Lasketaanko tytäryhtiöt erikseen NIS 2:n mukaan vai liitetäänkö ne emoyhtiöön?
Kun olet johdossa tietoturva EU:n alueelle rakentuneen ryhmän osalta keskeinen laajuuskysymys NIS 2 -direktiivi on yhtä strateginen kuin operatiivinenkin: Koskevatko tytäryhtiöt NIS 2 -vaatimuksia suoraan, vai voiko emoyhtiön vaatimustenmukaisuusohjelma kattaa useita oikeushenkilöitä? Panokset alkavat hallitustason vastuuvelvollisuus ryhmäsi vaatimustenmukaisuusriskin perustaan asti.
Jokainen oikeushenkilö – emoyhtiö tai tytäryhtiö – on suoraan vastuussa NIS 2:n mukaisesti. Konserninlaajuinen vaatimustenmukaisuus ei suojaa yksittäisiä tytäryhtiöitä velvoitteilta.
NIS 2 -vaatimustenmukaisuutta arvioidaan oikeushenkilökohtaisesti, ei konsernitasolla
NIS 2 -standardia sovelletaan oikeushenkilöiden tasolla. Jokainen tytäryhtiö tai konserniyhtiö on arvioitava erikseen direktiivissä asetettujen koko-, toiminta- ja kriittisyyskynnysten perusteella riippumatta siitä, onko emoyhtiö vaatimusten mukainen vai keskitetysti sertifioitu.
Tämä strateginen jako on enemmän kuin tekninen: keskitetyt käytännöt, hallituksen valvonta ja tilintarkastusdokumentaatio on yhdistettävä takaisin jokaiseen laajuutta laukaisevaan entiteettiin, ei vain koottuna ryhmäraporttiin. Tämän laiminlyönti on nopein tapa tuoda "piilotettuja riskejä" monimutkaiseen ryhmään – vaikka kojelaudat näyttäisivät vihreiltä pääkonttorissa.
Missä virheitä tapahtuu: Ryhmäajattelun ansa
Monikansalliset hallitukset usein houkuttelevat konsernitason GRC:n tehokkuutta, mutta sääntelyviranomaiset ovat merkinneet tämän yhtenä vaatimustenmukaisuuden puutteiden perimmäisenä syynä. ENISAn viimeaikaiset havainnot osoittavat, että 32 % konsernitason NIS2-epäonnistumisesta johtuu tytäryhtiöiden rekisteröinnin laiminlyönnistä tai yksikkötason tarkastusevidenssin puutteesta, huolimatta kypsistä keskitetyistä käytännöistä. Puuttuva yksikkö ei ole alaviite – se on haavoittuvuus, ja ero lokalisoituu aina yksittäisen tytäryhtiön riskiksi.
Varaa demoMitä NIS 2 laillisesti edellyttää - Voiko emoyhtiön vaatimustenmukaisuus kattaa tytäryhtiöt?
Yksi eurooppalaisissa vaatimustenmukaisuuspiireissä vallitsevista harhaluuloista on, että emoyhtiön vankka NIS 2 -ohjelma luo käytännössä sateenvarjon, joka "peittää" kaikki tytäryhtiöt valvonnalta. Mutta direktiivi on yksiselitteinen: jokaisen vaatimukset täyttävän oikeushenkilön on noudatettava sitä itsenäisesti.
Emoyhtiön vaatimustenmukaisuus ei voi korvata tytäryhtiön vaatimustenmukaisuutta. Jokainen yksikkö on itsenäisesti vastuussa velvoitteidensa täyttämisestä.
Mitä laki ja sääntelyviranomaiset sanovat?
NIS 2:n 2 ja 3 artiklat ovat kategorisia: kumpikin soveltamisalaan kuuluva yksikkö toimialan tai koon mukaan, on rekisteröitävä ja sen on ylläpidettävä omaa vaatimustenmukaisuustodistustaan – ei sateenvarjoa, ei oikotietä. Konsernitason valvonta, käytännöt ja sertifioinnit ovat hyödyllisiä yhdenmukaistamisen kannalta, mutta ne eivät vapauta tytäryhtiöitä erillisistä velvoitteista tai paikallisista tarkastuksista.
Miten tämä toimii rajat ylittävien ryhmien kohdalla?
