Miksi Ison-Britannian verkko- ja tietoturvapäivitys voi tarkoittaa lisätyötä järjestelmän piiriin kuuluville organisaatioille

Miksi Ison-Britannian verkko- ja tietoturvapäivitys voi tarkoittaa lisätyötä piiriin kuuluville organisaatioille

By Phil Muncaster • 12. toukokuuta 2026 • 6 minuutin lukuaika

Kyberturvallisuus- ja kyberturvallisuuslaki (CSRB) etenee edelleen parlamentin käsittelyssä. Pitkän lainsäädäntöprosessin loppu on kuitenkin hitaasti häämöttämässä. Kun laki vihdoin tulee voimaan, se tuo kauan odotetun päivityksen vuoden 2018 verkko- ja tietoturva-asetuksiin. Mutta entäpä ne brittiläiset organisaatiot, jotka jo noudattavat EU:n uudistusta samoista säännöistä, joka tunnetaan nimellä NIS2?

Vaikka näitä kahta yritetään jonkin verran yhdenmukaistaa, on myös paljon eroja. Sektorien lukumäärästä mahdollisten sakkojen suuruuteen vaatimustenmukaisuudesta vastaavien tiimien on alettava nyt ymmärtää näiden muutosten vaikutuksia. Ja varauduttava mahdollisesti suureen määrään lisätyötä.

Miten CSRB eroaa NIS2:sta

Ymmärtääksesi, kuinka paljon CSRB eroaa NIS2:sta, katsotaanpa lakiesityksen yhteenveto hallituksen verkkosivuilla. Siinä ei mainita lainkaan eurooppalaista vastinetta. Eikä sanaa "yhdenmukaistaminen" esiinny. Käytännössä vaatimustenmukaisuudesta vastaavien tiimien on tarkasteltava useita alueita:

Säännellyt yhteisöt: soveltamisala

Iso-Britannia keskittyy välttämättömien palvelujen tarjoajiin (OES), merkityksellisiin digitaalisten palveluntarjoajiin (RDSP) – jotka ovat pilvi-, haku- ja markkinapaikkapalvelujen tarjoajia – ja uuteen merkityksellisten hallinnoitujen palveluntarjoajien (RMSP) luokkaan. Lähestymistapana on nimetä tietyt OES:t, kun taas NIS2 vetää automaattisesti mukaan kaikki keskisuuret ja suuret yksiköt 18 sektorilla. Tuloksena on, että jotkut CSRB:n piiriin kuuluvat organisaatiot välttävät NIS2-sääntelyn ja päinvastoin.

Säännellyt yhteisöt: uudet luokat

CSRB esittelee vain yhden uuden OES-kategorian "datakeskuspalvelut", kun taas NIS2 sisältää useita: julkishallinnon, avaruuspalvelut, jäteveden, elintarvikkeet, teollisuuden, postipalvelut, jätehuollon ja digitaaliset palveluntarjoajat. Tämä lisää todennäköisyyttä, että CSRB:n sääntelemättömät Yhdistyneen kuningaskunnan organisaatiot kuuluvat NIS2:n piiriin.

MSP:t:

RMSP:t on otettu käyttöön uutena kategoriana CSRB:ssä, ja NIS2 pitää niitä olennaisina yksiköinä tai tärkeinä yksiköinä. Kullakin järjestelmällä voi kuitenkin olla erilaisia vaatimustenmukaisuusvaatimuksia.

Toimitusketjun valvonta:

Isossa-Britanniassa toimivaltaiset viranomaiset ja tietosuojavaltuutetun toimisto (ICO) voivat nimetä olennaisten materiaalien tarjoajien, reittitietojen tarjoajien ja liikennetietojen tarjoajien "kriittiset toimittajat", ja heihin sovelletaan suoraa valvontaa. NIS2-direktiivissä ei ole suoraa sääntelyvalvontaa, mutta kaikkien soveltamisalaan kuuluvien yksiköiden on arvioitava toimitusketjun riskit.

Tapahtumamääritelmät ja raportointi:

CSRB:n säännellyn häiriön määritelmää on laajennettu kattamaan tapahtumat, "jotka voivat vaikuttaa merkittävästi olennaisen tai digitaalisen palvelun tarjoamiseen", sekä "häiriöt, jotka vaikuttavat merkittävästi järjestelmän luottamuksellisuuteen, saatavuuteen ja eheyteen". Merkittävyyttä arvioidaan toimialakohtaisesti. NIS2-standardissa häiriöt ovat sellaisia, jotka aiheuttavat toiminnan häiriöitä, taloudellisia menetyksiä tai aineellisia/aineettomia vahinkoja muille. Tämä tarkoittaa, että raportointikynnys voi olla erilainen Isossa-Britanniassa/EU:ssa.

