NIS2-direktiivi

NIS2 on Euroopan Unionin uusi tietoturvadirektiivi. Unionin tasolla jo hyväksytty direktiivi on tällä hetkellä siirtymäajalla kansalliseen lainsäädäntöön. Direktiivin saattaminen kansalliseen lainsäädäntöön on yksi uuden hallituksen ensimmäisiä tehtäviä vuoden 2023 aikana. Työ on aloitettu Liikenne- ja Viestintäministeriössä.  Yritysten toiminnan tulee olla direktiivin mukaista lokakuusta 2024 alkaen.

NIS2-direktiivi vaatii yhä useammilta eurooppalaisilta yrityksiltä laajoja panostuksia hallinnolliseen ja tekniseen tietoturvaan. Direktiivin tavoitteena on kehittää kyberturvallisuuden tasoa koko unionissa. Soveltamisala on hyvin laaja ja osuu monenlaisiin yhteiskunnan turvallisuuden ja sujuvan arjen kannalta tärkeisiin toimintoihin. Esimerkkejä näistä ovat esimerkiksi energia-ala ja elintarviketeollisuus.

Suomen lainsäädäntötyö on päässyt kunnolla vauhtiin ja alustava esitys direktiivin toimeenpanevasta laista on julkaistu. Suomeen tulee uusi laki kyberturvallisuuden riskienhallinnasta, joka määrää lain soveltamisaloille kuuluvien yritysten tietoturvan tasoa. Lähtökohtaisesti laki koskee soveltamisaloihin kuuluvia keskisuuria ja sitä isompia yrityksiä (vähintään 50 työntekijää tai 10 miljoonan liikevaihto tai taseen loppusumma). Osaa kriittisistä toimijoista direktiivi ja tuleva laki koskee koosta riippumatta.

On syytä huomata, että direktiivi, ja sitä myöten myös tuleva laki, koskee lisäksi näiden yritysten toimitusketjuja. Pienemmiltäkin toimijoilta tullaan siis vaatimaan osaa toimenpiteistä.

Haluatko tietää, millaisilla toimenpiteillä yrityksesi kannattaa lähteä kohti NIS2-valmiutta?

Mitä organisaatioita NIS2 koskee?

NIS2 koskee seuraavilla aloilla toimivia yrityksiä ja organisaatioita:

• Energia-ala
• Liikenne
• Finanssiala
• Vesihuolto
• Terveydenhuolto
• Digitaalinen infrastuktuuri
• Tietoverkkopalvelut
• Julkishallinto
• Avaruusalan toimijat
• Posti- ja kuriiripalvelut
• Elintarvikkeiden valmistus, tuotanto ja jakelu
• Valmistava teollisuus
• Kemianteollisuus
• Jätehuolto
• Digitaalisten palveluiden tarjoajat
• Tutkimustoiminta

Direktiivi koskee siis huomattavasti useampia yrityksiä kuin ensimmäinen NIS-direktiivi.

Laajempia ovat niin ikään direktiivin vaatimukset. Uusi direktiivi asettaa yrityksille seuraavia vaatimuksia:

• Dokumentoidut riskianalyysit tietoturvakohdista
• Valmiit politiikat tietoturvapoikkeamien käsittelyyn. Tietoturvapoikkeama voi olla esimerkiksi kadonnut tai varastettu organisaation laite, tietojenkalastelun uhriksi joutuminen tai luvattoman henkilön liikkuminen toimitiloissa.
• Toiminnan jatkuvuuden hallinta. Näitä voivat olla esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta.
• Toimitusketjun turvallisuuden ymmärtäminen ja arviointi. Tämä sisältää hankintaketjuun kuuluvien toimittajien sekä niiden välittömien toimittajien ja palveluntarjoajien välisten suhteiden turvallisuusnäkökohtien arvioinnin.
• Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden varmentaminen. Tämä vaatimus sisältää myös vaatimuksen haavoittuvuuksien käsittelystä ja julkaisusta.
• Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.
• Dokumentoidut kyberhygieniakäytännöt ja kyberturvallisuuskoulutus.
• Toimintaperiaatteet ja menettelyt kryptografiaa ja tarvittaessa salausta koskien.
• Toimenpiteet henkilöstöturvallisuuteen liittyen, periaatteet pääsynhallintaan ja omaisuudenhallinta.
• Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestiliikenteen sekä suojattujen hätäviestijärjestelmien käyttö toimijan toiminnassa.