Tytäryhtiöiden, joilla on toimintaa useissa eri maissa, vaatimustenmukaisuustoimien ja rekisteröintien on noudatettava kaikkia asiaankuuluvia kansallisia määräyksiä. Ei ole olemassa yhtä ainoaa ja toimivaa rekisteröintiä, eivätkä ohjelmakohtaisesti hajanaiset oikeushenkilöt vaadi näyttöä ja rekisteröintiä maakohtaisesti.
Todellisen maailman riski: Laiminlyönti
Riittämätön tytäryhtiöiden rekisteröinti tai puuttuvat paikalliset asiakirjat ovat enemmän kuin tekninen ongelma. Vuonna 2024 20 prosentissa EU:n konsernien vaatimustenmukaisuusdiagnostiikasta löydettiin rekisteröimättömiä yksiköitä, mikä käynnisti tarkastusta edeltävät korjaavat toimenpiteet ja joissakin tapauksissa suorat toimialakohtaiset tutkimukset. Korjaustoimenpide on aikaa vievä ja heikentää luottamusta, ja sääntelysakot ovat vasta ensimmäinen seuraus.
Jokaisen konserniyhtiön on arvioitava ja osoitettava NIS 2 -vaatimustenmukaisuus ikään kuin se olisi itsenäinen yksikkö – vaikka valvonta ja toiminnot olisivatkin yhteisiä.
Hallitse NIS 2:ta ilman taulukkolaskentakaaosta
Keskitä riskit, tapaukset, toimittajat ja todisteet yhdelle selkeälle alustalle.
Kuka on vastuussa - Mitä tapahtuu, jos tytäryhtiöt tekevät virheen?
NIS 2:n mukainen vastuu on tarkoituksella hajotettu. Rekisteröimättä jättäminen, prosessien heikkoudet tai tarkastusevidenssin puutteet kuuluvat suoraan tytäryhtiölle oikeushenkilönä – eivät emoyhtiölle, ellei emoyhtiö itse ole tarkastuksen piiriin kuuluva yksikkö. Johtajille ja hallituksille tällä on yhtä paljon merkitystä kuin hallinnonkin kannalta.
Tytäryhtiöiden tasolla olevat puutteet johtavat yksittäiseen valvontaan. Yksittäisten tahojen tekemille virheille ei ole ryhmäsuojaa.
Miten altistuminen määräytyy?
Valvonta suoritetaan oikeushenkilötasolla. Jos tytäryhtiö rikkoo NIS 2 -standardia – olipa kyse sitten puuttuvista todisteista, huonosta tapausten käsittelystä tai jopa periytyneistä konsernitason virheistä – kansalliset viranomaiset ryhtyvät toimiin kyseisen yksikön johtajia ja hallituksen jäseniä vastaan korjaavien toimenpiteiden ja mahdollisten seuraamusten saamiseksi.
Jaetut hallintalaitteet – eivät riitä, ellei niitä ole lokalisoitu
Keskitettyjä, konsernitason työkaluja käyttävien tytäryhtiöiden on edelleen kirjattava yksikkökohtaiset todisteet, hyväksynnät ja tiedot. kirjausketjutPelkkä yrityksen laajuiseen GRC-alustaan viittaaminen ei riitä; sinun on esitettävä yksityiskohtaiset, paikalliset lokit, soveltuvuuslausunnot (SoA:t) ja nimetty vastuuvelvollisuus jokaiselle tytäryhtiölle.
NIS 2 -auditoinnin odotuksena on näyttää työ tytäryhtiöittäin, ei konsolidoituna konsernitilannekuvana.
Jos aukko löytyy, tämä rakenne antaa viranomaisille mahdollisuuden määrätä kohdennettuja sakkoja, korjaavia määräyksiä tai johdon vastuuvelvollisuustoimenpiteitä puuttumatta laajemman konsernin toimintaan – ellei "puute" tietenkään merkitse laajempaa systeemistä vikaa.
Voivatko ryhmät keskittää vaatimustenmukaisuuden valvonnan vai tarvitseeko jokainen tytäryhtiö oman ohjelmansa?
Keskittäminen tarjoaa skaalautuvuutta ja johdonmukaisuutta, mutta NIS 2:ssa se on vivahteikas prosessi: keskitä työkalut ja ohjeistus, hajauta vastuu ja todisteiden kerääminen.
Ylikeskittämisprosessi johtaa vaatimustenmukaisuusmatkustajien – kartoittamattomien yksiköiden – muodostumiseen sokeiksi pisteiksi. Tilintarkastajat pyrkivät nimenomaiseen tytäryhtiöiden omistukseen.
