norppa.io
Oppaat

NIS2-opas · 8 min

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

NIS2 koskee huomattavasti laajempaa joukkoa kuin alkuperäinen NIS-direktiivi — mutta ei kaikkia. Se, kuuluuko organisaatiosi soveltamisalaan, riippuu kolmesta asiasta: toimialasta, koosta ja muutamasta koosta riippumattomasta poikkeuksesta. Tämä opas käy läpi jokaisen testin, jotta voit määrittää asemasi — ja selittää, miksi nimeäminen ei ole ainoa tapa, jolla direktiivi tavoittaa sinut. Täytäntöönpanon määräaika (17.10.2024) on umpeutunut, ja jäsenvaltiot valvovat sitä saattaessaan kansallista lainsäädäntöä valmiiksi.

Kaksi luokkaa: keskeiset ja tärkeät toimijat

NIS2 jakaa soveltamisalaan kuuluvat organisaatiot kahteen luokkaan. Molempien on täytettävä samat perustason turvallisuus- ja raportointivelvoitteet; ero on valvonnan intensiteetissä ja enimmäisseuraamuksissa.

Keskeiset toimijat

Suuret organisaatiot kriittisimmillä toimialoilla (liite I) sekä tietyt koosta riippumatta nimetyt toimijat. Kohteena ennakoiva (ex ante) valvonta: auditointeja, tarkastuksia ja tietopyyntöjä voi tulla ilman edeltävää häiriötä.

Tärkeät toimijat

Useimmat muut soveltamisalaan kuuluvat, kokorajan täyttävät organisaatiot, mukaan lukien liitteen II toimialat. Kohteena jälkikäteinen (ex post) valvonta: viranomaiset toimivat, kun on näyttöä laiminlyönnistä.

Mitä toimialoja se koskee?

NIS2 luettelee toimialat kahdessa liitteessä. Liite I kattaa erittäin kriittiset toimialat; liite II muut kriittiset toimialat. Jos ydintoimintasi kuuluu kumpaan tahansa luetteloon ja täytät kokorajan, kuulut todennäköisesti soveltamisalaan.

Liite I — erittäin kriittiset toimialat

  • Energia (sähkö, öljy, kaasu, kaukolämpö, vety)
  • Liikenne (ilma, rautatie, vesi, maantie)
  • Pankkitoiminta ja finanssimarkkinainfrastruktuuri
  • Terveys (palveluntarjoajat, EU:n vertailulaboratoriot, lääkkeet, lääkinnälliset laitteet)
  • Juomavesi ja jätevesi
  • Digitaalinen infrastruktuuri (DNS, aluetunnusrekisterit, datakeskukset, pilvi, CDN:t, luottamuspalvelut, sähköinen viestintä)
  • TVT-palvelunhallinta, B2B (hallinnoidut palvelut ja hallinnoidut tietoturvapalvelut)
  • Julkishallinto (keskus- ja aluetaso)
  • Avaruus

Liite II — muut kriittiset toimialat

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalien valmistus, tuotanto ja jakelu
  • Elintarvikkeiden tuotanto, jalostus ja jakelu
  • Valmistus (lääkinnälliset laitteet, tietokoneet ja elektroniikka, koneet, moottoriajoneuvot, muut kulkuneuvot)
  • Digitaaliset palveluntarjoajat (verkkokauppapaikat, hakukoneet, sosiaalisen median alustat)
  • Tutkimusorganisaatiot

Kokoraja

Soveltamisalaan kuuluvalla toimialalla NIS2 koskee yleensä vain vähimmäiskoosta alkaen — niin sanottu kokokattosääntö. Sekä henkilöstömäärä että taloudelliset tunnusluvut otetaan huomioon.

Suuri — yleensä 'keskeinen' (liite I)

Vähintään 250 työntekijää tai liikevaihto yli 50 miljoonaa euroa ja tase yli 43 miljoonaa euroa. Liitteen I toimialojen suuret toimijat luokitellaan tyypillisesti keskeisiksi. Liitteen II toimialojen suuret toimijat ovat tärkeitä, eivät keskeisiä.

Keskisuuri — yleensä 'tärkeä'

Vähintään 50 työntekijää tai vuotuinen liikevaihto ja tase yli 10 miljoonaa euroa. Keskisuuren kokorajan saavuttaminen kuuluvalla toimialalla tuo sinut tyypillisesti mukaan tärkeänä toimijana.

Keskisuuren rajan alapuolella mikro- ja pienorganisaatiot jäävät yleensä soveltamisalan ulkopuolelle — ellei koosta riippumaton poikkeus sovellu.

