Euroopan unionin viime vuosien merkittävimmät turvallisuutta koskevat säädökset vaikuttavat vahvasti sekä yritysten että julkishallinnon toimintaan. Uusia turvallisuutta koskevia regulaatioita on viime vuosina tullut useita. Miten ne eroavat toisistaan ja mikä niitä yhdistää? Tämä blogi tarjoaa näihin kysymyksiin vastauksia.
Säädösten vaatimukset ovat laajat ja toisiinsa kytkeytyvät. Siksi organisaatioiden on tärkeää ymmärtää, miten ne eroavat toisistaan ja miten ne voidaan toteuttaa yhtenäisenä kokonaisuutena. DORA, CER, CRA ja NIS2 ovat kukin lähtökohdiltaan erilaisia, mutta ne jakavat saman tavoitteen. Ne vahvistavat resilienssiä ja varmistavat, että sekä digitaaliset että fyysiset palvelut pysyvät toimintakykyisinä häiriötilanteissa.
DORA (Digital Operational Resilience Act) on rahoitusalan digitaalista toimintavarmuutta koskeva asetus. Sen vaikutus ulottuu pankkeihin, vakuutuslaitoksiin, maksulaitoksiin sekä näiden palveluntarjoajiin. DORA tarjoaa yksityiskohtaiset vaatimukset ICT-riskien hallinnasta, häiriönsietokyvystä, ulkoistuksista ja testauksesta. Useat velvoitteet muistuttavat perinteistä kyberturvan hallintajärjestelmää, mutta säädös korostaa erityisesti kyvykkyyttä toimia vakavissa poikkeustilanteissa. Sektorikohtainen lähestymistapa tekee DORA:sta poikkeuksellisen tarkkarajaisen.
NIS2 (Kyberturvallisuuslaki) puolestaan kohdistuu laajaan joukkoon yhteiskunnan jatkuvuuden kannalta kriittisiä toimijoita. Laki vahvistaa edeltäjänsä vaatimuksia ja painottaa riskiperusteisuutta, jatkuvuuden hallintaa ja raportointia. NIS2 ei ole sektoriltaan yhtä kapea kuin DORA. Sen menettelytavat ovat yleisempiä ja sovellettavissa useisiin toimialoihin. Näiden kahden säädöksen suhde on merkittävä. Moni rahoitusalan toimija kuuluu sekä DORA:n että NIS2:n soveltamisalaan. Tällöin organisaation on rakennettava ohjeistukset ja prosessit siten, että tietoturvan ja toimintavarmuuden vaatimukset toteutuvat yhtenäisesti.
CER-direktiivi (Critical Entities Resilience) keskittyy fyysiseen turvallisuuteen ja kokonaisvaltaiseen resilienssiin. Se koskee toimijoita, jotka tuottavat yhteiskunnan kannalta välttämättömiä palveluita. Näitä ovat esimerkiksi energia, terveydenhuolto, liikenne ja vesihuolto. CER tuo mukanaan velvoitteen arvioida strategiset ja operatiiviset riskit, rakentaa monialainen häiriönhallintamalli ja varmistaa, että palvelut jatkavat toimintaansa myös merkittävissä fyysisissä uhkissa. Säädös painottaa yhteistyötä viranomaisten kanssa ja tuo esiin fyysisen turvallisuuden ja kyberturvallisuuden riippuvuuden.
Vaikka CER ja NIS2 ovat sisällöllisesti erilaisia, niiden tavoitteet ovat samansuuntaiset. Moni organisaatio kuuluu molempiin säädöksiin. Tällöin riskienhallinnan ja turvallisuusratkaisujen on oltava aidosti integroidut. On tärkeää yhdistää fyysiset suojaukset, toiminnan jatkuvuus ja kyberturvallisuus samaan kokonaisuuteen.
CRA-asetus (Cyber Resilience Act) tuo ensimmäistä kertaa EU:n laajuiset velvoitteet digitaalisia tuotteita valmistaville ja markkinoiville toimijoille. Säädös edellyttää, että laitteiden ja ohjelmistojen kyberturvallisuus huomioidaan koko elinkaaren ajan suunnittelusta päivityksiin ja haavoittuvuuksien hallintaan. CRA koskee laajaa joukkoa tuotteita, joten sen vaikutus ulottuu myös organisaatioihin, jotka eivät itse kanna vastuuta säädöksen noudattamisesta. Hankintatoiminnan on ymmärrettävä, mitä velvoitteita valmistajille tulee ja miten nämä näkyvät toimitusketjussa.
CRA täydentää DORA:a ja NIS2-direktiiviä siten, että se kohdistuu nimenomaan tuotteisiin eikä organisaation kyvykkyyteen. Tuloksena syntyy kokonaisuus, jossa palveluntuottajalla ja tuotteen valmistajalla on selkeästi rajatut vastuut.
Vaikka DORA, CER, CRA ja NIS2 eroavat toisistaan, organisaation ei kannata tarkastella niitä erillisinä hankkeina. Vaatimukset kattavat riskienhallinnan, valvonnan, toiminnan jatkuvuuden, raportoinnin ja toimitusketjun hallinnan. Kun nämä rakennetaan yhdeksi hallintamalliksi, sääntelyn noudattaminen muuttuu tehokkaaksi ja riskit hallitaan johdonmukaisesti.
Parhaimmillaan säädökset toimivat kehityksen moottorina. Ne auttavat organisaatioita tunnistamaan kriittiset riippuvuudet, vahvistamaan turvallisuutta ja varmistamaan palvelujen jatkuvuuden nopeasti muuttuvassa toimintaympäristössä. Muutoksen keskellä oleellista on ymmärtää, että kokonaisuus on laajempi kuin yksittäinen säädös. Yhtenäinen ja ennakoiva lähestymistapa tuottaa parhaan tuloksen.
Tutustu tarkemmin näiden neljän regulaation vertailutaulukkoon.