Keskusohjauksen tehokas käyttö
Sääntelyviranomaiset hyväksyvät yhteiset työkalut, mallit ja koulutuksen, jota tarjotaan koko konsernissa, kunhan jokainen tytäryhtiö pystyy osoittamaan:
- Nimetty paikallinen vaatimustenmukaisuudesta ja tietoturvasta vastaava johtaja
- Entiteettitaso riskirekisteris-, SoA- ja tapahtumalokit
- Yksittäiseen yksikköön merkityt hyväksyntäprosessit ja todistelokit
Luokkansa parhaat ohjelmat käyttävät ryhmäalustoja automatisointiin ja yhdenmukaistamiseen, mutta painottavat paikallista mukauttamista ja vastuullisuutta.
Missä keskittäminen epäonnistuu
Ongelmia ilmenee, kun ryhmämalleilta puuttuu paikallinen hyväksyntä, tapahtumalokit ei ole yhdistetty oikeushenkilöihin, tai vaatimustenmukaisuustoimet jättävät huomiotta jäsenvaltioiden päällekkäisyydet. Keskitetty projektin kojelauta, ellei se ole yksikkökohtainen, muuttuu riskien, ei sietokyvyn, lähteeksi.
Tytäryhtiöiden vaatimustenvastaisuudet ovat edelleen suurin yksittäinen auditointipuute konsernirakenteissa, vaikka käytössä olisi kehittynyt, koko konsernia kattava tietoturvan hallintajärjestelmä.
Ole NIS 2 -valmis ensimmäisestä päivästä lähtien
Aloita testatulla työtilalla ja malleilla – räätälöi, määritä ja aloita.
Onko kansallisia eroja - Onko maalla merkitystä toissijaisen soveltamisalan kannalta?
NIS 2 pyrkii EU:n laajuiseen yhdenmukaistamiseen, mutta jokainen jäsenvaltio saattaa direktiivin osaksi kansallista lainsäädäntöään omilla säännöillään ja ajoituksillaan. Jokainen jäsenvaltio odottaa suoraa rekisteröintiä ja vaatimustenmukaisuutta paikallisella oikeushenkilötasolla, usein paikallisten lisävaatimusten kera.
Epävarmoissa tapauksissa käytä aina oletuksena tiukimpia paikallisia ohjeita – yli rekisteröinnin tytäryhtiötasolla.
Vivahteet jäsenvaltioittain
”Ensimmäisenä muuttajana” toimivat maat, kuten Italia, ovat jo ottaneet käyttöön tytäryhtiökohtaisen rekisteröinnin konsernirakenteesta riippumatta, kun taas toiset valtiot noudattavat oletuksena suoraa yksikkötason vaatimustenmukaisuutta, kunnes täysi kansallinen käyttöönotto on saavutettu. Rajat ylittävät päällekkäisyydet toisinaan tekevät työtä päällekkäiseksi, joten sääntelyohjeiden reaaliaikainen seuranta on välttämätöntä, ei kiva lisä.
Ryhmän selviytymiskyvyn suojeleminen
- Seuraa tarkasti sekä EU:n että kansallisia määräyksiä
- Turvallinen paikallinen lakimies
- Rekisteröi jokainen mahdollisesti soveltamisalaan kuuluva tytäryhtiö itsenäisesti – sääntelyviranomaiset tarkastelevat puutteita tiukemmin kuin liiallista valmistautumista
Yksikin huomiotta jätetty paikallinen vaatimus voi vaarantaa monivuotiset sijoitukset ryhmäriskienhallintaan muutamassa kuukaudessa.
Vaikuttaako sektori tytäryhtiöiden tarkastuksen laajuuteen tai tilintarkastukseen?
NIS 2:n mukaiset sektorikohtaiset päällekkäisyydet ovat ratkaisevia. ”Erittäin kriittiset” sektorit, kuten terveydenhuolto, energia, rahoitus ja digitaalinen infrastruktuuri voi käynnistää vaatimustenmukaisuuden jopa tytäryhtiöille, jotka eivät täytä normaalin koon kynnysarvoja.
Kriittisillä aloilla pienet tai äskettäin hankitut tytäryhtiöt voidaan vetää täysimääräisten NIS 2 -velvoitteiden piiriin – toimialaan, ei kokoon liittyvistä syistä.
