Direktiivissä, joka tunnetaan nimellä NIS 2 -direktiivi, vahvistetaan yhteinen kyberturvallisuuden sääntelykehys parantamaan kyberturvallisuuden tasoa Euroopan unionissa (EU). Sen tarkoituksena on vaatia EU:n jäsenvaltioita vahvistamaan kyberturvallisuusvalmiuksia ja ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä ja raportointia kriittisillä toimialoilla sekä yhteistyötä, tietojen vaihtamista, valvontaa ja täytäntöönpanoa koskevia sääntöjä.

TÄRKEIMMÄT KOHDAT

Kyberturvallisuudella tarkoitetaan toimia, joita tarvitaan verkko- ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta.

Kriittiset toimialat

Direktiiviä sovelletaan pääasiassa keskisuuriin ja suuriin toimijoihin, jotka toimivat liitteessä I määritellyillä erittäin kriittisillä toimialoilla. Näihin toimialoihin kuuluvat

energia:
- sähkö, mukaan lukien tuotanto, jakelu- ja siirtoverkot sekä latauspisteet
- kaukolämmitys ja -jäähdytys
- öljy, mukaan lukien tuotanto, varastointi ja siirtoputkistot
- kaasu, mukaan lukien toimitus, jakelu ja siirtoverkot ja varastointi
- vety
ilma-, raide-, vesi- ja tieliikenne
pankkitoiminta ja finanssimarkkinoiden infrastruktuurit, kuten luottolaitokset, kauppapaikkojen ylläpitäjät ja keskusvastapuolet
terveys, mukaan lukien terveydenhuollon tarjoajat, lääkeaineiden ja kriittisten lääkinnällisten laitteiden valmistajat sekä EU:n vertailulaboratoriot
juomavesi
jätevesi
digitaalinen infrastruktuuri, mukaan lukien datakeskuspalvelujen, pilvipalvelujen, yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat
TVT-hallintapalvelut (yritysten välinen)
avaruus
julkishallinnon toimijat keskus- ja aluetasolla, lukuun ottamatta oikeuslaitosta, parlamentteja ja keskuspankkeja sekä kansallisen ja yleisen turvallisuuden, puolustuksen tai lainvalvonnan aloilla toimivien julkishallinnon toimijoita.

Sitä sovelletaan myös liitteessä II määriteltyihin muihin kriittisiin aloihin, joihin kuuluvat

posti- ja kuriiripalvelut
jätehuolto
kemikaalien valmistus, tuotanto ja jakelu
elintarvikkeiden tuotanto, jalostus ja jakelu
erityisesti lääkinnällisten laitteiden, tietokoneiden, elektronisten ja optisten tuotteiden, tietyntyyppisten sähkölaitteiden ja koneiden, moottoriajoneuvojen sekä muiden kulkuneuvojen valmistus
digitaalisen palvelun tarjoajat, mukaan lukien verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat
tutkimusorganisaatiot.

Kansallinen kyberturvallisuusstrategia

Jokaisen jäsenvaltion on hyväksyttävä kansallinen strategia kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi kriittisillä toimialoilla, mukaan lukien

hallintokehys selventämään asiaankuuluvien sidosryhmien tehtäviä ja vastuita kansallisella tasolla
toimintaperiaatteet toimitusketjujen turvaamiseksi
toimintaperiaatteet haavoittuvuuksien hallitsemiseksi
toimintapolitiikka kyberturvallisuutta koskevan koulutuksen edistämiseksi ja kehittämiseksi
toimenpiteet parantamaan kansalaisten tietoisuutta kyberturvallisuudesta.

Jäsenvaltioiden on laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista 17. huhtikuuta 2025 mennessä. Niiden on tarkistettava ja tarvittaessa päivitettävä luettelo säännöllisesti ja vähintään kahden vuoden välein. Euroopan komissio on hyväksynyt ohjeet, jotka koskevat näiden luetteloiden laatimista varten kerättäviä tietoja, sekä mallin niiden keräämiseksi.

Komissio on myös antanut ohjeet, joissa selvennetään sääntöjä, jotka koskevat direktiivin (EU) 2022/2555 ja kyberturvallisuuteen liittyviä riskinhallintatoimenpiteitä tai poikkeamista ilmoittamista koskevia vaatimuksia käsittelevien nykyisten ja tulevien alakohtaisten EU:n säädösten välistä suhdetta. Ohjeiden lisäyksessä esitetään ohjeellinen luettelo alakohtaisista säädöksistä, joiden komissio katsoo kuuluvan direktiivin (EU) 2022/2555 soveltamisalaan.

Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt

Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt (CSIRT-yksiköt) antavat teknistä tukea toimijoille muun muassa

seuraamalla ja analysoimalla kyberuhkia, haavoittuvuuksia ja poikkeamia kansallisella tasolla
antamalla mahdollisuuksien mukaan lähes reaaliaikaisesti kyberuhkia, haavoittuvuuksia ja poikkeamia koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja keskeisille toimijoille ja muille asianomaisille sidosryhmille
reagoimalla poikkeamiin ja avustamalla tapauksen mukaan
keräämällä ja analysoimalla forensisia tietoja ja laatimalla dynaamisia riski- ja poikkeama-analyysejä sekä ylläpitämällä kyberturvallisuuden tilannekuvaa
suorittamalla pyynnöstä verkko- ja tietojärjestelmien ennakoivaa skannausta sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus.

CSIRT-verkosto

Direktiivillä perustetaan kansallisten CSIRT-yksiköiden verkosto edistämään ripeää ja toimivaa operatiivista yhteistyötä.

Koordinoitu haavoittuvuuksien julkistaminen

Jäsenvaltioiden on

nimettävä yksi CSIRT-yksiköistään koordinoimaan TVT-tuotteissa tai -palveluissa havaittujen haavoittuvuuksien julkistamista
varmistettava, että jäsenvaltioiden kansalaiset voivat pyydettäessä ilmoittaa haavoittuvuuksista nimettömästi.

Euroopan unionin kyberturvallisuusvirasto (ENISA) kehittää haavoittuvuustietokannan ja ylläpitää sitä.

Yhteistyöryhmä

Direktiivillä perustetaan yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa. Se koostuu jäsenvaltioiden, Euroopan komission ja Euroopan unionin kyberturvallisuusviraston edustajista. Yhteistyöryhmä voi tarvittaessa pyytää Euroopan parlamenttia ja asiaankuuluvien sidosryhmien edustajia osallistumaan työhönsä.

Euroopan kyberkriisien yhteysorganisaatioiden verkosto

Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe) on verkosto, joka koostuu jäsenvaltioiden kyberkriisinhallintaviranomaisten ja komission edustajista tapauksissa, joissa mahdollisella tai meneillään olevalla laajamittaisella kyberturvallisuuspoikkeamalla on tai on todennäköisesti merkittävä vaikutus direktiivin kattamiin toimialoihin. Muissa tapauksissa komissio osallistuu verkoston toimintaan tarkkailijana.

Verkosto tukee laajamittaisten kyberturvallisuuspoikkeamien ja kriisien koordinoitua hallintaa operatiivisella tasolla sekä varmistaa säännöllisen tietojenvaihdon jäsenvaltioiden ja EU:n toimielinten, laitosten ja virastojen välillä.

Verkoston tehtävänä on muun muassa

koordinoida laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintaa sekä tukea poliittisen tason päätöksentekoa
parantaa varautumista
kehittää yhteistä tilannekuvaa
arvioida laajamittaisten kyberturvallisuuspoikkeamien ja kriisien seurauksia ja vaikutuksia sekä ehdottaa mahdollisia toimenpiteitä niiden lieventämiseksi.

Raportointi

Toimijoiden on ilmoitettava CSIRT-yksikölleen tai asiaankuuluvalle viranomaiselleen kaikista tapahtumista, jotka

voivat aiheuttaa palvelujen vakavan toimintahäiriön tai toimijalle taloudellisia tappioita
ovat vaikuttaneet tai voivat vaikuttaa muihin henkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Lisäksi ENISA laatii yhteistyössä komission ja yhteistyöryhmän kanssa joka toinen vuosi kertomuksen kyberturvallisuuden tilasta EU:ssa, ja se toimitetaan myös parlamentille.

Valvonta ja täytäntöönpano

Direktiivissä säädetään oikeussuojakeinoista ja seuraamuksista täytäntöönpanon varmistamiseksi.

Vertaisarvioinnit

Vertaisarvioinneilla pyritään oppimaan yhteisistä kokemuksista, lujittamaan keskinäistä luottamusta, saavuttamaan korkea yhteinen kyberturvallisuuden taso ja kehittämään jäsenvaltioiden kyberturvallisuusvalmiuksia sekä tämän direktiivin täytäntöönpanon edellyttämiä toimintaperiaatteita. Vertaisarviointeihin sisältyy fyysisiä tai virtuaalisia vierailuja toimipaikoissa ja muuta kuin paikalla toteutettavaa tietojenvaihtoa. Näihin vertaisarviointeihin osallistuminen on vapaaehtoista.

