This document is an excerpt from the EUR-Lex website
Cybersecurity of network and information systems (2022)
Verkko- ja tietojärjestelmien kyberturvallisuus (2022)
Verkko- ja tietojärjestelmien kyberturvallisuus (2022)
Direktiivissä, joka tunnetaan nimellä NIS 2 -direktiivi, vahvistetaan yhteinen kyberturvallisuuden sääntelykehys parantamaan kyberturvallisuuden tasoa Euroopan unionissa (EU). Sen tarkoituksena on vaatia EU:n jäsenvaltioita vahvistamaan kyberturvallisuusvalmiuksia ja ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä ja raportointia kriittisillä toimialoilla sekä yhteistyötä, tietojen vaihtamista, valvontaa ja täytäntöönpanoa koskevia sääntöjä.
Kyberturvallisuudella tarkoitetaan toimia, joita tarvitaan verkko- ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta.
Kriittiset toimialat
Direktiiviä sovelletaan pääasiassa keskisuuriin ja suuriin toimijoihin, jotka toimivat liitteessä I määritellyillä erittäin kriittisillä toimialoilla. Näihin toimialoihin kuuluvat
Sitä sovelletaan myös liitteessä II määriteltyihin muihin kriittisiin aloihin, joihin kuuluvat
Kansallinen kyberturvallisuusstrategia
Jokaisen jäsenvaltion on hyväksyttävä kansallinen strategia kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi kriittisillä toimialoilla, mukaan lukien
Jäsenvaltioiden on laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista 17. huhtikuuta 2025 mennessä. Niiden on tarkistettava ja tarvittaessa päivitettävä luettelo säännöllisesti ja vähintään kahden vuoden välein. Euroopan komissio on hyväksynyt ohjeet, jotka koskevat näiden luetteloiden laatimista varten kerättäviä tietoja, sekä mallin niiden keräämiseksi.
Komissio on myös antanut ohjeet, joissa selvennetään sääntöjä, jotka koskevat direktiivin (EU) 2022/2555 ja kyberturvallisuuteen liittyviä riskinhallintatoimenpiteitä tai poikkeamista ilmoittamista koskevia vaatimuksia käsittelevien nykyisten ja tulevien alakohtaisten EU:n säädösten välistä suhdetta. Ohjeiden lisäyksessä esitetään ohjeellinen luettelo alakohtaisista säädöksistä, joiden komissio katsoo kuuluvan direktiivin (EU) 2022/2555 soveltamisalaan.
Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt
Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt (CSIRT-yksiköt) antavat teknistä tukea toimijoille muun muassa
CSIRT-verkosto
Direktiivillä perustetaan kansallisten CSIRT-yksiköiden verkosto edistämään ripeää ja toimivaa operatiivista yhteistyötä.
Koordinoitu haavoittuvuuksien julkistaminen
Jäsenvaltioiden on
Euroopan unionin kyberturvallisuusvirasto (ENISA) kehittää haavoittuvuustietokannan ja ylläpitää sitä.
Yhteistyöryhmä
Direktiivillä perustetaan yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa. Se koostuu jäsenvaltioiden, Euroopan komission ja Euroopan unionin kyberturvallisuusviraston edustajista. Yhteistyöryhmä voi tarvittaessa pyytää Euroopan parlamenttia ja asiaankuuluvien sidosryhmien edustajia osallistumaan työhönsä.
Euroopan kyberkriisien yhteysorganisaatioiden verkosto
Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe) on verkosto, joka koostuu jäsenvaltioiden kyberkriisinhallintaviranomaisten ja komission edustajista tapauksissa, joissa mahdollisella tai meneillään olevalla laajamittaisella kyberturvallisuuspoikkeamalla on tai on todennäköisesti merkittävä vaikutus direktiivin kattamiin toimialoihin. Muissa tapauksissa komissio osallistuu verkoston toimintaan tarkkailijana.
Verkosto tukee laajamittaisten kyberturvallisuuspoikkeamien ja kriisien koordinoitua hallintaa operatiivisella tasolla sekä varmistaa säännöllisen tietojenvaihdon jäsenvaltioiden ja EU:n toimielinten, laitosten ja virastojen välillä.
Verkoston tehtävänä on muun muassa
Raportointi
Toimijoiden on ilmoitettava CSIRT-yksikölleen tai asiaankuuluvalle viranomaiselleen kaikista tapahtumista, jotka
Lisäksi ENISA laatii yhteistyössä komission ja yhteistyöryhmän kanssa joka toinen vuosi kertomuksen kyberturvallisuuden tilasta EU:ssa, ja se toimitetaan myös parlamentille.
