NIS2 ja DORA tiukentavat tietoturvavaatimuksia – kycittämällä tunnet toimitusketjusi

Kuinka montaa eri ohjelmistoa käytät työssäsi päivittäin? Sähköiset järjestelmät ovat välttämätön osa työtämme ja koko yhteiskunnan toimintaa. Samalla myös tietoturvan merkitys korostuu entisestään.

EU on kiristänyt tietoturvasääntelyä yhteiskunnan kriittisillä aloilla NIS2-direktiivin ja DORA-asetuksen myötä. Mutta miten tämä kaikki liittyy asiakkaan tuntemiseen ja kycittämiseen? 

Sisältö

• Mikä on NIS2?
• Mikä on DORA ja miten se eroaa NIS2:sta?
• Ketäs NIS2 koskee?
• Toimitusketjun tuntemisessa KYC avainasemassa
• Mitä käytännössä?
• Ohjelmistotoimittaja on yksi osa compliancea
• Visma ja Netvisor KYC noudattavat korkeita tietoturvastandardeja
• Usein kysyttyä NIS2- ja DORA-sääntelystä

EU kiristää otettaan tietoturvasta

Kiristyneen tietoturvasääntelyn keskiössä ovat EU:n NIS2-direktiivi ja DORA-asetus. Näiden tavoitteena on parantaa yhteiskunnan kyberturvallisuutta ja digitaalista toimintavarmuutta.

Sääntely koskettaa kriittisiä aloja, joihin kuuluu myös osa rahanpesulain mukaisista ilmoitusvelvollisista aloista, kuten rahoitusala. Mutta sääntely voi koskettaa välillisesti useita eri toimialoja: jos asiakkaana on NIS2:n tai DORA:n alainen toimija, sen pitää varmistaa oman toimitusketjunsa tietoturva. Näin tietoturvavaatimukset ylettyvät toimitusketjun eri osasiin.

Haastattelimme Visma Solutionsin Director of Information Security & Data Privacy Riku Tarkiaista. Hän kertoo, mistä sääntelyissä on kyse, ketä ne koskevat ja miksi kycittäminen on keskeisessä roolissa tietoturvan takaamisessa.

Mikä on NIS2?

NIS2 (Network and Information Security 2) on EU:n kyberturvallisuusdirektiivin uusi versio, joka laajentaa edeltäjänsä soveltamisalaa ja vaatimuksia. 

NIS2-direktiivi:

• velvoittaa kriittisten alojen toimijat tunnistamaan ja hallitsemaan tietoturvariskejä
• korostaa toimitusketjun tietoturvan varmistamista, myös kumppaneiden ja alihankkijoiden osalta
• yhtenäistää tietoturvavaatimuksia EU:n laajuisesti.

NIS2-direktiivin pyrkimys on nostaa koko yhteiskunnan varautumista tietoturvauhkiin. On helppoa ajatella, että tietoturva on vain IT-yritysten juttu, mutta tietoturvariskejä on monilla yhteiskunnan kannalta kriittisillä aloilla. 

“Otetaan vaikka juomaveteen liittyvät yhtiöt. Jos heidän järjestelmiinä pääsee kiinni joku ulkopuolinen, voi olla, että kohta meillä ei ole juotavaa vettä. Tämä on tavallaan direktiivin pohjalla: koitetaan nostaa koko yhteiskunnan tietoturvatasoa”, Tarkiainen havainnollistaa esimerkin keinoin.

NIS2 tuli EU:ssa voimaan tammikuussa 2023, ja Suomessa NIS2-direktiivin velvoitteet tulivat voimaan Kyberturvallisuuslain myötä 8.4.2025.

Mikä on DORA ja miten se eroaa NIS2:sta?

DORA (Digital Operational Resilience Act) on erityisesti rahoitusalan toimijoille suunnattu EU-asetus, jonka tarkoitus on varmistaa digitaalisen toimintavarmuuden korkea taso ja parantaa yritysten häiriönsietokykyä.

Siinä missä NIS2-direktiivi koskee useita eri sektoreita, DORA pureutuu syvällisesti finanssisektorin riskienhallintaan ja kyberturvaan. DORA velvoittaa mm.:

• testaamaan säännöllisesti kyberturvallisuuden kestävyyttä
• hallitsemaan ulkoistettujen IT-palveluiden riskejä
• raportoimaan tietoturvapoikkeamat viranomaisille nopeasti.

