Kuuluuko organisaatiosi NIS 2 -direktiivin alaisuuteen? Direktiivi vaatii yhä useammalta yritykseltä parempia panostuksia tietoturvaan.
NIS 2 -direktiivin soveltamisalaan kuuluu huomattavasti laajempi joukko yrityksiä, kuin alkuperäiseen NIS-direktiiviin. NIS 2 direktiivi koskee seuraavilla aloilla toimivia yrityksiä: Energiahuolto, terveydenhuolto, vesihuolto, liikenne, pankkitoiminta, finanssimarkkinoiden infrastuktuurit, digitaalinen infrastuktuuri, TVT-palveluntarjoajat, julkishallinto, avaruustoiminta, posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, tuotanto ja jakelu, elintarviketuotanto ja -jakelu, valmistus, digitaaliset palveluntarjoajat ja tutkimustoiminta.
Lista direktiivin alle asettuvista aloista on siis huomattavasti laajempi, kuin aiemmalla NIS-direktiivillä. Samalla myös vaaditut toimenpiteet ovat aiempaa huomattavasti laajempia.
Lue lisää: Mikä on NIS2 -direktiivi
Miten yritys täyttää direktiivin vaatimukset?
Direktiivissä vaaditut toimenpiteet ja politiikat:
-
Dokumentoidut riskianalyysit tietoturvakohdista
Valmiit politiikat tietoturvapoikkeamien käsittelyyn
Toiminnan jatkuvuuden hallinta. Näitä voivat olla esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta.
Toimitusketjun turvallisuuden ymmärtäminen ja arviointi. Tämä sisältää hankintaketjuun kuuluvien toimittajien sekä niiden välittömien toimittajien ja palveluntarjoajien välisten suhteiden turvallisuusnäkökohtien arvioinnin
Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden varmentaminen. Tämä vaatimus sisältää myös vaatimuksen haavoittuvuuksien käsittelystä ja julkaisusta
Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
Dokumentoidut kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
Toimintaperiaatteet ja menettelyt kryptografiaa ja tarvittaessa salausta koskien
Toimenpiteet henkilöstöturvallisuuteen liittyen, periaatteet pääsynhallintaan ja omaisuudenhallinta
Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestiliikenteen sekä suojattujen hätäviestijärjestelmien käyttö toimijan toiminnassa
Monet näistä ovat sellaisia kohtia, joihin yritykset ovat jo panostaneet tavalla tai toisella. Uusi direktiivi vaatii kuitenkin näiden huomioonottoa kokonaisvaltaisesti ja dokumentoidusti. Vaatimuksien laajuus sovelletaan kullekkin yritykselle riskianalyysin perusteella, joten toimenpiteet eivät ole kaikilta osin identtisiä tuhansien työntekijöiden yrityksille ja alle sadan henkilön alihankkijoille.
Mietitkö, millä toimilla kannattaa lähteä kohti NIS2:n ehdot täyttävää tietoturvan hallintajärjestelmää? Lue tästä miten lähteä liikkeelle yrityksen tietoturvan tason selvittämisessä.
Direktiivin vaatimusten täyttämisessä tukee erittäin hyvin ISO/IEC 27001 -standardin mukaisen tietoturvan hallintajärjestelmän perustaminen. NIS2:n soveltamisalaan kuuluvien yritysten kannattaa vahvasti harkita ISO/IEC 27001 -sertifiointia kokonaisuudessaan. Sertifioinnin edellyttäminen tulee varmasti yleistymään merkittävästi esimerkiksi sopimusehtona uuden direktiivin myötä. Kolmannen osapuolen myöntämä sertifikaatti on asiakkaalle huomattavasti kevyempi tapa todistaa direktiivin vaatimusten täyttö kuin tietoturvan hallintajärjestelmän arviointi erikseen.
Ole yhteydessä meihin, jos mietit mitä toimia uusi direktiivi vaatii organisaatioltasi. NIS 2:n velvoitteet astuvat voimaan lokakuussa 2024 ja asiassa on paras olla liikkeellä jo hyvissä ajoin.
NIS2-direktiivi pähkinänkuoressa
- Yritysten tietoturvan tasoa määrittävä direktiivi
Soveltamisala on ensimmäistä NIS-direktiiviä huomattavasti laajempi
NIS2 pakottaa yhä useamman yrityksen panostamaan tietoturvan hallintajärjestelmään ja käytäntöihin sekä tietoturvapoikkeamista raportointiin
Direktiivin artiklojen rikkomisesta on säädetty sakko, 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. Sakkoja voidaan antaa artiklojen 21 tai 23 rikkomisesta.
Direktiivin vaatimukset voi täyttää todennäköisesti täysin tai ainakin hyvin suurelta osin ISO/IEC 27001 -standardin mukaisella tietoturvan hallintajärjestelmällä (ISMS) ja jatkuvuudenhallinnalla
NIS2:n soveltamisalaan kuuluvien yritysten kannattaa vahvasti harkita ISO/IEC 27001 -sertifiointia kokonaisuudessaan. Sertifioinnin edellyttäminen tulee varmasti yleistymään merkittävästi esimerkiksi sopimusehtona uuden direktiivin myötä. Kolmannen osapuolen myöntämä sertifikaatti on asiakkaalle huomattavasti kevyempi tapa todistaa direktiivin vaatimusten täyttö kuin tietoturvan hallintajärjestelmän arviointi erikseen
Hyvä ensiaskel kohti NIS2:n vaatimuksien täyttöä on gap-puuteanalyysi, joka vertaa yrityksen tietoturvahallinnan nykytilaa ISO/IEC 27001:n -vaatimuksia vasten
Jos tarvitset apua NIS2-direktiivin kanssa, ota yhteyttä!