NIS2-direktiivi vaikuttaa pienyritysten kilpailukykyyn julkisissa hankinnoissa
NIS2-direktiivi (2022/2555) on Euroopan unionin uusi sääntely, joka korvaa aiemman NIS1 -verkko- ja tietoturvadirektiivin (2016/1148). Sääntelyuudistus on tärkeä ja ajankohtainen, sillä direktiivin kansallinen soveltaminen astuu Suomessa voimaan lokakuussa 2024 ja vaikuttaa merkittävästi esimerkiksi pienten terveysteknologiayritysten kilpailukykyyn julkisissa hankinnoissa. Valmistautumisaikaa on vain vähän.
Keskeiset muutokset ja vaatimukset
Tämä uusi direktiivi on suunniteltu vastaamaan kasvaviin kyberuhkiin ja digitalisaation lisääntymiseen. NIS2-direktiivi kattaa laajemmin sisämarkkinoiden kannalta kriittisiä yrityksiä ja aloja, mukaan lukien lääkinnälliset laitteet, ja sen vaikutukset ovat merkittäviä.
NIS2-direktiivi laajentaa NIS1-direktiivin soveltamisalaa kattaen enemmän yrityksiä ja toimialoja. Direktiivi asettaa tiukempia vaatimuksia kyberturvallisuuden hallinnalle, tietoturvan valvonnalle, raportoinnille ja yhteistyölle.
NIS2-direktiivin soveltamisalan ulkopuolella ovat pääsääntöisesti mikro- ja pienyritykset, ellei kyse ole kriittisestä ja merkittävästä yrityksestä. Esimerkiksi:
- Ohjelmistoyritykset: Pienet ohjelmistoyritykset, jotka tarjoavat kriittisiä tietojärjestelmiä tai ohjelmistoja esimerkiksi terveydenhuollon toimijoille, voivat olla merkittäviä. Näiden yritysten tarjoamat palvelut ovat usein välttämättömiä asiakkaidensa toiminnan kannalta
- Teknologiayritykset: Pienet teknologiayritykset, jotka kehittävät ja ylläpitävät tärkeitä teknologiaratkaisuja, kuten tietoturvaohjelmistoja tai pilvipalveluja, voivat myös olla kriittisiä.
- Toimitusketjun toimittajat: Pienet yritykset, jotka toimittavat kriittisiä komponentteja tai palveluja suuremmille yrityksille, voivat olla merkittäviä. Näiden yritysten toiminta voi olla ratkaisevaa koko toimitusketjun toimivuuden kannalta
Vaikka yritys olisi kooltaan pieni, sen tarjoamat palvelut tai tuotteet voivat olla erittäin tärkeitä yhteiskunnan toiminnan ja turvallisuuden kannalta. Lopullinen määritys kriittiseksi tai merkittäväksi yritykseksi tapahtuu mm. julkisten hankintojen kautta. Terveysteknologia ry:n jäsenistöstä on esitetty, että NIS2-vaatimukset näkyvät jo vahvasti julkisissa kilpailutuksissa ja esimerkiksi sopimuksissa hyvinvointialueiden kanssa. Pieniltäkin toimittajilta vaaditaan hyvää kyberturvallisuustasoa.
Pienyritysten kilpailukyky julkisissa hankinnoissa
NIS2-direktiivi voi vaikuttaa pienyritysten kilpailukykyyn julkisissa hankinnoissa sekä positiivisesti että negatiivisesti. Toisaalta direktiivi asettaa tiukempia vaatimuksia kyberturvallisuuden hallinnalle ja riskienhallinnalle, mikä voi lisätä pienyritysten kustannuksia ja vaatimuksia. Tämä voi olla haasteellista erityisesti niille pienyrityksille, joilla ei ole resursseja tai osaamista täyttää näitä vaatimuksia.
Toisaalta NIS2-direktiivi voi myös parantaa pienyritysten kilpailukykyä julkisissa hankinnoissa. Direktiivi edellyttää, että julkisten hankintojen yhteydessä toimijoiden tulee huolehtia siitä, että kyberturvallisuuteen liittyvät riskit on tunnistettu ja hallittu. Tämä voi johtaa siihen, että pienyritykset, jotka pystyvät osoittamaan vahvan kyberturvallisuuden tason, voivat erottua edukseen kilpailijoista ja saada enemmän hankintasopimuksia.
Lisäksi direktiivi asettaa vaatimuksia toimittajille, jotka osallistuvat julkisiin hankintoihin. Organisaatioiden on varmistettava, että niiden toimittajat noudattavat riittäviä kyberturvallisuuskäytäntöjä, kuten ISO 27001 -standardia. Tämä voi tarkoittaa esimerkiksi toimittajien tarkastuksia ja sopimuskäytäntöjen tiukentamista.
