautta.

Etenemissuunnitelma vaihe vaiheelta

Seitsemän vaihetta järjestyksessä. Kukin rakentuu edellisen päälle.

Vaihe 1

Vahvista soveltamisala ja luokka. Selvitä oletko keskeinen vai tärkeä toimija liitteen I/II toimialojen ja kokorajojen perusteella, ja kartoita, mihin omat toimittajasi sijoittuvat.

Vaihe 2

Rekisteröidy toimivaltaiselle viranomaiselle. Useimmat jäsenvaltiot edellyttävät soveltamisalan toimijoita rekisteröitymään (nimi, toimiala, yhteystiedot, IP-alueet) täytäntöönpanolakinsa mukaisesti.

Vaihe 3

Sido johto vastuuseen. Johdon on hyväksyttävä riskienhallintatoimenpiteet, valvottava niitä ja saatava koulutusta (art. 20), ja se voidaan saattaa vastuuseen.

Vaihe 4

Toteuta art. 21(2) -toimenpiteet: kymmenen perustason toimenpidettä, suhteutettuna riskiisi (ks. lista alla).

Vaihe 5

Turvaa toimitusketjusi. Arvioi ja seuraa toimittajien kyberriskiä (art. 21(2)(d)) luokittelulla, kyselyillä ja jatkuvalla näytöllä, ei kertaluonteisella auditoinnilla.

Vaihe 6

Rakenna poikkeamailmoituskyvykkyys. Pysty lähettämään 24 tunnin ennakkovaroitus, 72 tunnin ilmoitus ja kuukauden loppuraportti CSIRT-toimijallesi (art. 23).

Vaihe 7

Tee siitä jatkuvaa ja todennettua. Seuraa, testaa, dokumentoi ja katselmoi, jotta voit pyydettäessä osoittaa toimenpiteiden toimivan.

Artiklan 21(2) toimenpiteet

Vaihe 4 yksityiskohtaisesti. NIS2 edellyttää suhteutetusti vähintään:

  • (a) Riskianalyysi ja tietojärjestelmien turvallisuuspolitiikat.
  • (b) Poikkeamien hallinta: havaitseminen, reagointi ja palautuminen.
  • (c) Toiminnan jatkuvuus: varmuuskopiot, palautuminen ja kriisinhallinta.
  • (d) Toimitusketjun turvallisuus, mukaan lukien suorien toimittaja- ja palveluntarjoajasuhteiden turvallisuus.
  • (e) Turvallisuus hankinnassa, kehityksessä ja ylläpidossa, mukaan lukien haavoittuvuuksien hallinta ja julkistaminen.
  • (f) Politiikat ja menettelyt toimenpiteiden vaikuttavuuden arvioimiseksi.
  • (g) Kyberhygienian perusteet ja tietoturvakoulutus.
  • (h) Salaus ja tarvittaessa salakirjoitus.
  • (i) Henkilöstöturvallisuus, pääsynhallintapolitiikat ja omaisuudenhallinta.
  • (j) Monivaiheinen todennus, suojattu ääni-/video-/tekstiviestintä ja suojattu hätäviestintä.

Miksi se ei koskaan oikeasti “pääty”

Toimenpiteet eivät ole projekti, jolla on maaliviiva. NIS2 odottaa, että arvioit niiden vaikuttavuuden (art. 21(2)(f)), ja valvontaviranomaiset voivat tehdä auditointeja, pyytää näyttöä, antaa sitovia määräyksiä ja määrätä sakkoja (art. 34): keskeisille toimijoille enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuosiliikevaihdosta sen mukaan, kumpi on suurempi. Myös johto voidaan saattaa henkilökohtaiseen vastuuseen.

Siksi viimeinen vaihe on tärkein: kuilu sen välillä, että “kirjoitimme politiikan”, ja että “voimme osoittaa sen toimivan tänään”, on juuri se, mitä auditoija, tai asiakkaan due diligence, pyytää sinua kuromaan umpeen. Jatkuva seuranta ja säilytetty näyttö muuttavat kertaponnistuksen puolustettavaksi, toistettavaksi asemaksi.

NIS2 soveltuu kansallisen lain kautta, ja yksityiskohdat (rekisteröinnin mekaniikka, määräajat, toimialakohtaisuudet, seuraamustasot) vaihtelevat jäsenvaltioittain. Vahvista yksityiskohdat kansalliselta toimivaltaiselta viranomaiseltasi.

Mistä aloittaa?

Ensimmäinen siirtosi riippuu tilanteestasi:

Olet selvästi soveltamisalassa (keskeinen tai tärkeä)

Aloita vaiheesta 1 luokkasi vahvistamiseksi, rekisteröidy ja perehdytä johto. Käytä johdon vastuu -opasta hallituksen sitouttamiseksi varhain.

Et ole varma kuulutko soveltamisalaan

Aloita “ketä NIS2 koskee” -oppaasta, toimialat ja kokorajat, ennen kontrolleihin investoimista. Älä oleta olevasi vapautettu; toimitusketju voi silti tavoittaa sinut.

Olet soveltamisalan asiakkaiden toimittaja

Vaikka sinua ei olisi nimetty, odota toimittajakyselyitä ja seurantaa. Toimittajakysely- ja tarkistuslistaoppaat näyttävät, mitä sinua pyydetään todentamaan.

Sinulla on jo ISO 27001

Suuri osa vaiheesta 4 siirtyy, mutta lakisääteinen poikkeamailmoitus, rekisteröinti ja johdon vastuu eivät. ISO 27001 -opas kartoittaa, mitä jää jäljelle.

Lähteet: Direktiivi (EU) 2022/2555 (NIS2) sekä kansallinen täytäntöönpanolakisi. NIS2 soveltuu kansallisen lain kautta; vahvista rekisteröinnin mekaniikka, määräajat ja seuraamustasot toimivaltaiselta viranomaiseltasi.

Miten norppa.io auttaa

norppa.io on rakennettu vaiheita 5 ja 7 varten, toimitusketju- ja jatkuvan näytön osuuksia, jotka useimmat tiimit kokevat vaikeimmiksi. Se seuraa jokaista toimittajadomainia yli sadassa tarkistuspisteessä päivittäin (aikakriittiset kuuden tunnin välein), kartoittaa jokaisen löydöksen siihen NIS2-artiklaan, jota se koskee, ja pitää päivätyn, vietävän tallenteen toimittajatiedostoosi.

Itsearviointikyselyt tallentavat prosessi- ja sopimuskontrollit, ja jokainen vastaus asetetaan reaaliaikaisen teknisen profiilin rinnalle: joten kun auditoija tai asiakas pyytää osoittamaan, että toimitusketjun turvallisuus todella toimii, sinulla on ajantasaista, vahvistettua näyttöä eikä viime kevään laskentataulukkoa.

Jatkuva näyttö vaiheisiin 5 ja 7

Katso esimerkkiraportti toimittajasta (löydökset, NIS2-artiklakartoitus ja näyttö) noin kahdessa minuutissa.

Katso esimerkkiraportti
Katso esimerkki-dashboard

Aiheeseen liittyvät oppaat

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.