Direktiivissä (EU) 2022/2555, joka tunnetaan nimellä NIS 2 -direktiivi, vahvistetaan yhteinen kyberturvallisuuden sääntelykehys, jolla pyritään parantamaan kyberturvallisuuden tasoa Euroopan unionissa (EU). Siinä edellytetään EU:n jäsenvaltioita vahvistamaan kyberturvallisuusvalmiuksia ja ottamaan käyttöön kyberturvallisuusriskien hallintatoimenpiteitä ja raportointia kriittisillä toimialoilla sekä yhteistyötä, tietojen vaihtamista, valvontaa ja täytäntöönpanoa koskevia sääntöjä.
TÄRKEIMMÄT KOHDAT
Kyberturvallisuudella tarkoitetaan toimia, joita tarvitaan verkko- ja tietojärjestelmien, tällaisten järjestelmien käyttäjien ja muiden asianosaisten henkilöiden suojaamiseksi kyberuhilta.
Kriittiset toimialat
Direktiiviä sovelletaan pääasiassa keskisuuriin ja suuriin toimijoihin, jotka toimivat sen liitteessä I määritellyillä erittäin kriittisillä toimialoilla. Näihin toimialoihin kuuluvat
energia:
sähkö, mukaan lukien tuotanto, jakelu- ja siirtoverkot sekä latauspisteet
kaukolämmitys ja -jäähdytys
öljy, mukaan lukien tuotanto, varastointi ja siirtoputkistot
kaasu, mukaan lukien toimitus, jakelu ja siirtoverkot ja varastointi
vety
ilma-, raide-, vesi- ja tieliikenne
pankkitoiminta ja finanssimarkkinoiden infrastruktuurit, kuten luottolaitokset, kauppapaikkojen ylläpitäjät ja keskusvastapuolet
terveys, mukaan lukien terveydenhuollon tarjoajat, lääkeaineiden ja kriittisten lääkinnällisten laitteiden valmistajat sekä EU:n vertailulaboratoriot
juomavesi
jätevesi
digitaalinen infrastruktuuri, mukaan lukien datakeskuspalvelujen, pilvipalvelujen, yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat
TVT-hallintapalvelut (yritysten välinen)
avaruus
julkishallinnon toimijat keskus- ja aluetasolla, lukuun ottamatta oikeuslaitosta, parlamentteja ja keskuspankkeja; direktiiviä ei sovelleta kansallisen ja yleisen turvallisuuden, puolustuksen tai lainvalvonnan aloilla toimiviin julkishallinnon toimijoihin.
Sitä sovelletaan myös liitteessä II määriteltyihin muihin kriittisiin aloihin, joihin kuuluvat
posti- ja kuriiripalvelut
jätehuolto
kemikaalien valmistus, tuotanto ja jakelu
elintarvikkeiden tuotanto, jalostus ja jakelu
erityisesti lääkinnällisten laitteiden, tietokoneiden, elektronisten ja optisten tuotteiden, tietyntyyppisten sähkölaitteiden ja koneiden, moottoriajoneuvojen sekä muiden kulkuneuvojen valmistus
digitaalisen palvelun tarjoajat, mukaan lukien verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat
tutkimusorganisaatiot.
Kansallinen kyberturvallisuusstrategia
Jokaisen jäsenvaltion on hyväksyttävä kansallinen strategia kyberturvallisuuden korkean tason saavuttamiseksi ja ylläpitämiseksi kriittisillä toimialoilla, mukaan lukien
hallintokehys selventämään asiaankuuluvien sidosryhmien tehtäviä ja vastuita kansallisella tasolla
toimintapolitiikka kyberturvallisuutta koskevan koulutuksen edistämiseksi ja kehittämiseksi
toimenpiteet parantamaan kansalaisten tietoisuutta kyberturvallisuudesta.
Jäsenvaltioiden on laadittava luettelo keskeisistä ja tärkeistä toimijoista sekä verkkotunnusten rekisteröintipalveluja tarjoavista toimijoista mennessä. Niiden on tarkistettava luettelo ja tarvittaessa saatettava se ajan tasalle säännöllisesti ja vähintään kahden vuoden välein. Euroopan komissio on hyväksynyt ohjeet, jotka koskevat näiden luetteloiden laatimista varten kerättäviä tietoja, sekä mallin niiden keräämiseksi.
Komissio on myös antanut ohjeet, joissa selvennetään sääntöjä, jotka koskevat direktiivin (EU) 2022/2555 ja kyberturvallisuuteen liittyviä riskinhallintatoimenpiteitä tai poikkeamista ilmoittamista koskevia vaatimuksia käsittelevien nykyisten ja tulevien alakohtaisten EU:n säädösten välistä suhdetta. Ohjeiden lisäyksessä esitetään ohjeellinen luettelo alakohtaisista säädöksistä, joiden komissio katsoo kuuluvan direktiivin (EU) 2022/2555 4 artiklan soveltamisalaan.
Tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt (CSIRT-yksiköt) antavat teknistä tukea toimijoille muun muassa
seuraamalla ja analysoimalla kyberuhkia, haavoittuvuuksia ja poikkeamia kansallisella tasolla
antamalla mahdollisuuksien mukaan lähes reaaliaikaisesti kyberuhkia, haavoittuvuuksia ja poikkeamia koskevia ennakkovaroituksia, hälytyksiä, ilmoituksia ja tietoja keskeisille toimijoille ja muille asianomaisille sidosryhmille
reagoimalla poikkeamiin ja avustamalla tapauksen mukaan
keräämällä ja analysoimalla forensisia tietoja ja laatimalla dynaamisia riski- ja poikkeama-analyysejä sekä ylläpitämällä kyberturvallisuuden tilannekuvaa
suorittamalla pyynnöstä verkko- ja tietojärjestelmien ennakoivaa skannausta sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus.
Direktiivillä perustetaan yhteistyöryhmä tukemaan ja helpottamaan strategista yhteistyötä ja tietojenvaihtoa. Se koostuu jäsenvaltioiden, Euroopan komission ja Euroopan unionin kyberturvallisuusviraston edustajista. Yhteistyöryhmä voi tarvittaessa pyytää Euroopan parlamenttia ja asiaankuuluvien sidosryhmien edustajia osallistumaan työhönsä.
Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe) koostuu jäsenvaltioiden kyberkriisinhallintaviranomaisten ja komission edustajista tapauksissa, joissa mahdollisella tai meneillään olevalla laajamittaisella kyberturvallisuuspoikkeamalla on tai todennäköisesti on merkittävä vaikutus direktiivin kattamiin toimialoihin. Muissa tapauksissa komissio osallistuu verkoston toimintaan tarkkailijana.
Verkosto tukee laajamittaisten kyberturvallisuuspoikkeamien ja kriisien koordinoitua hallintaa operatiivisella tasolla sekä varmistaa säännöllisen tietojenvaihdon jäsenvaltioiden ja EU:n toimielinten, elinten, laitosten ja virastojen välillä.
Verkoston tehtävänä on muun muassa
koordinoida laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintaa sekä tukea poliittisen tason päätöksentekoa
parantaa varautumista
kehittää yhteistä tilannekuvaa
arvioida laajamittaisten kyberturvallisuuspoikkeamien ja kriisien seurauksia ja vaikutuksia sekä ehdottaa mahdollisia toimenpiteitä niiden lieventämiseksi.
Kyberturvallisuusriskien hallintatoimenpiteet
Toimijoiden on toteutettava asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset kyberturvallisuusriskien hallintatoimenpiteet. Toimenpideluettelo sisältää muun muassa riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat, poikkeamien käsittelyn, toiminnan jatkuvuuden hallinnan, palautumissuunnittelun ja kriisinhallinnan, toimitusketjun turvallisuuden, haavoittuvuuksien käsittelyn ja julkistamisen, perustason hygieniakäytännöt, kryptografian (ja tarvittaessa salauksen) käyttöä koskevat toimintaperiaatteet ja menettelyt, henkilöstöturvallisuuden ja monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen käytön. Näiden toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin.
Hallintoelinten on hyväksyttävä kyseiset toimenpiteet ja valvottava niiden täytäntöönpanoa, ja ne voidaan saattaa vastuuseen rikkomuksista.
Kertomukset
Toimijoiden on ilmoitettava CSIRT-yksikölleen tai asiaankuuluvalle viranomaiselleen kaikista tapahtumista, jotka
ovat aiheuttaneet tai voivat aiheuttaa palvelujen vakavan toimintahäiriön tai toimijalle taloudellisia tappioita
ovat vaikuttaneet tai voivat vaikuttaa muihin henkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.
ENISA laatii lisäksi yhdessä komission ja yhteistyöryhmän kanssa joka toinen vuosi kertomuksen kyberturvallisuuden tilasta EU:ssa, ja se toimitetaan myös parlamentille.
Valvonta ja täytäntöönpano
Direktiivissä säädetään oikeussuojakeinoista ja seuraamuksista täytäntöönpanon varmistamiseksi.
Vertaisarvioinnit
Vertaisarvioinneilla pyritään oppimaan yhteisistä kokemuksista, lujittamaan keskinäistä luottamusta, saavuttamaan korkea yhteinen kyberturvallisuuden taso ja kehittämään jäsenvaltioiden kyberturvallisuusvalmiuksia sekä tämän direktiivin täytäntöönpanon edellyttämiä toimintaperiaatteita. Vertaisarviointeihin sisältyy vierailuja toimipaikoissa tai virtuaalisia vierailuja ja muuta kuin paikalla toteutettavaa tietojenvaihtoa. Näihin vertaisarviointeihin osallistuminen on vapaaehtoista.
