NIS2 laajensi kyberturvavelvoitteita monille uusille toimialoille: energiasta ja terveydenhuollosta aina digipalveluihin ja julkishallintoon. Yksi keskeisimmistä muutoksista on, että johto – toimitusjohtaja, hallituksen jäsenet ja muu ylimmän johdon taso – on henkilökohtaisesti vastuussa siitä, että organisaatio täyttää kyberturvavelvoitteet ja valvoo niiden toteutumista.
Jos velvoitteita ei noudateta, seuraukset voivat olla tuntuvia:
- jopa 10 miljoonan euron suuruinen sakko tai 2 % globaalista liikevaihdosta,
- väliaikainen kielto toimia yritysjohdossa (koskee myös hallituksen jäseniä),
- viranomaisten antamat korjausmääräykset.
Kyberturva on siis noussut suoraan samaan kategoriaan kuin taloudellinen raportointi tai lainsäädännön noudattaminen – asioihin, joista hallituksella on velvollisuus huolehtia.
Mitä NIS2 tarkoittaa johdolle?
NIS2 asettaa useita vaatimuksia johdolle. Johdon on:
- osallistuttava riski- ja turvallisuuskoulutuksiin,
- varmistettava, että kyberturva on osa koko yrityksen riskienhallintaa,
- seurattava ja ohjattava kyberturvatyötä aktiivisesti, ei vain hyväksyttävä budjetteja.
Johto ei siis voi enää sysätä vastuuta IT:lle. Sen pitää pystyä osoittamaan, että kyberturva on aidosti integroitu liiketoiminnan johtamiseen ja että riskit on huomioitu strategisella tasolla.
Miten valmistautua NIS2:een?
Kyberuhat kasvavat jatkuvasti, ja liian moni organisaatio on ollut alivarustautunut. Kun vastuu siirtyy ylimmälle johdolle, kyberturvasta tulee koko yrityksen yhteinen asia – ei yksittäisen tiimin huoli. Tämä lisää resursointia, priorisointia ja ennen kaikkea tietoisuutta.
E-kirjassamme “10 things you should do based on NIS2” jaamme käytännön askeleet, joilla organisaatio voi varmistaa johdon sitoutumisen ja koko yrityksen kyberturvakyvykkyyden nyt ja tulevaisuudessa.
Lataa e-kirja alta ja ota selvää, mitä konkreettisia toimia sinun organisaatiosi johdon pitäisi tehdä.