Rahoitusalalla on aiemminkin ollut tarkkaa sääntelyä, ja alalle suunnattu DORA-sääntely onkin tiukempi kuin NIS2. 

“Kyse on rinnakkaisesta lainsäädännöstä. Niille, jotka ovat DORAn alla riittää, että noudattavat sitä”, Tarkiainen selventää.  

DORA koskee kaikkia Finanssivalvonnan alaisia toimijoita, poislukien työeläkeyhtiöt ja joitakin asetuksessa erikseen määriteltyjä pieniä toimijoita. DORA tuli voimaan 17.1.2023 ja sitä on sovellettu 17.1.2025 alkaen.

Ketä NIS2 koskee?

NIS2 erottelee kaksi eri tason toimijaa:

• Erittäin kriittiset toimialat: Yleensä yli 250 työntekijää, vuotuinen liikevaihto yli 50 miljoonaa euroa tai tase yli 43 miljoonaa euroa. Koskee mm. energia-, ja liikennealaa, julkishallintoa, terveydenhuoltoa, vesihuoltoa ja digitaalista infrastruktuuria. 
• Muut kriittiset toimialat: Yleensä yli 50 työntekijää, vuotuinen liikevaihto yli 10 miljoonaa euroa tai tase yli 10 miljoonaa euroa. Koskee mm. postipalveluita, jätehuoltoa, kemikaali- ja elintarvikealaa ja digitaalisia palveluntarjoajia (esim. hakukoneet, verkkokaupat, verkkoyhteisöalustat).

Tämän lisäksi sääntely ulottuu epäsuorasti koskemaan myös yrityksiä, jotka palvelevat kriittisen alan asiakkaita tai ovat niiden toimitusketjuissa.

Eli vaikka yrityksesi ei kuulu suoraan NIS2-direktiivin piiriin, sen vaikutukset voivat silti ulottua toimitusketjun kautta omaan toimintaasi. Asiakkaasi voivat tiedustella tietoturvakäytännöistäsi ja pyytää dokumentaatio nähtäväksi. 

Esimerkiksi tilitoimistolla voi olla asiakkaana NIS2:n alainen toimija, kuten elintarvikealan yritys. Tämän asiakkaan pitää huolehtia toimitusketjunsa turvallisuudesta. Asiakas voi kysellä tilitoimistolta, miten heidän tietoturvansa on hoidettu tai mitä palveluita he käyttävät. Näin oman toimitusketjun ja käytössä olevien palvelujen tietoturva ketjuuntuu.

“Tätä kautta valtaosa yrityksistä on jollain tavalla sidoksissa näihin asetuksiin”, Tarkiainen huomauttaa.

KYC ja pakotelistatarkistukset ovat avain toimitusketjun tuntemiseen

KYC (Know Your Customer) eli asiakkaan perusteellinen tunteminen ei ole pelkästään rahanpesun estämisen työkalu, vaan keskeinen osa riskienhallintaa. 

Tietoturvasääntelyssä korostetaan kumppaneiden ja alihankkijoiden tietoturvan tuntemista. KYC tukee vaatimusten täyttämistä: kun asiakkaan taustat selvitetään kunnolla, tiedetään, kenen kanssa tehdään liiketoimintaa. Pakotelistatarkistusten avulla varmistutaan lisäksi, että liikekumppaneista ei löydy pakotteiden kohteina olevia henkilöitä tai yrityksiä.

KYC on järkyttävän hyvä palanen, jos olet tietoturvasääntelyn alainen toimija. Se, että on KYC-palvelu käytössä tuo aika hyvän lisän toimitusketjun riskienhallintaan.

Rahoitusalan yrityksiä koskee sekä tiukka tietoturvasääntely että rahanpesulaki. Tehokas kycittäminen auttaa niitä vastaamaan molempien vaatimuksiin. 

Eli mitä käytännössä?

Ihan ensin: on yrityksen omalla vastuulla tietää, onko se NIS2- tai DORA-sääntelyn alainen. NIS2:n alaiset toimialat on listattu kyberturvallisuuskeskuksen sivuilla. 