Sektoriesimerkkitaulukko: Miten NIS 2:n laajuus muuttuu sektorin ja tytäryhtiöprofiilin mukaan
Jokaisen ryhmän on vahvistettava kunkin tytäryhtiön toimialastatus:
| Tytäryhtiö | Sektori | Rekisteröityminen pakollista? | Lisävaiheet |
|---|---|---|---|
| Suuri (100+) | Telecom | Kyllä | Sektoripeittokuvat; parannetut tapausraporttita |
| Pieni (15) | Terveydenhuolto | Kyllä | lokalisoitu tapahtumalokitiukempi aikataulu hallituksen tarkastuksissa |
| Keskikokoinen (50) | SaaS/Pilvi | Joskus | Vahvista toimialakohtaiset tiedot; vaatimustenmukaisuutta ei aina vaadita |
| Hankinta | liikenne | Usein | On yhdenmukaistettava ja rekisteröitävä 6 kuukauden kuluessa hankinnasta |
Pienet energia- ja televiestintäalan tytäryhtiöt yllättyvät usein siitä, kuinka suuri niiden auditoinnin laajuus on suurempi kuin niiden koko. Auditointi tehdään aina paikallisesti.
Yhtenäistä vaatimustenmukaisuutta ei voida olettaa; sektorien päällekkäisyydet siirtävät vaatimustenmukaisuuden rajoja koko ryhmän salkuissa.
Sovita tarkastussuunnitelmat sektorille
- Vahvista sektorien päällekkäisyydet jokaiselle tytäryhtiölle – ei vain emoyhtiön tasolla
- Karttayksikkötaso riskirekisteris, tapaturmaraportit ja todistelokit toimialan vaatimusten mukaisesti
- Varmistaa tapahtuman vastaus ja säänneltyjen alojen hallituksen hyväksyntäaikataulut - vaatimukset tiukkenevat
Kaikki NIS 2 -tietosi yhdessä paikassa
Artikloista 20–23 auditointisuunnitelmiin – toteuta ja todista vaatimustenmukaisuus alusta loppuun.
Yksikkötason jäljitettävyystaulukko ja ISO 27001 -silta - Miten todistat kunkin tytäryhtiön vaatimustenmukaisuuden?
Vaatimustenmukaisuuden onnistuminen ei riipu käytäntöjen yhdenmukaistamisesta vaan jäljitettävyydestä – sääntelyviranomaiset ja tilintarkastajat odottavat jokaisella tytäryhtiöllä on oltava näkyvä ja jatkuva todistusaineistoAukot tai epäselvyydet siitä, kuka omistaa mitä, tulevat olemaan pullonkauloja tilintarkastuksessa tai tietomurron sattuessa.
Puolet viime vuonna tapahtuneista NIS 2 -auditoinnin epäonnistumisista johtui puuttuvista tai puutteellisesti kartoitetuista tytäryhtiöiden soveltuvuuslausunnoista ja todisteista, eivät toimintaperiaatteiden aukoista.
Kuinka rakentaa yksiselitteinen jäljitettävyys
Tarkastuspaneelit ja sääntelyviranomaiset soveltavat tytäryhtiöiden jäljitettävyyteen neljää keskeistä testiä:
- SoveltamisalatapahtumaMikä laukaisi tytäryhtiön NIS 2 -velvoitteen?
- RiskivastausMinkä riskinarvioinnin tai päivityksen tämä käynnisti?
- OhjauskartoitusMitä kontrollimekanismeja otettiin käyttöön, kuka ne otti käyttöön ja mihin tahoon ne liitettiin?
- Todisteet ja lokikirjausMitä konkreettisia todisteita – lokeja, hyväksyntöjä – luotiin oikealla tasolla?
