NIS-2-direktiivi velvoittaa yrityksiä panostamaan tietoturvaan

EU:n uusi kyberturvadirektiivi eli NIS-2-direktiivi on tulossa osaksi Suomen lainsäädäntöä. Lakimuutos astuu voimaan lokakuussa 2024. Laki asettaa tiettyjen toimialojen yrityksille velvoitteen suunnitella, dokumentoida ja kehittää kyberturvaansa. Asian voi kiteyttää seuraavasti. “NIS-2 on kyberturvalle sama kuin Tietosuoja-asetus on henkilötietojen käsittelylle”.

Yritykset ovat lainsäädännön piirissä, kun ne täyttävät molemmat alla kuvatut edellytykset:

• Toimivat tietyillä toimialoilla (esimerkiksi pilvipalvelujen ja datakeskuspalvelujen tarjoajat)

• Täyttävät EU:n keskikokoisen yrityksen määritelmän (esimerkiksi henkilöstöä yli 50 henkeä)

Lakia sovelletaan kokovaatimukset täyttävään ohjelmistoyritykseen, joka tarjoaa asiakkailleen pilvipalvelua. Hyvin todennäköisesti sitä sovelletaan myös kokovaatimukset täyttävään tilitoimistoon, joka tarjoaa näitä pilvipalveluja tai itse kehittämiään ohjelmistopalveluja omille asiakkailleen.