Ja sitten on yrityksen vastuulla pitää vaatimustenmukaisuudesta huolta. Sitä ei voi ulkoistaa ohjelmistotoimittajalle.

Pk-yrityksissä ei välttämättä ole nimettyjä tietoturvavastaavia, ja kokonaisuuden hallinta voi tuntua työläältä. Tietoturvasääntelyssä ei kuitenkaan ole kyse vain käytössä olevien järjestelmien tietoturvasta. NIS2 vaatii, että käytössä on tietoturvan ja riskien hallintamalli.

“Voidaan ajatella, että meidän IT-kumppani hoitaa, että meidän sähköpostit on turvassa. Se ei kuitenkaan kata sitä, että yritys on varautunut siihen, jos tulee tietoturvaongelma – mitä sitten pitäisi tehdä? Jos tehdään hankintoja, onko koko toimitusketjussa turvallisuus kunnossa?” Tarkiainen havainnollistaa.

Lopulta regulaatiossa on kyse riskienhallinnasta. Ja sehän on tärkeä tehtävä yrityksissä joka tapauksessa. 

“Kyllähän kaikilla yrityksillä on on jonkinlaisia vaatimuksia tietoturvaan liittyen. Tietoturva on riskienhallintaa. Kun yritys valitsee käyttöönsä palveluita, se nivoutuu heidän omaan riskienhallintaansa. Minkälaisia palveluita halutaan käyttää? Onko näissä palveluissa jotain sellaisia riskejä, mitkä voi aiheuttaa ongelmia?”

Ohjelmistotoimittaja ei huolehdi compliancesta puolestasi, mutta on yksi keskeinen palanen

Muista, että ohjelmistotoimittajaa ei välttämättä koske sääntely. Sääntely koskee sinua. 

“Meille tulee välillä tuotteisiimme liittyen asiakkailta kysymys: onko tämä tuote NIS2- yhteensopiva? Mutta se on itse asiassa väärä kysymys, koska ei ole olemassa NIS2-yhteensopivaa tuotetta. Koska NIS2 ei määritä niitä vaatimuksia tuotteelle tai palvelulle, vaan ne vaatimukset on yhtiölle”, Tarkiainen selventää. 

Oikea kysymys asiakkaan kannalta olisi: 

“Voinko minä Yritys Ab Oy olla NIS2:n kanssa yhteensopiva, kun käytän teidän tuotetta?”

Tämä ei tietenkään tarkoita, etteikö ohjelmistotoimittajan toiminnalla ole väliä. Ohjelmistotoimittajien tietoturvakäytäntöjä on hyvä kartoittaa ja varmistaa, että heidän palvelunsa ei riskeeraa oman yrityksen tietoturvaa ja yhteensopivuutta sääntelyn kanssa.

Visma ja Netvisor KYC noudattavat korkeita tietoturvastandardeja

Tietoturva on aina ollut keskeinen osa Netvisor KYCin ja koko Visma Solutionsin DNA:ta.

Pelkästään Visma-tuotteiden käyttäminen ei kuitenkaan tarkoita, että NIS2 ja DORA olisivat sillä taputeltu. Ohjelmistotoimittajina voimme silti taata oman tonttimme tietoturvan.

Me voidaan tuottaa tietoturvasta yksi palanen. Ja me voidaan tehdä se parhaalla mahdollisella tavalla ja tukea asiakasta niin, että ainakaan meidän tarjoama osapalanen ei aiheuta sitä, etteivätkö he pysty noudattamaan isossa kuvassa säädöksiä.

Regulaatio elää ja muuttuu jatkuvasti, mutta Vismalla tietoturvasta huolehditaan ennakoivasti – ei pelkästään lainsäädäntöön reagoiden.

”Kun tulee jokin uusi regulaatio, olemme aina hyvin etukenossa niiden kanssa. Meillä Vismalla on vahva tietoturvaohjelma, jossa on jo vuosia katettu tosi isoa osaa näistä osa-alueista tavalla tai toisella”, Tarkiainen summaa. 

Ella-Roosa Koivupuro toimii sisältömarkkinoinnin asiantuntijana Netvisor KYCillä. Kokeneen kirjoittajan missiona on palastella monimutkaiset aiheet helposti pureskeltavaan muotoon.