Jäljitettävyystaulukon esimerkki
| Laukaista | Riskipäivitys | Ohjaus / SoA | Todisteet kirjattuina |
|---|---|---|---|
| 50 FTE:n rajapyykki rikottu | Tytäryhtiö merkitty kuulumaan tarkastuksen piiriin | Tietoturvan hallintajärjestelmäkäytäntö A.5.1 | Rekisteröity johtaja; SoA; nimenhuuto |
| Pieni, energiasektori, kriittinen | Sektorin päällekkäisyys lisätty | Sektorivalvontapolitiikka | Sektorin päällekkäisloki; tarkastusasiakirjat |
| Kuljetushankinta | Perehdytyksen due diligence -prosessi | Yrityskauppojen ja -fuusioiden valvonta | Hallituksen pöytäkirja; omaisuuden inventaariloki |
ISO 27001 -siltataulukko: Käyttöönoton odotukset
| NIS 2 -odotus | ISMS.online Tekniikka / Käytäntö | ISO 27001/Liite A -valvonta |
|---|---|---|
| Yksikön rekisteröinti (paikallinen taso) | Vaatimustenmukaisuuden työnkulut yksikkökohtaisesti | Kohta 4.3, A.5.1 |
| Tarkastuslokit (yksilölliset, yksikköä kohden) | Erillinen tarkastuslausunto, todisteet yksikkökohtaisesti | A.5.1, A.5.35, A.8.34 |
| Sektorikerrokset (lokalisointi) | Sektorikerrosten yhdistäminen | A.5.19, A.5.21 |
Tytäryhtiöiden vaatimustenmukaisuus on todistettu vain, kun kontrollit, vastuulliset omistajat ja todisteet voidaan kartoittaa suoraan – ei yhteyksiä, ei tarkastustulosta.
Aloita toissijaisen laajuuden ja todisteiden kartoittaminen ISMS.online-sivustolla jo tänään
Seuraavassa tarkastuksessa tai tarjouskilpailussa vaaditaan enemmän kuin koko konsernia kattavaa varmennuskieltä: tilintarkastajat odottavat käyvänsä läpi yksikkö yksikkö kerrallaan, itsenäisesti rekisteröityjen tytäryhtiöiden, toimialojen ja elävä todiste tukkeja.
ISMS.online varustaa ryhmärakenteet kartoittaa jokaisen tytäryhtiön, määrittää paikalliset omistajat, jäljittää jokaisen todisteen ja ylläpitää yhtä vaatimustenmukaisuuden hallintapaneelia, joka heijastaa kaikkia kansallisia ja toimialakohtaisia vaatimuksia – menettämättä yhdenmukaistettujen työnkulkujen etuja.
Vuonna 2024 yli 1 000 konsernirakennetta EU:ssa korjasi tiedonhaun puutteita ja poisti havaitsematta jääneiden yksiköiden riskin ISMS.onlinen vaatimustenmukaisuuskehyksen avulla.
Tilannevedokset: Kuinka saavuttaa ryhmän kestävä vaatimustenmukaisuus
- Kartoita jokainen tytäryhtiö, olipa se kuinka pieni tai uusi
- Määritä kullekin yksikölle reaaliaikainen vaatimustenmukaisuuden omistaja
- Palkkaa tai pidä paikallista asiantuntemusta navigoidaksesi kansallisissa verkostoissa jokaisessa maassa
- Varmista, että jokainen loki, soA, riskinhallinta ja tapahtumasuunnitelma ovat jäljitettävissä kyseiseen yksikköön – ei vain pääkonttoriin.
- Käytä keskitettyjä kojelaudan näkymiä, mutta täydennä niitä entiteettitason näkymillä ja dokumentaatiolla
Aloita nyt. Vähiten näkyvä taho on usein ensimmäinen syy ryhmän altistumiselle – ja heikoin lenkki vaatimustenmukaisuusketjussasi pysyy harvoin hiljaa pitkään.
Valmistaudu luottavaisin mielin NIS 2 -auditointeihin ja kansallisten sääntelyviranomaisten pyyntöihin kartoittamalla jokainen tytäryhtiö ja sektori ISMS.online-työkalulla – niin jokainen auditoinnin piiriin kuuluva oikeushenkilö on katettu, jokainen valvonta on puolustettavissa ja ryhmäsi on edelläkävijä yksikkökohtaisen, auditointivalmiin vaatimustenmukaisuuden suhteen.
Varaa demoUsein Kysytyt Kysymykset
Miten NIS 2 määrittää, tarvitsevatko tytäryhtiöt erillisen vaatimustenmukaisuuden, vai riittääkö pelkkä emoyhtiön ohjelma?
NIS 2 edellyttää, että jokainen konsernin oikeushenkilö – emo- tai tytäryhtiö – arvioidaan erikseen ja pidetään vastuussa omasta vaatimustenmukaisuudestaan riippumatta siitä, miten keskitettyjä ohjelmia tai dokumentaatiota hallinnoidaan.