On tärkeää, että pienyritykset valmistautuvat huolellisesti direktiivin vaatimuksiin ja varmistavat, että niiden kyberturvallisuuskäytännöt ovat ajan tasalla.
Valmistautuminen
Pienyritykset voivat valmistautua NIS2-direktiivin vaatimuksiin seuraavilla tavoilla:
- Riskienhallinta: Ensimmäinen askel on tunnistaa ja arvioida yrityksen kyberturvallisuusriskit. Tämä sisältää mahdollisten uhkien ja haavoittuvuuksien kartoittamisen sekä niiden vaikutusten arvioinnin. Riskienhallintasuunnitelma auttaa yritystä varautumaan mahdollisiin kyberhyökkäyksiin ja muihin tietoturvaloukkauksiin.
- Tietoturvakäytännöt ja -prosessit: Yrityksen tulisi kehittää ja ottaa käyttöön selkeät tietoturvakäytännöt ja -prosessit. Tämä voi sisältää esimerkiksi tietoturvapolitiikan laatimisen, työntekijöiden kouluttamisen tietoturva-asioissa ja säännöllisten tietoturvatarkastusten suorittamisen.
- Teknologiset ratkaisut: Pienyritysten tulisi investoida asianmukaisiin teknologisiin ratkaisuihin, kuten palomuureihin, virustorjuntaohjelmistoihin ja tietoturvaohjelmistoihin. Näiden ratkaisujen avulla voidaan suojata yrityksen verkot ja tietojärjestelmät mahdollisilta uhilta.
- Toimitusketjun hallinta: On tärkeää varmistaa, että myös yrityksen toimittajat ja alihankkijat noudattavat riittäviä kyberturvallisuuskäytäntöjä. Tämä voi tarkoittaa esimerkiksi toimittajien tarkastuksia ja sopimuskäytäntöjen tiukentamista.
- Ilmoitusvelvollisuus: NIS2-direktiivi asettaa yrityksille ilmoitusvelvollisuuden tietoturvaloukkauksista. Yrityksen tulisi kehittää prosessi, jonka avulla tietoturvaloukkaukset voidaan havaita ja raportoida nopeasti ja tehokkaasti.
- Sertifioinnit ja standardit: Yrityksen kannattaa harkita kansainvälisten tietoturvastandardien, kuten ISO 27001, noudattamista. Sertifiointi voi parantaa yrityksen kilpailukykyä ja osoittaa asiakkaille ja yhteistyökumppaneille, että yritys ottaa kyberturvallisuuden vakavasti.
Näiden toimenpiteiden avulla pienyritykset voivat parhaiten valmistautua NIS2-direktiivin vaatimuksiin ja varmistaa, että niiden kyberturvallisuuskäytännöt ovat ajan tasalla.
NIS2-direktiivin täytäntöönpano Suomessa
Hallituksen esitys (HE 57/2024) NIS2 -direktiivin täytäntöönpanoksi Suomessa on annettu eduskunnalle 23.5.2024. Käsittelyä voi seurata Eduskunnan verkkosivuilta. Direktiivin vaikutukset tullaan toteuttamaan seuraavien kansallisten lakien kautta: laki kyberturvallisuuden riskienhallinnasta (uusi laki), laki julkisen hallinnon tiedonhallinnasta (lakia muutetaan) ja laki sähköisen viestinnän palveluista (lakia muutetaan).
Terveysteknologia-alan yritysten on tärkeä havaita, että koska NIS2 on direktiivipohjainen (eikä suoraan sovellettava asetus) sääntelyinstrumentti, tulevat jäsenmaat implementoimaan sen kansalliseen lainsäädäntöönsä hyvin vaihtelevin tavoin. Jäsenmaiden välillä saattaa siis olla eroja koskien esimerkiksi toimeenpanoaikatauluja, soveltamisajankohtia, soveltamisalaa ja minimivaatimuksia. Toisissa maissa voi olla tiukempia minimivaatimuksia kuin toisessa.
Terveysteknologia ry käsittelee kyberturvallisuuteen liittyviä ajankohtaiskysymyksiä erityisesti ohjelmistot&data -työryhmäkokouksissaan hyödyntäen asiantuntijapuheenvuoroja. Suosittelemme lisäksi tutustumaan Kyberala ry:n NIS2-oppaaseen: Kyberala ry julkaisi EU:n verkko- ja tietoturvallisuusdirektiivin (NIS2) soveltamisoppaan – Kyberala