Koosta riippumattomat poikkeukset — soveltamisalassa koosta riippumatta

Jotkin toimijat kuuluvat soveltamisalaan koostaan riippumatta roolinsa vuoksi. Näitä ovat hyväksytyt luottamuspalvelun tarjoajat, aluetunnusrekisterit ja DNS-palveluntarjoajat, yleisten sähköisten viestintäverkkojen tai -palvelujen tarjoajat sekä toimijat, jotka ovat ainoa jäsenvaltion yhteiskunnalliselle tai taloudelliselle toiminnalle olennaisen palvelun tarjoaja.

Myös julkishallinnon toimijat ja kriittisten toimijoiden häiriönsietokykyä koskevan (CER) direktiivin nojalla kriittisiksi tunnistetut organisaatiot voivat kuulua soveltamisalaan koosta riippumatta, ja jäsenvaltiot voivat nimetä yksittäisiä toimijoita. Jos ylläpidät kriittistä infrastruktuuria tai palvelua, jolle ei ole korvaajaa, tarkista kansallisen viranomaisesi nimeämisluettelo äläkä luota pelkkään kokotestiin.

Eikö sinua ole nimetty? Toimitusketju voi silti vetää sinut mukaan

Vaikka et kuuluisi suoraan soveltamisalaan, NIS2 tavoittaa sinut välillisesti. Soveltamisalaan kuuluvien organisaatioiden on hallittava toimittajiensa ja palveluntarjoajiensa kyberriski (Art. 21(2)(d)). Käytännössä se tarkoittaa, että asiakkaasi — pankit, sairaalat, energiayhtiöt, julkisyhteisöt — vaativat yhä useammin näyttöä tietoturvatasostasi liiketoiminnan ehtona.

Käytännön kysymys ei siis ole vain 'onko minut nimetty?' Se on myös 'kuuluvatko asiakkaani NIS2:n piiriin?' Jos kuuluvat, heidän velvoitteensa siirtyvät sinulle sopimusten, kyselyiden ja jatkuvan seurannan kautta — riippumatta siitä, oletko muodollisesti keskeinen vai tärkeä toimija.

Mitä soveltamisalaan kuuluminen tarkoittaa käytännössä

Jos kuulut soveltamisalaan, keskeiset velvoitteet ovat:

  • Riskienhallintatoimenpiteet — Art. 21 -perustaso: riskianalyysi, häiriöiden käsittely, toiminnan jatkuvuus, toimitusketjun turvallisuus, salaus, pääsynhallinta ja muut.
  • Häiriöiden raportointi — ennakkovaroitus kansalliselle CSIRT:lle 24 tunnin kuluessa merkittävästä häiriöstä, tarkempi ilmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa (Art. 23).
  • Hallinto ja vastuuvelvollisuus — johdon on hyväksyttävä ja valvottava toimenpiteet ja se voidaan saattaa vastuuseen; henkilöstön koulutusta odotetaan.
  • Rekisteröinti — monien toimijoiden on rekisteröidyttävä kansalliselle viranomaiselle ja annettava yhteys- ja toimialatietonsa.

Keskeiset ja tärkeät toimijat täyttävät saman perustason; luokka vaikuttaa lähinnä siihen, miten niitä valvotaan ja mitkä ovat enimmäisseuraamukset.

Lähde: Direktiivi (EU) 2022/2555 (NIS2), 2–3 artikla sekä liitteet I–II — tarkista maasi kansallinen täytäntöönpanolaki ja valvontaviranomainen sitovien yksityiskohtien osalta.

Miten norppa.io auttaa?

Kun tiedät, että toimittajasi kuuluvat soveltamisalaan — tai että asiakkaasi odottavat NIS2-tasoista varmuutta — norppa.io tarjoaa jatkuvan näytön, jota molemmat suunnat tarvitsevat. Jokainen seurattava toimittajadomain tarkistetaan 100+ tarkistuspisteessä päivittäin, kriittiset tapahtumat kuuden tunnin välein, ja löydökset kartoitetaan automaattisesti NIS2-artikloihin.

Itsearviointikyselyt (SAQ) lähetetään toimittajille suoraan norppa.io:sta ja yhdistyvät tekniseen riskiprofiiliin, joten prosessi- ja tekninen näyttö ovat samassa paikassa — valmiina asiakkaidesi due diligence -tarkastukseen tai valvontaviranomaisen auditointiin.

Katso, miltä NIS2-tasoinen seuranta näyttää

Esimerkkiraportti toimittajasta — löydökset, NIS2-kartoitus ja näyttö — kahdessa minuutissa.

Katso esimerkkiraportti

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.