Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Verkko- ja tietojärjestelmien kyberturvallisuus

TIIVISTELMÄ ASIAKIRJASTA:

Direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla EU:ssa

DIREKTIIVIN TARKOITUS

Direktiivissä (EU) 2022/2555, joka tunnetaan nimellä NIS 2 -direktiivi, vahvistetaan yhteinen kyberturvallisuuden sääntelykehys, jolla pyritään parantamaan kyberturvallisuuden tasoa Euroopan unionissa (EU). Siinä edellytetään EU:n jäsenvaltioita vahvistamaan kyberturvallisuusvalmiuksia ja ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä ja raportointia kriittisillä toimialoilla sekä yhteistyötä, tietojen vaihtamista, valvontaa ja täytäntöönpanoa koskevia sääntöjä.

TÄRKEIMMÄT KOHDAT

Kyberturvallisuudella tarkoitetaan toimia, joita tarvitaan verkko- ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta.

Kriittiset toimialat

Direktiiviä sovelletaan pääasiassa keskisuuriin ja suuriin toimijoihin, jotka toimivat sen liitteessä I määritellyillä erittäin kriittisillä toimialoilla. Näihin toimialoihin kuuluvat

  • energia:
    • sähkö, mukaan lukien tuotanto, jakelu- ja siirtoverkot sekä latauspisteet
    • kaukolämmitys ja -jäähdytys
    • öljy, mukaan lukien tuotanto, varastointi ja siirtoputkistot
    • kaasu, mukaan lukien toimitus, jakelu ja siirtoverkot ja varastointi
    • vety
  • ilma-, raide-, vesi- ja tieliikenne
  • pankkitoiminta ja finanssimarkkinoiden infrastruktuurit, kuten luottolaitokset, kauppapaikkojen ylläpitäjät ja keskusvastapuolet
  • terveys, mukaan lukien terveydenhuollon tarjoajat, lääkeaineiden ja kriittisten lääkinnällisten laitteiden valmistajat sekä EU:n vertailulaboratoriot
  • juomavesi
  • jätevesi
  • digitaalinen infrastruktuuri, mukaan lukien datakeskuspalvelujen, pilvipalvelujen, yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat
  • TVT-hallintapalvelut (yritysten välinen)
  • avaruus
  • julkishallinnon toimijat keskus- ja aluetasolla, lukuun ottamatta oikeuslaitosta, parlamentteja ja keskuspankkeja; direktiiviä ei sovelleta kansallisen ja yleisen turvallisuuden, puolustuksen tai lainvalvonnan aloilla toimiviin julkishallinnon toimijoihin.

Sitä sovelletaan myös liitteessä II määriteltyihin muihin kriittisiin aloihin, joihin kuuluvat

  • posti- ja kuriiripalvelut
  • jätehuolto
  • kemikaalien valmistus, tuotanto ja jakelu
  • elintarvikkeiden tuotanto, jalostus ja jakelu
  • erityisesti lääkinnällisten laitteiden, tietokoneiden, elektronisten ja optisten tuotteiden, tietyntyyppisten sähkölaitteiden ja koneiden, moottoriajoneuvojen sekä muiden kulkuneuvojen valmistus
  • digitaalisen palvelun tarjoajat, mukaan lukien verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat
  • tutkimusorganisaatiot.

Kansallinen kyberturvallisuusstrategia

Jokaisen jäsenvaltion on hyväksyttävä kansallinen strategia kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi kriittisillä toimialoilla, mukaan lukien

  • hallintokehys selventämään asiaankuuluvien sidosryhmien tehtäviä ja vastuita kansallisella tasolla
  • toimintaperiaatteet toimitusketjujen turvaamiseksi
  • toimintaperiaatteet haavoittuvuuksien hallitsemiseksi
  • toimintapolitiikka kyberturvallisuutta koskevan koulutuksen edistämiseksi ja kehittämiseksi
  • toimenpiteet parantamaan kansalaisten tietoisuutta kyberturvallisuudesta.