Miten saavuttaa NIS2-valmius?

Ylläolevat vaatimukset laittavat organisaatiot perustamaan dokumentoidun tietoturvan hallintajärjestelmän. Tämän myötä selkein, ja monille yrityksille todennäköisesti järkevin, tapa täyttää NIS2-direktiivin vaatimukset on lähteä kohti ISO/IEC 27001 -standardin tietoturvan hallintajärjestelmää.

Myös samaisen sertifikaatin hankinta on todennäköisesti hyvä ajatus, sillä kolmannen osapuolen auditoimaa standardinmukaista järjestelmää, josta on todistus, on helpompaa pitää kaupan ehtona kuin erikseen varmennettavaa toimittajan omaa järjestelmää.

NIS2 asettaa sitä koskeville yrityksille vaatimuksen varmentaa myös toimitusketjunsa tietoturva. Joten vaatimukset koskevat osittain myös niitä yrityksiä, jotka toimittavat alihankkijoina NIS2-vaatimusten alle kuuluville organisaatioille palveluita tai tuotteita.

Hankki sertifikaattia tai ei, on olennaista dokumentoida oma hallintajärjestelmä viranomaisten mahdollisten tarkastuksien varalle.

Asiantuntijamme vinkit ensiaskelina kohti NIS2-valmiutta

1. Tunnista sidosryhmät ja heidän esittämät vaatimukset
2. Luo tavoitteet tietoturvalle
3. Dokumentoi riskienhallintaprosessi
4. Rakenna tietoturvan tason ja riskienhallinnan mittauskyvykkyys
5. Dokumentoi tietoturvapoikkeamien ja liiketoiminnan jatkuvuuden hallinta

Olisiko ISO27001-standardin mukainen hallintajärjestelmä hyvä ratkaisu ?

Monissa Euroopan maissa NIS2 on niputettu sulavasti yhteen kansainvälisen ISO/IEC 27001 -standardin kanssa. NIS2:n vaatimukset tulevat pitkälti kuitatuksi standardinmukaisella tietoturvan hallintajärjestelmällä. Suomessa on toistaiseksi oltu varovaisempia yhtäläismerkkien kanssa eikä esimerkiksi Traficomin materiaali NIS2:sta mainitse suoraan lainkaan ISO-standardia.

ISO 27001 -sertifioinnissa on kuitenkin se kiistaton etu, että antaa yritykselle kolmannen osapuolen auditoiman todisteen siitä, että yritys huolehtii tietoturvastaan laadukkaasti.

Mikäli NIS2-vaatimuksienmukaisuuden yhteen haluaa lähteä samalla rakentamaan ISO 27001 -standardin mukaista hallintajärjestelmää, voi 2NS tukea tässäkin. Tietoturvan johtamisen osaajillamme on pitkä kokemus hallintajärjestelmien rakentamistyöstä ja sisäisistä auditoinneista, joilla pohjustetaan varsinaista sertifikaatin hankintaa. Autamme sertifikaatin hankkimisessa ja sen ylläpidossa.

Prosessi etenee sujuvasti laadukkaiden auditointiprosessiemme mukaan, jotka löytyvät alta:

1. 1. 1. Lähtötilanne selvitetään esihaastattelulla
      2. Kartoituksessa eli Gap-analyysissa kartoitetaan nykytilanne
         
      3. Kehitysvaiheessa autetaan asiakasta kehittämään tietoturvan mahdollisia puutteita
         
      4. Sisäisessä auditoinnissa varmennetaan asiakkaan tietoturvajärjestelmän vaatimustenmukaisuuden toteutuminen
      5. ISO 27001 -sertifiointi akkreditoidun sertifiointitahon toimesta
         
      6. Säännöllisillä sisäisillä tarkastuksilla varmennetaan, että tietoturvan johtamisjärjestelmää kehitetään jatkuvasti ja se pysyy standardin vaatimusten mukaisena
      7. Sertifioinnin jälkeen sertifioija valvoo sertifikaatin toteutumista auditoinneilla
         

Lisätietoa ISO 27001- ja ISO 27701 -polun yksityiskohtaisesta etenemisestä löydät asiantuntijablogistamme.

Haluatko tietää, millaisilla toimenpiteillä yrityksesi kannattaa lähteä kohti NIS2-valmiutta?