Raportointiaikataulut – alustava ilmoitus 24 tunnin kuluessa tapahtuman havaitsemisesta ja lopullinen ilmoitus 72 tunnin kuluessa – ovat kuitenkin pääpiirteittäin samat Isossa-Britanniassa ja EU:ssa.

Asiakkaan ilmoitus:

Tämä on pakollista datakeskuspalveluntarjoajille, RDSP- ja RMSP-palveluntarjoajille Isossa-Britanniassa. NIS2-direktiivin nojalla voi kuitenkin olla lisävaatimuksia riippuen siitä, miten jäsenvaltio tulkitsee direktiiviä.

Henkilökohtainen vastuu:

Tätä ei käsitellä CSRB:ssä, mutta NIS2 tuo merkittävää henkilökohtaista vastuuta ylimmälle johdolle. Tämä sisältää pakollisen koulutuksen johtajille ja henkilökohtaisen vastuun vaatimusten noudattamatta jättämisestä. NIS2:ta noudattavien Yhdistyneen kuningaskunnan organisaatioiden on ymmärrettävä EU:n järjestelmän yksityiskohtaisemmat hallintovaatimukset.

rangaistukset:

CSRB:ssä vakiosakot ovat suurempia seuraavista: 10 miljoonaa puntaa tai 2 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta, mutta enimmäissakot nousevat 17 miljoonaan puntaan / 4 prosenttiin. NIS2 antaa jäsenvaltioille liikkumavaraa päättää näistä, kunhan ne ovat "tehokkaita, oikeasuhteisia ja varoittavia".

Rekisteröinti:

CSRB:n mukaan RMSP:iden ja OES:iksi nimettyjen datakeskuspalveluntarjoajien on rekisteröidyttävä. NIS2-direktiivissä olennaisten ja tärkeiden toimijoiden on rekisteröidyttävä toimivaltaisille viranomaisille, mutta jäsenvaltiot päättävät, miten tämä toimii. Loppujen lopuksi Yhdistyneen kuningaskunnan organisaatioiden on arvioitava velvoitteensa molempien osalta erikseen.

Yleinen lähestymistapa:

CSRB tuo merkittäviä uusia tiedonkeruuvaltuuksia toimivaltaisille viranomaisille ja ICO:lle riippumatta säännellyn organisaation tyypistä. NIS2 mahdollistaa tärkeille yksiköille kevyemmän lähestymistavan.

Kaiken kaikkiaan CSRB on kuitenkin suunniteltu joustavammaksi kuin sen eurooppalainen vastine, sanoo James Wong, vanhempi osakas teknologia- ja digitaalitiimissä globaalissa lakiasiaintoimistossa Clifford Chancessa.

”Hallitus voi asettaa strategisia prioriteetteja ja kohdennettuja ohjeita, ja sääntelyviranomaiset voivat nimetä tahot ’kriittisiksi toimittajiksi’, jolloin ne tulevat suoraan järjestelmän piiriin”, hän kertoo IO:lle (entinen ISMS.online). ”Lakiehdotus tarjoaa myös mekanismin käytännesäännöille, mikä mahdollistaa kontekstiin räätälöidyt vivahteet.”

Vaatimustenmukaisuuden taakka kasvaa

Wongin mukaan "paikallisten täytäntöönpanolakien", johdetun lainsäädännön ja mahdollisen tarpeen olla yhteydessä useisiin sääntelyviranomaisiin monimutkaisuus tekevät vaatimustenmukaisuudesta haastavampaa sekä NIS2:n että CSRB:n soveltamisalaan kuuluville organisaatioille.

Rhiannon Webster, globaalin asianajotoimisto Ashurstin kyberturvallisuusjohtaja Isossa-Britanniassa, lisää, että Brexitillä alkaa olla todellinen vaikutus Euroopassa toimivien brittiläisten yritysten vaatimustenmukaisuustaakkaan tämän lakiesityksen ja datan käyttöä ja saatavuutta koskevan lain myötä.

