Uusi NIS2 -direktiivi astui voimaan 14. joulukuuta 2022. Tämä EU:n uusi direktiivi ottaa kantaa kriittisten alojen yritysten tietoturvaan. Direktiivejä säätävän Eurooppa-neuvoston tavoitteena on NIS2:n avulla parantaa koko Euroopan Unionin kyberturvallisuuden perustasoa.
Käytännössä direktiivin merkittävin vaikutus on siinä, että direktiivin soveltamisalat laajentuvat aiemmista NIS-soveltamisaloista. Ensimmäinen NIS-direktiivi vaatii poikkeuksista ilmoittamista, mutta nyt täytyy huolehtia myös tietoturvan käytännöistä yrityksissä.
Direktiivissä sovellettavia toimialoja ovat energia-ala, liikenne, finanssiala, vesihuolto, terveydenhuolto, digitaalinen infrastuktuuri, tietoverkkopalvelut, julkishallinto, avaruusalan toimijat, posti- ja kuriiripalvelut, elintarvikkeiden valmistus, tuotanto ja jakelu, valmistava teollisuus, kemianteollisuus, jätehuolto, digitaalisten palveluiden tarjoajat sekä tutkimustoiminta.
Lista aloista joita direktiivi koskee on siis kattava. Kaikilla näistä on tehty jo panostuksia tietoturvaan. Osalla enemmän kuin toisilla.
NIS2 -direktiivi astui voimaan joulukuussa, joten siirtymäaika kansalliseen lainsäädäntöön on käynnissä
NIS2 asettaa näiden alojen toimijoille uuden minimitason kyberturvallisuusriskien hallintaan. Kyberturvallisuuteen liittyvät riskit täytyy analysoida ja tietojärjestelmän turvallisuutta koskevat politiikat asettaa yrityksissä. Tietoturvapoikkeamat täytyy käsitellä ja jatkuvuudenhallinta suunnitella. Samalla on yrityksien vastuulla pitää huolta oman toimitusketjunsa turvallisuudesta. Verkko- ja tietojärjestelmähankinnan ylläpitoon ja kehittämiseen kuuluu mukaan kyberturvallisuuden huomiointi.
Lisäksi yrityksien täytyy satsata perustason kyberhygieniakäytäntöihin ja kyberturvallisuuskoulutukseen.
Nämä kaikki vaaditaan artiklassa 21. Toinen tärkeä artikla on artikla 23, joka määrää yritykset raportoimaan tietoturvapoikkeamista. Merkittävistä poikkeamista on raportoitava 24 tunnin sisällä käyttäjille joihin poikkeama vaikuttaa, sekä viranomaisille.
Näiden artikloiden rikkomisesta on säädetty sakkona 10 miljoonaa euroa tai 2 prosenttia globaalista liikevaihdosta, sen mukaan, kumpi on suurempi summa.
Miten yritys täyttää NIS2:n vaatimukset
Mitä yrityksen sitten täytyy tehdä täyttääkseen NIS2:n asettamat vaatimukset? Selkein lähtöaskel on perustaa dokumentoitu tietoturvan hallintajärjestelmä ja mielellään hankkia sille ISO/IEC 27001 -sertifiointi. ISO/IEC 27001 -standardin ytimessä oleva tietoturvan johtamis- ja hallintajärjestelmä (ISMS) kattaa pitkälti NIS2:n asettamat vaatimukset ja samalla ulkopuolisella auditoinnilla varmistetaan hallintajärjestelmän käytäntöjen toiminta.
Toimintojen laajuus määräytyy riskianalyysin perusteella, joten direktiivin vaatimusten täyttäminen ei ole identtistä eri yritysten ja organisaatioiden kesken. Esimerkiksi yrityksen koko vaikuttaa toimenpiteiden laajuuteen.
Työ on suositeltavaa aloittaa mahdollisimman pian, sillä direktiivissä on 21kk mittainen siirtymäaika kansalliseen lainsäädäntöön, eli toiminnan täytyy olla direktiivien mukaista lokakuussa 2024. Autamme asiakkaitamme esimerkiksi implementoimaan ISO/IEC 27001 standardin mukaisia tietoturvan johtamisjärjestelmiä sekä suorittamaan varsinaisen sertifioinnin.
On toki hyvä huomioida, ettei ISO/IEC 27001 sertifiointi ole virallinen todistus NIS2:n vaatimusten toteuttamisesta. On suositeltavaa seurata kansallisen lainsäädännön kehittämistä siirtymäaikana ja sen vaikutusta suomalaisten organisaatioiden toimintaan.
