NIS 2 -direktiivi sisältää laajemman lähestymistavan ja leveämmän määritelmän siitä, mitä määritellään tärkeiksi tai välttämättömiksi kokonaisuuksiksi. Tämä on määritelty erikseen kyberturvallisuuden EU:n sisäisten käytäntöjen ja yhteistyön parantamiseksi. Vaikka NIS2-direktiiviä ei sovelleta pk-yrityksiin, on muita seikkoja, jotka tulee ottaa huomioon koko organisaation turvallisuuskulttuurin vahvistamiseksi. Jokaisen organisaation tulee seurata raportointia tai täydentää toimitusketjua. Kyseessä on kriittinen kyberturvallisuuden kulttuuri, jonka tarkoitus on ottaa huomioon koko organisaatio.
Nousevien uhkien jäljittämistä
Alkuperäiseen NIS-direktiiviin ehdotettu päivitys tähtää huomion kiinnittämisen potentiaalisiin kyberturvallisuusuhkiin ja kyberturvallisuuden parantamiseen EU:n jäsenmaissa. Tämä tapahtuu laajentamalla sen perspektiiviä myös muiden osa-alueiden pariin, sisältäen esimerkiksi digitaaliset palveluntarjoajat (DSP:t) ja alustat.
Tämä on johtanut siihen, että näillä sektoreilla toimivia organisaatiot joutuisivat seuraamaan NIS 2 -direktiiviä ja toteuttamaan mittareita kyberonnettomuuksien vaikutusten minimoimiseksi ja ehkäisemiseksi. Yksi direktiivin keskeisistä vaatimuksista on varmistaa, että henkilökunta, jolla on pääsy tärkeisiin järjestelmiin ja dataan, saa riittävän määrän koulutusta kyberturvallisuuden ja kybertietoisuuden parista.
Tämän takia on tärkeää, että näillä sektoreilla vaikuttavien organisaatioiden tulisi kehittää ja toteuttaa pakollisia kyberturvallisuuden tietojen koulutuksia työntekijöilleen. Koulutuksen tulisi kattaa aihepiirejä, kuten kyberturvallisuusloukkausten tunnistaminen ja raportointi, IT-järjestelmien ja verkostojen turvallinen käyttö sekä parhaat käytännöt arkaluontoisten tietojen suojelemiseen.
NIS 2 -direktiivi edellyttää myös, että organisaatiot järjestävät säännöllistä koulutusta ja tekevät tietoisuustutkimusta varmistaakseen, että työntekijöillä on tarvittava tietotaito ja osaaminen kyberturvallisuusvahinkojen ehkäisemiseksi ja reagoimiseksi.
