EU:ssa on määritetty yhdeksi toimenpiteeksi yhteisen korkeatasoisen kyberturvallisuuden
varmistaminen (verkko- ja tietoturvadirektiivi). Tämän saavuttamiseksi on perustettu
tietoturvaloukkauksiin reagoiva ryhmä CSIRT, joka on toimivaltaisten kansallisten verkko- ja tietojärjestelmien (NIS) viranomaisten välinen yhteistyöryhmä. CSIRTin tavoitteena on helpottaa strategisen yhteistyön tekemistä ja tietojenvaihtoa jäsenvaltioiden välillä.
Vuonna 2016 otettiin käyttöön EU:n kyberturvallisuussäännöt, jotka päivitettiin verkko- ja
tietoturvadirektiivillä vuonna 2023. Direktiivin päivityksellä saatiin nykyaikaistettua oikeudellinen kehys lisäämällä digitaalisuutta ja huomioimalla kyberturvallisuusuhkien kehitys. NIS2-direktiivi on EU:n kyberturvallisuuteen keskittyvä lainsäädäntö, jossa säädellään oikeudellisista toimenpiteistä kyberturvallisuuden parantamiseksi. Kyberturvallisuussääntöjen soveltamisalaa on laajennettu uusiin aloihin ja toimijoihin, koska tavoitteena on parantaa julkisten ja yksityisten tahojen, toimivaltaisten viranomaisten ja koko EU:n häiriönsietokykyä ja reagointivalmiuksia. Nämä säännöt tulevat olemaan osana kansallista lainsäädäntöä 17.10.2024 mennessä. (Euroopan komissio, 2023.)
Keitä NIS2-direktiivi koskee?
Turvallisuuskulttuurin edistäminen on tärkeää kaikilla elintärkeillä talouden ja yhteiskunnan aloilla, jotka ovat vahvasti riippuvaisia tieto- ja viestintätekniikasta. Näitä ovat mm. energia, liikenne, vesi, pankkitoiminta, rahoitusmarkkinoiden infrastruktuuri, terveydenhuolto, digitaalinen infrastruktuuri, verkkotunnusten aluetunnusrekisterit (esim. .FI) ja rekisteröintipalvelut. (Valtiovarainministeriö, 2023.)
NIS2-direktiivi koskee myös korkeakouluja koulutussektorin keskeisinä toimijoina. Korkeakoulujen on noudatettava direktiivin asettamia verkko- ja tietojärjestelmien turvallisuuteen liittyviä riskienhallinta- ja raportointivelvoitteita. (Valtiovarainministeriö, 2023.)
NIS-direktiivin velvoitteet
NIS2-direktiivi sisältää erilaisia velvoitteita verkkotunnusrekisterin tietojen oikeellisuuden
varmistamiseen liittyen. Velvoitteet koskevat myös verkkotunnusten rekisteröintipalveluiden tarjoajia, eli yksityisyys- tai välityspalveluiden tarjoajia ja jälleenmyyjiä. Velvoitteita ovat mm. kyberriskien hallinta, ilmoitusvelvollisuus merkittävästä poikkeamasta (ilmoitusvelvollisuus 24-72 tunnin kuluessa riippuen poikkeaman tyypistä), verkkotunnusten rekisteröintitietojen oikeellisuus, tietojen luovutus, WHOIS-tiedot (WHOIS-tiedot=verkkotunnuksen/IP-osoitteen julkiset tiedot) ja toimijarekisteriin ilmoittautuminen. (Juselius, 2023.)
Keskeisten ja tärkeiden toimijoiden on otettava käyttöön myös perustason kyberhygieniakäytäntöjä, joihin kuuluvat mm. nollaluottamuksen periaate, ohjelmistopäivitykset, laitteiden konfigurointi, verkon segmentointi, identiteetin- ja pääsyn hallinta ja käyttäjien tietoisuuden lisääminen. Lisäksi heidän on järjestettävä henkilöstölleen koulutusta kyberuhkista, verkkourkinnasta ja käyttäjän manipuloinnista. Kyseisten toimijoiden tulee myös arvioida omat kyberturvallisuusvalmiutensa ja otettava käyttöön tapauskohtaisesti kyberturvallisuutta parantavia teknologioita, kuten tekoäly- tai
koneoppimisjärjestelmiä, valmiuksien ja verkko- ja tietojärjestelmien turvallisuuden parantamiseksi. (Juselius, 2023.)
Toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jonka tavoitteena on suojata verkko- ja tietojärjestelmät, sekä näiden järjestelmien fyysinen ympäristö poikkeamilta. Niihin on sisällytettävä esim. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat, toiminnan jatkuvuuden hallinta, toimitusketjujen turvallisuus, verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja salauksen käyttöä, henkilöstöturvallisuutta, pääsynhallintaperiaatteita ja omaisuuden hallintaa, suojattua puhe- ja video- ja tekstiviestintää sekä suojattujen hätäviestintäjärjestelmien käyttöä. (Juselius, 2023.)