”Sen tuleminen on vienyt jonkin aikaa, sillä Yhdistyneen kuningaskunnan tähänastiset yksityisyys- ja kyberturvallisuuslait ovat olleet kopioita ja liitteitä EU:n edeltäjistään. Meillä on kuitenkin kehitteillä joitakin pieniä mutta merkityksellisiä muutoksia”, hän kertoo IO:lle.

”Vaikka yritykset voivat pyrkiä noudattamaan molempia järjestelmiä yhdenmukaisesti soveltamalla korkeimpia standardeja kaikkialla Isossa-Britanniassa ja Euroopassa, tämä ei todennäköisesti ole kaupallinen lähestymistapa vaatimustenmukaisuuteen, ja yritysten on otettava huomioon järjestelmien väliset erot hyväksyessään vaatimustenmukaisuusohjelmia ja arvioidessaan riskejä.”

Päästä alkuun

Webster kehottaa organisaatioita ensin selvittämään, kuuluvatko ne NIS2:n ja sen Ison-Britannian vastineen piiriin.

”Saatat yllättyä kuullessasi, että tietoturvapoikkeamien ja raportoinnin aikataulujen noudattamisen yhteydessä meillä on usein asiakkaita, jotka eivät ole olleet varmoja siitä, ovatko he jääneet NIS2:n kohteeksi, ja yrittävät selvittää sitä tietomurron sattuessa, mikä on kaikkea muuta kuin ihanteellista”, hän selittää.

"Standardien, kuten ISO 27001, noudattamista voitaisiin käyttää varmistamaan, että tietoturvavaatimuksesi ovat oikeasuhtaisia."."

Clifford Chancen Wong selittää, että vaatimustenmukaisuustiimien päätavoitteena tulisi olla ”yhtenäinen kybervalmiusohjelma, joka on mukautettu kaikkiin asiaankuuluviin laki- ja sääntelyvaatimuksiin”.

”Vakiintuneiden viitekehysten, kuten ISO 27001 -standardin, käyttö voi tehostaa vaatimustenmukaisuutta ja helpottaa keskeisten käytäntöjen esittelyä useissa eri lainkäyttöalueissa. Tällaiset viitekehykset tarjoavat pohjan, jonka pohjalta voidaan rakentaa, mutta ne ovat vain pohja ja ne on mukautettava paikallisiin velvoitteisiin”, hän lisää. ”Säännölliset tarkastelut varmistavat, että ohjelma pysyy tarkoituksenmukaisena vaatimusten muuttuessa ajan myötä.”

Wongin mukaan monimutkaisissa liiketoiminnoissa, jotka ulottuvat useisiin lainkäyttöalueisiin, parhaat käytännöt ovat entistä tärkeämpiä. Hän korostaa "ennakoivaa johtajuutta", riskien ja kontrollien priorisointia, säännöllisiä pöytäharjoituksia, vahvoja toimitusketjusuhteita ja oikeiden työkalujen käyttöönottoa.

Olipa asiaa miltä kannalta tahansa, Isossa-Britanniassa ja EU:ssa toimimisen hinta tulee nousemaan.

Laajenna tietosi

Webseminaari: NIS 2 -yhteensopivuuden hallinta ISO 27001 -standardin mukaisesti

Blogi: NIS2:sta kyberturvallisuuslakiin: hallinnon "tuotepuoli"

Blogi: Rakenna kerran, noudata kaikkialla: Usean viitekehyksen vaatimustenmukaisuuden käsikirja

Miksi Ison-Britannian verkko- ja tietoturvapäivitys voi tarkoittaa lisätyötä piiriin kuuluville organisaatioille

Miten CSRB eroaa NIS2:sta

Vaatimustenmukaisuuden taakka kasvaa

Päästä alkuun

Laajenna tietosi

Phil Muncaster

Liittyvät artikkelit

Hallintoaukko: Miksi EU:n tekoälylaki on hetki, jolloin hallitukset eivät voi enää pitää vaatimustenmukaisuutta jonkun muun ongelmana

Miksi kyberturvallisuus on vielä kaukana monilta brittiläisiltä yrityksiltä

IO keräsi 11 ansiomerkkiä G2 Grid Leader -raportissa kesältä 2026

Lisää Phil Muncasterilta

Miksi kyberturvallisuus on vielä kaukana monilta brittiläisiltä yrityksiltä

Kuninkaan puhe 2026: Miten uudet lait vaikuttavat kyberturvallisuuteen ja vaatimustenmukaisuuteen

Miten turvallisuustiimit voivat valmistautua myyttien jälkeiseen tulevaisuuteen?