Valvonta ja täytäntöönpano
Direktiivissä säädetään oikeussuojakeinoista ja seuraamuksista täytäntöönpanon varmistamiseksi.
Vertaisarvioinnit
Vertaisarvioinneilla pyritään oppimaan yhteisistä kokemuksista, lujittamaan keskinäistä luottamusta, saavuttamaan korkea yhteinen kyberturvallisuuden taso ja kehittämään jäsenvaltioiden kyberturvallisuusvalmiuksia sekä tämän direktiivin täytäntöönpanon edellyttämiä toimintaperiaatteita. Vertaisarviointeihin sisältyy fyysisiä tai virtuaalisia vierailuja toimipaikoissa ja muuta kuin paikalla toteutettavaa tietojenvaihtoa. Näihin vertaisarviointeihin osallistuminen on vapaaehtoista.
Direktiivi on saatettava osaksi kansallista lainsäädäntöä 17. lokakuuta 2024 mennessä. Sääntöjä sovelletaan 18. lokakuuta 2024 alkaen.
Direktiivillä kumotaan direktiivi (EU) 2016/1148 (ks. tiivistelmä) 18. lokakuuta 2024 alkaen.
Ks. lisätietoja:
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80–152).
Direktiiviin (EU) 2022/2555 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.
Komission tiedonanto – Komission ohjeet direktiivin (EU) 2022/2555 (NIS 2 -direktiivi) 3 artiklan 4 kohdan soveltamisesta 2023/C 324/02 (EUVL L 324, 14.9.2023, s. 2–7).
Komission tiedonanto – Komission ohjeet direktiivin (EU) 2022/2555 (NIS 2 -direktiivi) 4 artiklan 1 ja 2 kohdan soveltamisesta 2023/C 328/02 (EUVL L 328, 18.9.2023, s. 2–10).
Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1–79).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164–198).
Euroopan parlamentin ja neuvoston asetus (EU) 2021/696, annettu 28 päivänä huhtikuuta 2021, unionin avaruusohjelman ja Euroopan unionin avaruusohjelmaviraston perustamisesta sekä asetusten (EU) N:o 912/2010, (EU) N:o 1285/2013 ja (EU) N:o 377/2014 ja päätöksen N:o 541/2014/EU kumoamisesta (EUVL L 170, 12.5.2021, s. 69–148).
Euroopan parlamentin ja neuvoston asetus (EU) 2021/694, annettu 29 päivänä huhtikuuta 2021, Digitaalinen Eurooppa -ohjelman perustamisesta ja päätöksen (EU) 2015/2240 kumoamisesta (EUVL L 166, 11.5.2021, s. 1–34).
Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15–69).
Komission suositus (EU) 2019/534, annettu 26 päivänä maaliskuuta 2019, 5G-verkkojen kyberturvallisuudesta (EUVL L 88, 29.3.2019, s. 42–47).
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139, annettu 4 päivänä heinäkuuta 2018, yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta (EUVL L 212, 22.8.2018, s. 1–122).
Neuvoston täytäntöönpanopäätös (EU) 2018/1993, annettu 11 päivänä joulukuuta 2018, EU:n poliittisen kriisitoiminnan integroiduista järjestelyistä (EUVL L 320, 17.12.2018, s. 28–34).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/1972, annettu 11 päivänä joulukuuta 2018 eurooppalaisesta sähköisen viestinnän säännöstöstä (uudelleenlaadittu) (EUVL L 321, 17.12.2018, s. 36–214).
Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36–58).
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88).
Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 73–114).
Euroopan parlamentin ja neuvoston direktiivi 2013/40/EU, annettu 12 päivänä elokuuta 2013, tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS korvaamisesta (EUVL L 218, 14.8.2013, s. 8–14).
Euroopan parlamentin ja neuvoston päätös N:o 1313/2013/EU, annettu 17 päivänä joulukuuta 2013, unionin pelastuspalvelumekanismista (EUVL L 347, 20.12.2013, s. 924–947).
Euroopan parlamentin ja neuvoston direktiivi 2011/93/EU, annettu 13 päivänä joulukuuta 2011, lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumisesta ja neuvoston puitepäätöksen 2004/68/YOS korvaamisesta (EUVL L 335, 17.12.2011, s. 1–14).
Euroopan parlamentin ja neuvoston asetus (EU) N:o 300/2008, annettu 11 päivänä maaliskuuta 2008, yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta (EUVL L 97, 9.4.2008, s. 72–84).
Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37–47).
Viimeisin päivitys: 03.05.2024