MISTÄ ALKAEN SÄÄNTÖJÄ SOVELLETAAN?

Direktiivi on saatettava osaksi kansallista lainsäädäntöä 17. lokakuuta 2024 mennessä. Sääntöjä sovelletaan 18. lokakuuta 2024 alkaen.

TAUSTAA

Direktiivillä kumotaan direktiivi (EU) 2016/1148 (ks. tiivistelmä) 18. lokakuuta 2024 alkaen.

Ks. lisätietoja:

Kyberturvallisuus (Euroopan komissio)
Kyberturvallisuus: Miten EU torjuu kyberuhkia? (Eurooppa-neuvosto, Euroopan unionin neuvosto)
EU:n keinot reagoida kriiseihin ja vahvistaa häiriönsietokykyä (Eurooppa-neuvosto, Euroopan unionin neuvosto)
Euroopan digitaalinen tulevaisuus (Eurooppa-neuvosto, Euroopan unionin neuvosto).

ASIAKIRJA

Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80–152).

Direktiiviin (EU) 2022/2555 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Komission tiedonanto – Komission ohjeet direktiivin (EU) 2022/2555 (NIS 2 -direktiivi) 3 artiklan 4 kohdan soveltamisesta 2023/C 324/02 (EUVL L 324, 14.9.2023, s. 2–7).

Komission tiedonanto – Komission ohjeet direktiivin (EU) 2022/2555 (NIS 2 -direktiivi) 4 artiklan 1 ja 2 kohdan soveltamisesta 2023/C 328/02 (EUVL L 328, 18.9.2023, s. 2–10).

Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu 14 päivänä joulukuuta 2022, finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, 27.12.2022, s. 1–79).

Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164–198).

Euroopan parlamentin ja neuvoston asetus (EU) 2021/696, annettu 28 päivänä huhtikuuta 2021, unionin avaruusohjelman ja Euroopan unionin avaruusohjelmaviraston perustamisesta sekä asetusten (EU) N:o 912/2010, (EU) N:o 1285/2013 ja (EU) N:o 377/2014 ja päätöksen N:o 541/2014/EU kumoamisesta (EUVL L 170, 12.5.2021, s. 69–148).

Euroopan parlamentin ja neuvoston asetus (EU) 2021/694, annettu 29 päivänä huhtikuuta 2021, Digitaalinen Eurooppa -ohjelman perustamisesta ja päätöksen (EU) 2015/2240 kumoamisesta (EUVL L 166, 11.5.2021, s. 1–34).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15–69).

Komission suositus (EU) 2019/534, annettu 26 päivänä maaliskuuta 2019, 5G-verkkojen kyberturvallisuudesta (EUVL L 88, 29.3.2019, s. 42–47).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139, annettu 4 päivänä heinäkuuta 2018, yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta (EUVL L 212, 22.8.2018, s. 1–122).

Ks. konsolidoitu toisinto.

Neuvoston täytäntöönpanopäätös (EU) 2018/1993, annettu 11 päivänä joulukuuta 2018, EU:n poliittisen kriisitoiminnan integroiduista järjestelyistä (EUVL L 320, 17.12.2018, s. 28–34).

Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/1972, annettu 11 päivänä joulukuuta 2018 eurooppalaisesta sähköisen viestinnän säännöstöstä (uudelleenlaadittu) (EUVL L 321, 17.12.2018, s. 36–214).

Ks. konsolidoitu toisinto.

Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36–58).

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 73–114).

Euroopan parlamentin ja neuvoston direktiivi 2013/40/EU, annettu 12 päivänä elokuuta 2013, tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS korvaamisesta (EUVL L 218, 14.8.2013, s. 8–14).

Euroopan parlamentin ja neuvoston päätös N:o 1313/2013/EU, annettu 17 päivänä joulukuuta 2013, unionin pelastuspalvelumekanismista (EUVL L 347, 20.12.2013, s. 924–947).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston direktiivi 2011/93/EU, annettu 13 päivänä joulukuuta 2011, lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumisesta ja neuvoston puitepäätöksen 2004/68/YOS korvaamisesta (EUVL L 335, 17.12.2011, s. 1–14).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 300/2008, annettu 11 päivänä maaliskuuta 2008, yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta (EUVL L 97, 9.4.2008, s. 72–84).

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37–47).

Ks. konsolidoitu toisinto.

Viimeisin päivitys: 03.05.2024

Top