norppa.io
Oppaat

NIS2-opas · 7 min

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

NIS2 tekee jotain, mitä aiempi kyberlainsäädäntö ei juuri tehnyt: se tuo kyberturvallisuuden nimenomaisesti johdon pöydälle. Johdon on hyväksyttävä riskienhallintatoimenpiteet, valvottava niitä ja se voi joutua henkilökohtaiseen vastuuseen, jos ne laiminlyödään. Tämä opas kertoo, mitä direktiivi odottaa hallitukselta ja johdolta, mitä kysyä tietoturvatiimiltä, millaista on hyvä raportointi ja mitä virheet maksavat.

Keskeiset poiminnat

  • Johdon on hyväksyttävä ja valvottava kyberturvallisuuden riskienhallintatoimenpiteitä — ja se voi joutua vastuuseen laiminlyönneistä (art. 20).
  • Johdon on osallistuttava kyberturvakoulutukseen; velvollisuutta ei voi täysin delegoida IT:lle.
  • Seuraamukset yltävät keskeisillä toimijoilla 10 milj. € tai 2 %:iin globaalista liikevaihdosta, tärkeillä 7 milj. € tai 1,4 %:iin (art. 34).
  • Hallituksen tulee odottaa tiivistä, näyttöön perustuvaa raportointia — kattavuus, korjausnopeus ja avoin riski — ei kerran vuodessa annettua vakuuttelua.

Johto on nimetty ja vastuussa

Artiklan 20 mukaan keskeisen tai tärkeän toimijan johdon on hyväksyttävä toimijan kyberturvallisuuden riskienhallintatoimenpiteet ja valvottava niiden toteutusta. Tämä ei ole delegoitavissa oleva muodollisuus: direktiivi tekee johdosta vastuullisen siitä, että toimenpiteet ovat todella käytössä ja toimivat.

Olennaista on, että johdon jäsenet voivat joutua vastuuseen toimijan rikkomuksista. Vastuu on kirjattu itse direktiiviin; sen tarkka muoto riippuu kansallisesta täytäntöönpanosta. Kyberturvallisuus on siten hallintotapakysymys, ei vain IT-kysymys — se kuuluu hallituksen asialistalle talous- ja oikeudellisen riskin rinnalle.

Johdon neljä velvollisuutta

Käytännössä direktiivin hallintotapaodotukset tiivistyvät neljään asiaan, jotka johdon on tehtävä:

  • Hyväksy toimenpiteet — vahvista riskienhallintatoimenpiteet (art. 21 -perustaso) riittävällä ymmärryksellä siitä, mitä olet hyväksymässä.
  • Valvo toteutusta — varmista, että toimenpiteet on todella otettu käyttöön ja että ne ovat ajan myötä tehokkaita, ja että hallitukselle raportoidaan säännöllisesti.
  • Osallistu koulutukseen — jäsenten on osallistuttava kyberturvakoulutukseen voidakseen tunnistaa riskit ja arvioida toimenpiteiden riittävyyttä (art. 20(2)); vastaavaa koulutusta tulee tarjota henkilöstölle.
  • Kanna vastuu — omista lopputulos. Vastuu laiminlyönneistä on johdolla, ja valvontaviranomaiset voivat kohdistaa toimia suoraan johtoon.

Kysymyksiä tietoturvatiimille

Valvonnan harjoittaminen ei edellytä tietoturvainsinöörin osaamista. Hallitus voi täyttää suuren osan velvollisuudestaan esittämällä oikeat kysymykset ja edellyttämällä näyttöön perustuvia vastauksia:

Kuulummeko soveltamisalaan keskeisenä tai tärkeänä toimijana — ja ketkä asiakkaistamme kuuluvat, mikä siirtää velvoitteita meille sopimuksin?
Ovatko art. 21 -toimenpiteet käytössä, ja milloin tämä toimielin viimeksi tarkasti ja hyväksyi ne?
Pystymmekö täyttämään 24 tunnin / 72 tunnin ilmoitusmääräajat, jos poikkeama — myös toimittajalla tapahtunut — vaikuttaa palveluihimme?
Miten hallitsemme toimittaja- ja kolmannen osapuolen kyberriskiä, ja miten todistaisimme sen valvontatarkastuksessa?
Mitkä ovat tärkeimmät avoimet riskimme juuri nyt, ja kuka vastaa korjauksesta ja mihin mennessä?