Jos tytäryhtiö täyttää paikalliset koko-, toimiala- tai riskikynnykset, se ei voi yksinkertaisesti "periä" emoyhtiön vaatimustenmukaisuusohjelmaa. ENISA vahvistaa tämän: jokaisen vaatimukset täyttävän yrityksen on suoritettava oma rekisteröintinsä, riskinarviointinsa ja ylläpidettävä reaaliaikaista seurantaa. Kirjausketjuvaikka konsernin käytännöt auttaisivatkin yhdenmukaistamisessa (ENISA, 2024). Tilintarkastajan näkökulmasta ei ole olemassa "yleistä" vakuutusta – tytäryhtiöiden on esitettävä paikalliset todisteet, nimettävä vastuulliset johtajat ja toimitettava erilliset raportit, jos kansallinen laki niin vaatii.
Taulukko: NIS 2:n toissijaiset laajuussäännöt
| Entiteettiskenaario | Rekisteröinti vaaditaan mennessä | Paikalliset todisteet? | Yhteinen tulos |
|---|---|---|---|
| Vain vanhemmille tarkoitettu ryhmä | Vanhempi | Kyllä | Tilaajariskin valvonnan puutteet |
| Tytäryhtiö > kynnysarvo | Tytäryhtiö | Kyllä | On näytettävä tarkastusketju |
| Yhteisyritys tai rajat ylittävä rakenne | Molemmat/kaikki yksiköt | Kyllä | Jokainen tiedosto tarkastetaan paikallisesti |
Jos tytäryhtiö kuuluu säännösten piiriin, mutta siitä puuttuu yksilöllisiä lokeja tai arkistointeja, et ole paikannut ryhmäsi vaatimustenmukaisuusvajetta.
Voiko tytäryhtiö hyötyä konsernin NIS 2 -säännösten noudattamisesta, vai onko sen toimittava itsenäisesti?
Ei: NIS 2 määrää, että jokaisen tytäryhtiön on "seisottava omilla jaloillaan".
Direktiivi ja viimeaikaiset täytäntöönpanon valvontaa koskevat ohjeet vahvistavat tämän Yksikkötason vastuullisuus on tärkeämpää kuin ryhmätason mukavuusKeskitetyt tietoturvallisuuden hallintajärjestelmät tai yhtenäiset käytännöt voivat ohjata ja nopeuttaa vaatimustenmukaisuutta, mutta jokaisen tytäryhtiön on ylläpidettävä omaa rekisteröintiä, riski- ja tapahtumalokeja sekä otettava aktiivisesti käyttöön valvontakeinoja (Advisense, 2024). Jos tytäryhtiö tarkastetaan, sääntelyviranomaiset vaativat todisteita siitä, että se ei ole vain "asettanut ja unohtanut" ryhmäkäytäntöjä, vaan hallinnoinut aktiivisesti paikallisia vaatimuksia. Yritys oikaista yksikkötason vaatimustenmukaisuutta johtaa usein päällekkäiseen tarkastustyöhön tai seuraamuksiin tapahtuman jälkeisissä tutkimuksissa.
Minitaulukko: Ryhmän ja tytäryhtiön vastuu
| Vaatimustenmukaisuusvaihe | Sallittu koko ryhmälle? | Tarvitaanko lisätoimenpiteitä? |
|---|---|---|
| Keskitetyt käytäntömallit | Kyllä | Täytyy räätälöidä/omaksua paikallisesti |
| Rekisteröinti ja raportointi | Ei | On arkistoitava, kirjattava ja määritettävä liidi |
| Todistelokit/SoA/riskitiedot | Ei | Täytyy olla yksikkökohtainen |
Tilintarkastajien on nähtävä kunkin tytäryhtiön sormenjäljet, ei vain emoyhtiön allekirjoitusta käytännössä.
Kuka on vastuussa, jos tytäryhtiö laiminlyö NIS 2 -velvollisuutensa – konsernin emoyhtiö vai tytäryhtiö?
Vastuu on suora ja lankeaa maksukyvyttömälle tytäryhtiölle; konserniyhtiöt eivät ole automaattisesti vastuussa, elleivät ne itse kuulu järjestelmän piiriin.
Kun tytäryhtiö laiminlyö vaaditun vaiheen, kuten rekisteröinnin, toimialakohtaisen päällekkäisyyden, todistelokien tai tapausraportoinnin, sääntelyviranomaiset kohdistavat toimenpiteet juuri vastuulliseen oikeushenkilöön. Vaikka ryhmäohjelma olisi olemassa, täytäntöönpanotoimet (kuten määräykset, sakot tai nimeäminen) osoitetaan kyseiselle rikkomuksen tehneelle taholle (Hogan Lovells, 2024; Alliuris, 2024). Konserni joutuu vastuuseen vain, jos se itse kuuluu rikkomuksen piiriin tai jos sen on todistettu järjestäneen/laiminlyöneen vaatimuksia korkeammalla tasolla.
