Tietoa EU:n kyberturvadirektiivin vaikutuksesta ohjelmisto- ja taloushallintoalaan
Liikenne- ja viestintäministeriö on julkaissut lausuntokierrokselle lakiesityksen, jolla säädetään EU:n kyberturvadirektiivi eli NIS-2-direktiivi osaksi Suomen lainsäädäntöä. Lakimuutoksen on tarkoitus tulla voimaan lokakuussa 2024.
Direktiivi luo tiettyjen toimialojen yrityksille velvoitteen suunnitella, dokumentoida ja kehittää kyberturvaansa. Asian voi kiteyttää seuraavasti. “NIS-2 on kyberturvalle sama kuin Tietosuoja-asetus on henkilötietojen käsittelylle”. Voit lukea aiheesta lisää valtioneuvoston hankesivuilta direktiivin ja hallituksen esitysluonnoksesta.
Yritykset ovat lainsäädännön piirissä, kun ne täyttävät molemmat alla kuvatut edellytykset:
- Toimivat tietyillä toimialoilla (esimerkiksi pilvipalvelujen ja datakeskuspalvelujen tarjoajat)
- Täyttävät EU:n keskikokoisen yrityksen määritelmän (esimerkiksi henkilöstöä yli 50 henkeä)
Lisätietoa NIS-2-direktiivistä
Lisää aiheesta löydät powerpoint-esityksestä tai hallituksen esityksen esitysluonnoksesta.
Direktiiviä sovelletaan kokovaatimukset täyttävään ohjelmistoyritykseen, joka tarjoaa asiakkailleen pilvipalvelua. Hyvin todennäköisesti sitä sovelletaan myös kokovaatimukset täyttävään tilitoimistoon, joka tarjoaa näitä pilvipalveluja omille asiakkailleen ellei tilitoimiston roolina ole puhtaasti jälleenmyynti.
Tilitoimiston näkökulmasta direktiivin positiivisena vaikutuksena on se, että ohjelmistoyritykset panostavat yhä enemmän palvelujensa tietoturvaan. Samalla suuret tilitoimistot joutuvat panostamaan myös itse tietoturvan suunnitelmalliseen kehittämiseen. Tästä aiheutuu kustannuksia, mutta asialla on myös riskinhallinnallisia ja markkinoinnillisia hyötyjä.
Yritämme saada asiaa valmistelevilta viranomaisilta selkeämpiä tulkintoja direktiivin soveltamisesta pilvipalvelua tarjoaviin tilitoimistoihin. Järjestämme myös keskustelutilaisuuksia asiasta kiinnostuneille tilitoimistoille.