Millaista on hyvä hallitusraportointi

Valvonta tarvitsee signaalia, ei 60-sivuista liitettä. Hyödyllinen NIS2-raportointi hallitukselle on lyhyt, ajassa vertailukelpoinen ja näyttöön perustuva:

Kattavuus

Kuinka suurta osaa soveltamisalan toimittajista ja resursseista todella valvotaan — yllätykset tulevat aukoista.

Korjausnopeus

Kriittisten ja korkeiden löydösten keskimääräinen korjausaika — kehityssuunta merkitsee enemmän kuin yksittäinen luku.

Avoin riski

Nykyiset kriittiset/korkeat löydökset ja dokumentoidut, hyväksytyt riskit — NIS2 odottaa hallittua riskiä, ei nollaa löydöstä.

Poikkeamavalmius

Voidaanko ilmoitusmääräajat täyttää, ja onko niitä harjoiteltu, myös toimittajan aiheuttamien poikkeamien osalta?

Mitä virhe maksaa — ja mitä onnistuminen

Artiklan 34 mukaiset seuraamukset yltävät keskeisillä toimijoilla enintään 10 milj. €:oon tai 2 %:iin maailmanlaajuisesta vuotuisesta liikevaihdosta (kumpi on suurempi) ja tärkeillä toimijoilla enintään 7 milj. €:oon tai 1,4 %:iin. Valvontaviranomaiset voivat myös antaa sitovia ohjeita, määrätä poikkeamista ilmoitettavaksi ja — keskeisten toimijoiden osalta — keskeyttää väliaikaisesti johtotehtävien hoitamisen. Johdolle maine- ja henkilövastuuriski voi painaa enemmän kuin itse sakko.

Hyvin tehtynä kyse on usein pikemminkin olemassa olevien kontrollien suuntaamisesta kuin uudesta kulusta: art. 21 -toimenpiteet menevät pitkälti päällekkäin kontrollien kanssa, joita monet organisaatiot jo ylläpitävät (ISO 27001, jatkuvuus, pääsynhallinta). NIS2:n pakottama muutos on siirtyminen kertaluonteisesta vakuuttelusta jatkuvaan, näyttöön perustuvaan hallintaan — mikä tekee myös valvontaraportoinnista aidosti informatiivista eikä muodollisuus.

Lähde: Direktiivi (EU) 2022/2555 (NIS2), artiklat 20 ja 34 — tarkista kansallisesta täytäntöönpanolaista maasi tarkat vastuu- ja koulutussäännökset.

Miten norppa.io auttaa

norppa.io muuttaa toimittaja- ja kolmannen osapuolen kyberriskin näytöksi, jota hallitus voi oikeasti käyttää: selkeä riskipistemäärä per toimittaja, löydökset kartoitettuna NIS2-artikloihin ja kuukausittainen johtoraportti, joka on suunniteltu johdolle eikä insinööreille.

Kattavuus, korjaushistoria ja avoin riski näkyvät yhdellä silmäyksellä, ja koko kirjausketju on vietävissä ulos — niin johto voi osoittaa aktiivisen valvonnan, ja sama näyttö vastaa valvontaviranomaisen kysymyksiin.

Anna hallituksellesi näyttöä, ei väitteitä

Katso johdon toimittajaraportti — riskipisteet, NIS2-kartoitus ja näyttö — kahdessa minuutissa.

Katso malliraportti

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

ISO 27001 ja NIS2: mitä ISMS jo kattaa — ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus — ja miten aukko suljetaan.