Jäsenvaltioiden on laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista mennessä. Niiden on tarkistettava luettelo ja tarvittaessa saatettava se ajan tasalle säännöllisesti ja vähintään kahden vuoden välein. Euroopan komissio on hyväksynyt ohjeet, jotka koskevat näiden luetteloiden laatimista varten kerättäviä tietoja, sekä mallin niiden keräämiseksi.

Komissio on myös antanut ohjeet, joissa selvennetään sääntöjä, jotka koskevat direktiivin (EU) 2022/2555 ja kyberturvallisuuteen liittyviä riskinhallintatoimenpiteitä tai poikkeamista ilmoittamista koskevia vaatimuksia käsittelevien nykyisten ja tulevien alakohtaisten EU:n säädösten välistä suhdetta. Ohjeiden lisäyksessä esitetään ohjeellinen luettelo alakohtaisista säädöksistä, joiden komissio katsoo kuuluvan direktiivin (EU) 2022/2555 4 artiklan soveltamisalaan.

Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt

Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt (CSIRT-yksiköt) antavat teknistä tukea toimijoille muun muassa

  • seuraamalla ja analysoimalla kyberuhkia, haavoittuvuuksia ja poikkeamia kansallisella tasolla
  • antamalla mahdollisuuksien mukaan lähes reaaliaikaisesti kyberuhkia, haavoittuvuuksia ja poikkeamia koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja keskeisille toimijoille ja muille asianomaisille sidosryhmille
  • reagoimalla poikkeamiin ja avustamalla tapauksen mukaan
  • keräämällä ja analysoimalla forensisia tietoja ja laatimalla dynaamisia riski- ja poikkeama-analyysejä sekä ylläpitämällä kyberturvallisuuden tilannekuvaa
  • suorittamalla pyynnöstä verkko- ja tietojärjestelmien ennakoivaa skannausta sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus.

CSIRT-verkosto

Direktiivillä perustetaan kansallisten CSIRT-yksiköiden verkosto edistämään ripeää ja toimivaa operatiivista yhteistyötä.

Koordinoitu haavoittuvuuksien julkistaminen

Jäsenvaltioiden on

  • nimettävä yksi CSIRT-yksiköistään koordinoimaan TVT-tuotteissa tai -palveluissa havaittujen haavoittuvuuksien julkistamista
  • varmistettava, että jäsenvaltioiden kansalaiset voivat pyydettäessä ilmoittaa haavoittuvuuksista nimettömästi.

Euroopan unionin kyberturvallisuusvirasto (ENISA) kehittää haavoittuvuustietokannan ja ylläpitää sitä.

Yhteistyöryhmä

Direktiivillä perustetaan yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa. Se koostuu jäsenvaltioiden, Euroopan komission ja Euroopan unionin kyberturvallisuusviraston edustajista. Yhteistyöryhmä voi tarvittaessa pyytää Euroopan parlamenttia ja asiaankuuluvien sidosryhmien edustajia osallistumaan työhönsä.

Euroopan kyberkriisien yhteysorganisaatioiden verkosto

Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe) koostuu jäsenvaltioiden kyberkriisinhallintaviranomaisten ja komission edustajista tapauksissa, joissa mahdollisella tai meneillään olevalla laajamittaisella kyberturvallisuuspoikkeamalla on tai todennäköisesti on merkittävä vaikutus direktiivin kattamiin toimialoihin. Muissa tapauksissa komissio osallistuu verkoston toimintaan tarkkailijana.

Verkosto tukee laajamittaisten kyberturvallisuuspoikkeamien ja kriisien koordinoitua hallintaa operatiivisella tasolla sekä varmistaa säännöllisen tietojenvaihdon jäsenvaltioiden ja EU:n toimielinten, elinten, laitosten ja virastojen välillä.

Verkoston tehtävänä on muun muassa

  • koordinoida laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintaa sekä tukea poliittisen tason päätöksentekoa
  • parantaa varautumista
  • kehittää yhteistä tilannekuvaa
  • arvioida laajamittaisten kyberturvallisuuspoikkeamien ja kriisien seurauksia ja vaikutuksia sekä ehdottaa mahdollisia toimenpiteitä niiden lieventämiseksi.