Ei ryhmätason immuniteettia: Jokainen tytäryhtiö seisoo tai kaatuu oman vastuunsa varassa – paikallinen tarkastusvalmius ei ole valinnainen.
Voiko NIS 2:n alaisuudessa hoitaa konserninlaajuisen tai keskitetyn vaatimustenmukaisuuden valvonnan, ja minkä on pysyttävä paikallisena?
Keskittäminen on tehokasta, mutta se ei koskaan korvaa tytäryhtiöiden omistusta. ENISA ja johtavat sääntelyviranomaiset kannustavat konserninlaajuisiin alustoihin ja jaettuihin pohjiin työnkulkujen virtaviivaistamiseksi (katso tapaustutkimuksia ISMS.online-asiakkaiden osalta), mutta yksikkötason näyttö ja paikallinen käyttöönotto eivät ole neuvoteltavissa.
Jokaisen tytäryhtiön on esitettävä reaaliaikainen riskirekisteri, soveltuvuuslauseke, paikallinen omistaja ja tuoreilla lokeilla uudelleenkäytetyt ryhmädokumentit eivät riitä (ENISA, 2024; PWC Hungary, 2024). Alustat, kuten ISMS.online, mahdollistavat tämän kaksinaisuuden: yhdenmukaiset käytännöt ylhäältä, räätälöidyt valvonnat ja tarkastusevidenssi jokaisessa entiteetissä.
Taulukko: Mitä ryhmät voivat jakaa vs. mitä tilaajien on omistettava
| Vaatimustenmukaisuuselementti | Ryhmäjako mahdollista? | Täytyykö olla tytäryhtiön paikallinen? |
|---|---|---|
| Käytäntömallit | Kyllä | Paikallinen adoptio vaaditaan |
| SoA/ohjausloki | Ei | Jokainen yksikkö lokittaa, päivittää |
| Rekisteröityminen/yhteydenotto | Ei | Tiedosto yksikköä ja sektoria kohden |
| Riskianalyysit | Osittainen | On validoitava/mukautettava paikallisia |
Yhdenmukaistettu tietoturvan hallintajärjestelmä on tehokas vain, jos jokainen oikeushenkilö on rekisteröity, rekisteröity ja valmis auditoitavaksi itsenäisesti.
Vaikuttavatko kansalliset ja toimialakohtaiset säännöt tytäryhtiöiden toiminnan laajuuteen tai hallintaan NIS 2:n puitteissa?
Ehdottomasti. Jokainen EU:n jäsenvaltio ja säännelty sektori ottaa käyttöön päällekkäisyyksiä, jotka muokkaavat vaatimustenmukaisuutta:
Jotkut maat (esim. Italia, Unkari) pakottavat erilliset rekisteröinnit ja paikalliset päätehtävät jokaiselle yksikölle ryhmäjärjestelmistä riippumatta (Cullen International, 2024). Digitaalinen infrastruktuuri, energia ja terveydenhuolto asettavat usein alhaisemmat kynnysarvot tytäryhtiöiden toiminnan laajuuden määrittämiselle ja voivat nopeuttaa raportointia tai hallituksen vastuuseen liittyviä vaatimuksia (OpenKritis, 2024).
Toimialat tai maat päivittävät säännöllisesti – joskus kuukausittain – täytäntöönpanosääntöjä, mikä tarkoittaa, että tytäryhtiön nykyiset velvoitteet voivat muuttua ennen seuraavaa tarkastusta. Hallitusten on aktiivisesti seurattava kansallisia ja toimialakohtaisia ohjeita ja oltava valmiita vahvistamaan tytäryhtiöiden vaatimustenmukaisuus uudelleen, kun siitä ilmoitetaan.
