EU:n NIS2-direktiivi vaikuttaa verkkopalveluihin ja DNS-infrastruktuuriin

EU:n jäsenvaltiot viimeistelevät parhaillaan NIS2-direktiivin kansallisia täytäntöönpanoja, mutta organisaatioiden on syytä valmistautua sen vaatimuksiin jo nyt. Uusi direktiivi harmonisoi ja selkeyttää kyberturvallisuusvaatimuksia useilla sektoreilla, mukaan lukien verkkotunnusjärjestelmän (DNS) osalta.

NIS2-direktiivi laajentaa aiempaa NIS-direktiiviä ja määrittelee tarkemmin, mitkä organisaatiot kuuluvat sen piiriin ja mitä turvallisuusvelvoitteita niiden tulee täyttää. Erityisesti DNS-infrastruktuurin osalta vaaditaan yhtenäistä ja vahvaa lähestymistapaa koko EU:n alueella. Direktiivi hyväksyttiin joulukuussa 2022 ja astuu voimaan kansallisesti 18. lokakuuta 2024.

Direktiivi vaikuttaa useisiin kriittisiin sektoreihin, kuten sähköiseen viestintään, energiaan, rahoitukseen, terveydenhuoltoon ja liikenteeseen. Näiden alojen organisaatioilta edellytetään muun muassa toimivaa DNS-infrastruktuuria, suojausta DNS-hyökkäyksiä vastaan, verkkosovelluspalomuureja ja luotettavaa reititystä.

Vaatimusten noudattamatta jättämisestä voi seurata korkeita sakkoja, jotka voivat nousta jopa 10 miljoonaan euroon tai 2 prosenttiin vuoden liikevaihdosta. Organisaatioiden on tarkistettava toimitusketjunsa ja varmistettava, että myös palveluntarjoajat täyttävät NIS2-vaatimukset. Suositeltavaa on käyttää EU:n sisäisiä, mieluiten paikallisia palveluntarjoajia, jotka tarjoavat sopimuksia ja tukea paikallisella kielellä.

Kaikkien toimijoiden on pyrittävä täyttämään ISO 27000 -sertifikaatin tai vastaavan tason tietoturvastandardit. Euroopan unionin kyberturvallisuusvirasto ENISA ja kansalliset viranomaiset, kuten Ruotsin MSB, tarjoavat ohjeistusta direktiivin toimeenpanoon.