Kyberturvallisuusriskien hallintatoimenpiteet

Toimijoiden on toteutettava asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset kyberturvallisuusriskien hallintatoimenpiteet. Toimenpideluettelo sisältää muun muassa riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat, poikkeamien käsittelyn, toiminnan jatkuvuuden hallinnan, palautumissuunnittelun ja kriisinhallinnan, toimitusketjun turvallisuuden, haavoittuvuuksien käsittelyn ja julkistamisen, perustason hygieniakäytännöt, kryptografian (ja tarvittaessa salauksen) käyttöä koskevat toimintaperiaatteet ja menettelyt, henkilöstöturvallisuuden ja monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen käytön. Näiden toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin.

Hallintoelinten on hyväksyttävä kyseiset toimenpiteet ja valvottava niiden täytäntöönpanoa, ja ne voidaan saattaa vastuuseen rikkomuksista.

Kertomukset

Toimijoiden on ilmoitettava CSIRT-yksikölleen tai asiaankuuluvalle viranomaiselleen kaikista tapahtumista, jotka

  • ovat aiheuttaneet tai voivat aiheuttaa palvelujen vakavan toimintahäiriön tai toimijalle taloudellisia tappioita
  • ovat vaikuttaneet tai voivat vaikuttaa muihin henkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

ENISA laatii lisäksi yhdessä komission ja yhteistyöryhmän kanssa joka toinen vuosi kertomuksen kyberturvallisuuden tilasta EU:ssa, ja se toimitetaan myös parlamentille.

Valvonta ja täytäntöönpano

Direktiivissä säädetään oikeussuojakeinoista ja seuraamuksista täytäntöönpanon varmistamiseksi.

Vertaisarvioinnit

Vertaisarvioinneilla pyritään oppimaan yhteisistä kokemuksista, lujittamaan keskinäistä luottamusta, saavuttamaan korkea yhteinen kyberturvallisuuden taso ja kehittämään jäsenvaltioiden kyberturvallisuusvalmiuksia sekä tämän direktiivin täytäntöönpanon edellyttämiä toimintaperiaatteita. Vertaisarviointeihin sisältyy vierailuja toimipaikoissa tai virtuaalisia vierailuja ja muuta kuin paikalla toteutettavaa tietojenvaihtoa. Näihin vertaisarviointeihin osallistuminen on vapaaehtoista.

Täytäntöönpanosäädös

Täytäntöönpanoasetuksessa (EU) 2024/2690 vahvistetaan direktiivin (EU) 2022/2555 soveltamista koskevat säännöt kyberturvallisuusriskien hallintatoimenpiteiden teknisistä ja menetelmiin liittyvistä vaatimuksista ja täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi, seuraavia varten:

  • verkkotunnusjärjestelmäpalvelujen tarjoajat
  • aluetunnusrekisterit
  • pilvipalvelujen tarjoajat
  • datakeskuspalvelujen tarjoajat
  • sisällönjakeluverkkojen tarjoajat
  • hallintapalvelun tarjoajat
  • tietoturvapalveluntarjoajat
  • verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat sekä
  • luottamuspalvelun tarjoajat.

Kumoaminen

Direktiivillä (EU) 2022/2555 kumottiin direktiivi (EU) 2016/1148 (ks. tiivistelmä) alkaen, ja täytäntöönpanoasetuksella (EU) 2024/2690 kumottiin täytäntöönpanoasetus (EU) 2018/151, jossa vahvistettiin direktiivin (EU) 2016/1148 soveltamista koskevat säännöt.

MISTÄ ALKAEN SÄÄNTÖJÄ SOVELLETAAN?

Direktiivi piti saattaa osaksi kansallista lainsäädäntöä viimeistään . Sääntöjä on sovellettu alkaen.

TAUSTAA

Ks. lisätietoja:

ASIAKIRJA

Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu , toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, , s. 80–152).

Direktiiviin (EU) 2022/2555 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Päivitetty viimeksi:

Top