Taulukko: Esimerkkejä kansallisista ja sektorikohtaisista muuttujista
| Muuttuja | Mahdollinen vaikutus |
|---|---|
| Maa | Ennakko-/myöhästymisrekisteröinti, hakemukset |
| Sektori | Matalammat kynnysarvot, enemmän lokeja |
| Organisaatiorakenne | Yhteisyritykset, rajat ylittävät = kaksoishakemukset |
| Tytäryhtiön koko | Voi käynnistää laajuuden määrittämisen, jos se on kriittistä |
Sääntöjen noudattaminen ei ole staattista – sääntömuutokset voivat sulkea tytäryhtiöt pois säännöistä ilman erillistä ilmoitusta.
Mitä NIS 2:n "toissijainen tarkastusketju" voi tarkoittaa? Mitä todisteita tilintarkastajat odottavat?
Vaatimustenmukaisen tarkastusketjun linkit jokainen laajuusmääritystapahtuma, kuten henkilöstömäärän kasvu, toimialan muutos tai yritysosto, julkaistaan omistajan nimeämillä lokeilla ja ajantasaisilla valvontamekanismeilla kullekin tytäryhtiölle.
Tilintarkastajat pyytävät jäljittämään asian kohdasta ”miksi tämä tytäryhtiö on tarkastusten kohteena” aina kohtaan ”todisteet siitä, että riski on arvioitu, hallittu ja todisteet kirjattu”. Puutteita esiintyy usein silloin, kun konsernipolitiikat ovat voimassa, mutta niitä ei ole hyväksytty tai dokumentoitu yksilöllisesti yksikkökohtaisesti, erityisesti yritysostojen jälkeen. Parhaana käytäntönä on, että jokainen tytäryhtiö esittelee ajantasaisen tarkastuslausunnon (SOA), ajantasaisen riskirekisterin ja tarkastustiedoston, joka sisältää paikalliset johtajat ja sektorit (Hogan Lovells, 2024; ENISA, 2024).
Taulukko: Jäljitettävissä olevat tapahtumat auditointivalmiiksi todisteeksi
| Laukaista | Riski/Tapahtuma | Ohjaus/SoA | Todiste kirjattu |
|---|---|---|---|
| Yli 50 kokoaikaista työntekijää palkattu | Ilmoitettu soveltuviksi | Käytäntö A.5.1 osoitettu | Omistaja rekisteröity, loki päivitetty |
| Sektorin päällekkäisyys | Sektori aktivoitu | Sektorin SoA kartoitettu | Toimialakohtainen tarkastusmerkintä |
| Hankinta | Due diligence -tapahtuma | Yrityskauppa- ja fuusiokontrolli otettiin käyttöön | Hankintarekisterimerkintä |
Tarkastusvakuutus tulee yksikkötason lokitiedoista – ei pelkästään ryhmätiedostoista – jotka osoittavat reaaliaikaisen omistajuuden ja todisteet.
Miten takaat, että konserni ja kaikki tytäryhtiöt ovat todella NIS 2 -auditointivalmiita?
Hyödynnä yhteensopivuutta parantavaa alustaa yksikkötason rekisterit ja kontrollit koko konsernin valvonnan alaisuudessa-joten jokainen oikeushenkilö, koosta tai sijainnista riippumatta, on kirjattu ja valmis, kun tarkastusraja vedetään.
Vuonna 2024 ISMS.onlinea käyttävät eurooppalaiset ryhmät vähensivät NIS2-arvoaan auditoinnin valmistelu yli 40 % ja esti tarkastusvirheitä, jotka johtuivat tytäryhtiöiden todisteiden tai ilmoitusten puuttumisesta (Advisense, 2024). Tämä lähestymistapa antaa jokaiselle paikalliselle johtajalle selkeän koontinäytön ja elävän tarkastuspolun, kun taas konsernin hallinto voi luotettavasti kartoittaa vaatimustenmukaisuuden koko portfoliossa. Käynnistävien tekijöiden kartoittaminen, tapahtumien kirjaaminen ja kontrollien ylläpitäminen jokaisessa yksikössä on nyt vähimmäiskynnys selviytymiskyvylle ja luottamukselle sääntelyviranomaisten kanssa.
Identiteettikehotus:
Kartoita konsernisi ja tytäryhtiöidesi vaatimustenmukaisuus yhtenäisessä ympäristössä ja varmista, että jokainen oikeushenkilö – emoyhtiö, tytäryhtiö tai yhteisyritys – on rekisteröity, auditoitava ja luotettava. ISMS.onlinen avulla koko konsernisi voi täyttää NIS 2 -vaatimukset suoraan: ei unohtuneita ilmoituksia, ei piilotettuja aukkoja, ei yllätyksiä auditoinnissa.