NIS2:n vaatimat asiat kuuluvat hyvin ISO/IEC 27001:n alle, mutta esimerkiksi jatkuvuudenhallinta voi näillä näkymin olla sellainen seikka, jossa voi olla hyvä tehdä jopa 27001:n vaatimuksia perusteellisempaa työtä. Nämä seikat tarkentuvat, kun suomalainen lainsäädäntö valmistuu.
Kun organisaatio hankkii ISO/IEC 27001 -sertifikaatiin, on sillä samalla virallinen sertifikaatti parhaiden käytäntöjen mukaisesta tietoturvan johtamisjärjestelmästä. Tällä organisaatio voi osoittaa sidosryhmilleen toimivansa parhaiden käytäntöjen mukaisesti. Samalla sertifiointi toimii riskienhallinnallisena välineenä lainsäätäjän suuntaan. Mikäli organisaatio joutuu tietoturvaloukkauksen uhriksi, voi se sertifioinnin avulla osoittaa toimineensa alan parhaiden käytänteiden mukaisesti.
“NIS2 laajentaa direktiivin alle kuuluvia toimialoja huomattavasti ja tuo alan toimijoille tietoturvallisuuteen liittyviä vaatimuksia. Ne on viisainta pyrkiä täyttämään hankkimalla ISO/IEC 27001 -sertifiointi. Sertifiointia voi käyttää yhtenä todisteena sidosryhmille direktiivin ehtojen täyttämisestä. Yritysten toiminnassa ISO/IEC 27001:n sertifioinnin vaatiminen tulee todennäköisesti yleistymään, sillä sen vaatiminen toimitusketjuun kuuluvalta alihankkijalta tai muulta kumppanilta on asiakkaalta huomattavasti helpompaa, kuin alkaa luomaan erillisiä tietoturvavaatimuksia ja varmentamaan niiden toteuttamista”, 2NS:n CTO Juho Ranta summaa.
Ehdottoman pakollinen sertifikaatin hankinta ei siis ole. Vaihtoehtona on hoitaa yrityksen tietoturvan hallintajärjestelmä (ISMS) vastaamaan sertifikaatin vaatimuksia ilman ISO/IEC 27001 -sertifiointia.
Lue lisää: Miten lähteä selvittämään tietoturvan tasoa? Lue lisää eri vaihtoehdoista tähän. Tai tutustu siihen, millainen prosessi on ISO/IEC 27001 -viitekehystä vasten tehty tietoturvan tilan puuteanalyysi.
2NS voi auttaa NIS2:n vaatimusten toteuttamisessa eri tavoin, esimerkiksi implementoimalla tietoturvan johtamisjärjestelmän, suorittamalla toimittaja-auditointeja ja olemalla mukana tietojärjestelmien hankinnassa.
Jos NIS2 -direktiivin vaatimuksien täyttyminen mietityttää, kannattaa olla meihin yhteydessä. Suunnittelemme yhdessä tarvitsemanne kokonaisuuden ja käymme läpi millaisia toimenpiteitä organisaatiossanne kannattaa toteuttaa NIS2 -valmiutta varten.
NIS2 pähkinänkuoressa
- Yritysten tietoturvan tasoa määrittävä direktiivi
- Soveltamisala on ensimmäistä NIS-direktiiviä huomattavasti laajempi
- NIS2 pakottaa yhä useamman yrityksen panostamaan tietoturvan hallintajärjestelmään ja käytäntöihin sekä tietoturvapoikkeamista raportointiin
- Direktiivin artiklojen rikkomisesta on säädetty sakko, 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. Sakkoja voidaan antaa artiklojen 21 tai 23 rikkomisesta.
- Direktiivin vaatimukset voi täyttää todennäköisesti täysin tai ainakin hyvin suurelta osin ISO/IEC 27001 -standardin mukaisella tietoturvan hallintajärjestelmällä (ISMS) ja jatkuvuudenhallinnalla
- Direktiivi tulee erittäin todennäköisesti lisäämään ISO/IEC 27001 -sertifikaatin vaatimista palveluiden toimittamisen ehtona, sillä alihankkijoilta tai muilta palveluntuottajilta ostavien yritysten on huomattavasti helpompaa vaatia ISO/IEC 27001 -sertifiointia, kuin erikseen NIS2 -kelpoista hallintajärjestelmää ja sen tapauskohtaista todentamista
- Hyvä ensiaskel kohti NIS2:n vaatimuksien täyttöä on gap-puuteanalyysi, joka vertaa yrityksen tietoturvahallinnan nykytilaa ISO/IEC 27001:n -vaatimuksia vasten