Täytäntöönpanoasetuksessa (EU) 2024/2690 vahvistetaan direktiivin (EU) 2022/2555 soveltamista koskevat säännöt kyberturvallisuusriskien hallintatoimenpiteidenteknisistä ja menetelmiin liittyvistä vaatimuksista ja täsmennetään tapaukset, joissa poikkeama katsotaan merkittäväksi, seuraavia varten:
verkkotunnusjärjestelmäpalvelujen tarjoajat
aluetunnusrekisterit
pilvipalvelujen tarjoajat
datakeskuspalvelujen tarjoajat
sisällönjakeluverkkojen tarjoajat
hallintapalvelun tarjoajat
tietoturvapalveluntarjoajat
verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat sekä
luottamuspalvelun tarjoajat.
Kumoaminen
Direktiivillä (EU) 2022/2555 kumottiin direktiivi (EU) 2016/1148 (ks. tiivistelmä) alkaen, ja täytäntöönpanoasetuksella (EU) 2024/2690 kumottiin täytäntöönpanoasetus (EU) 2018/151, jossa vahvistettiin direktiivin (EU) 2016/1148 soveltamista koskevat säännöt.
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu , toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, , s. 80–152).
Direktiiviin (EU) 2022/2555 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen tekstiin. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.
MUUT ASIAAN LIITTYVÄT ASIAKIRJAT
Komission täytäntöönpanoasetus (EU) 2024/2690, annettu , direktiivin (EU) 2022/2555 soveltamista koskevista säännöistä DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia varten siltä osin kuin on kyse kyberturvallisuusriskien hallintatoimenpiteiden teknisistä ja menetelmiin liittyvistä vaatimuksista ja sellaisten tapausten täsmentämisestä, joissa poikkeama katsotaan merkittäväksi (EUVL L, 2024/2690, ).
Komission tiedonanto – Komission ohjeet direktiivin (EU) 2022/2555 (NIS 2 -direktiivi) 4 artiklan 1 ja 2 kohdan soveltamisesta 2023/C 328/02 (EUVL L 328, , s. 2–10).
Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554, annettu , finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta (EUVL L 333, , s. 1–79).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu , kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, , s. 164–198).
Euroopan parlamentin ja neuvoston asetus (EU) 2021/696, annettu , unionin avaruusohjelman ja Euroopan unionin avaruusohjelmaviraston perustamisesta sekä asetusten (EU) N:o 912/2010, (EU) N:o 1285/2013 ja (EU) N:o 377/2014 ja päätöksen N:o 541/2014/EU kumoamisesta (EUVL L 170, , s. 69–148).
Euroopan parlamentin ja neuvoston asetus (EU) 2021/694, annettu , Digitaalinen Eurooppa -ohjelman perustamisesta ja päätöksen (EU) 2015/2240 kumoamisesta (EUVL L 166, , s. 1–34).
Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu , Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, , s. 15–69).
Komission suositus (EU) 2019/534, annettu , 5G-verkkojen kyberturvallisuudesta (EUVL L 88, , s. 42–47).
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139, annettu , yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta (EUVL L 212, , s. 1–122).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/1972, annettu eurooppalaisesta sähköisen viestinnän säännöstöstä (uudelleenlaadittu) (EUVL L 321, , s. 36–214).
Neuvoston täytäntöönpanopäätös (EU) 2018/1993, annettu , EU:n poliittisen kriisitoiminnan integroiduista järjestelyistä (EUVL L 320, , s. 28–34).
Komission suositus (EU) 2017/1584, annettu , koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, , s. 36–58).
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu , luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, , s. 1–88).
Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu , sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, , s. 73–114).
Euroopan parlamentin ja neuvoston direktiivi 2013/40/EU, annettu , tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS korvaamisesta (EUVL L 218, , s. 8–14).
Euroopan parlamentin ja neuvoston päätös N:o 1313/2013/EU, annettu , unionin pelastuspalvelumekanismista (EUVL L 347, , s. 924–947).
Euroopan parlamentin ja neuvoston direktiivi 2011/93/EU, annettu , lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumisesta ja neuvoston puitepäätöksen 2004/68/YOS korvaamisesta (EUVL L 335, , s. 1–14).
Euroopan parlamentin ja neuvoston asetus (EU) N:o 300/2008, annettu , yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta (EUVL L 97, , s. 72–84).
Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu , henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, , s. 37–47).