Mietityttääkö syksyllä siirtymäajalta voimaan astuva NIS2-direktiivi? Onko yrityksessä tehty joitakin ponnistuksia tietoturvassa tätä kohti, mutta ilman kokonaiskuvaa siitä, missä toiminta menee suhteessa direktiivin vaatimuksiin.
Jos yritys löytää itsensä yllä kuvatusta tilanteesta, on tarpeen toteuttaa kokonaisvaltainen NIS2-puuteanalyysi. Puuteanalyysi on selkeä tapa lähteä kartoittamaan organisaation nykytilaa ja ottaa selvää siitä, millaisia toimenpiteitä yrityksessä täytyy tehdä NIS2-vaatimustenmukaisuuden saavuttamiseen.
Puuteanalyysissä asiantuntija käy läpi yrityksen tietoturvan johtamisen ja hallinnan tilan haastattelumuotoisten työpajojen ja dokumentaatioon tutustumisen kautta. Lopputuloksena työstä saa selkeän raportin, joka esittää osa-alueisiin jaoteltuna organisaation nykyisen toiminnan tason suhteessa direktiiviin. Puuteanalyysi pohjustaa ja helpottaa vaatimustenmukaisuutta kohti rakentavaa työtä.
Arvio jäsennellään kypsyysmallin muotoon. Pisteytetty malli antaa asiakkaalle kattavan näkemyksen yrityksen toiminnan tilasta ja tietoturvan näkytilasta ylipäätään. Selkeä pisteytys helpottaa raportin esittämistä johdolle ja sidosryhmille, joilla ei välttämättä ole omaa kokemusta tietoturvan tason arvioinnista ja kehittämisestä.
2NS:n toteuttama NIS 2 -puuteanalyysi perustuu pitkään kokemukseen tietoturvan hallintajärjestelmistä ja erityisesti ISO 27001:stä. Kyseinen kansainvälinen standardi on monella tapaa hyvin lähellä sisällöltään NIS2:sta. Puuteanalyysi on mahdollista toimittaa muitakin haluttuja viitekehyksiä vasten. Monessa yrityksessä mietitään tällä hetkellä juuri NIS 2 -direktiiviä, johon liittyvä lainsäädäntö astuu siirtymäajan jälkeen voimaan Suomessa lokakuussa 2024. Suomen tavasta toeuttaa direktiivin vaatima lainsäädäntö ja valvonta löytyy tietoa esimerkiksi Traficomin sivuilta.
Hyvältä pohjalta on helppo lähteä liikkeelle
Puuteanalyysin ja muun tietoturvan kehitystyön tarpeita saattavat miettiä myös NIS2:n alaisille yrityksille toimittavat tahot, sillä direktiivi vaatii sen alaisia yrityksiä vyöryttämään tietoturvavaatimuksia myös toimitusketjuilleen.
Puuteanalyysi on pohjatyötä, jonka jälkeen organisaatiolla on hyvä käsitys etenkin tietoturvan johtamisen tasosta, mutta myös ylipäätään tietoturvasta, sen toiminnassa. Analyysin jälkeen alkaa puutteiden korjaaminen. Tästä vaiheesta puhutaan yleisesti tietoturvan hallintajärjestelmän ja dokumentaation rakentamisena.
Tässä vaiheessa voi harkita asiantuntijan palkkaamista tukemaan hallintajärjestelmän täydennys- ja rakennustöissä. Samalla kun NIS2 ja sen vaatimukset ovat yrityksessä pinnalla, on syytä pohtia, kannattaako lähteä rakentamaan polkua kohti ISO 27001 -sertifikaattia. Kyseisen sertifikaatin ja NIS2:n vaatimukset ovat monilta osin lähellä toisiaan, joten oman dokumentaation rakentaminen myös sertifiointi mielessä voi olla järkevintä.
ISO-standardin tarvetta arvioidessa vaakakupissa on toisella puolella sen tuomat lisäkustannukset auditointien muodossa. Toisella puolella taas joutuu arvioimaan mahdollista hyötyä, joka syntyy kolmannen osapuolen tarjoaman sertifikaatin todistusvoimasta niissä tilanteissa, joissa esimerkiksi asiakas vaatii NIS2-vaatimustenmukaisuutta. Markkinoilla on jo tilanteita, joissa asiakkaat vaativat toimittajiltaan suoraan ISO 27001 -sertifiointia NIS2:n takia.
2NS eli Second Nature Security toimittaa tietoturvan johtamisen konsultointia, kuten eri viitekehyksiin liittyviä puuteanalyyseja, kartoituksia ja tietoturvan hallintajärjestelmän rakentamisen konsultointia pitkällä kokemuksella.