NIS2-direktiivi

NIS2 on Euroopan Unionin uusi tietoturvadirektiivi. Unionin tasolla jo hyväksytty direktiivi on tällä hetkellä siirtymäajalla kansalliseen lainsäädäntöön. Direktiivin saattaminen kansalliseen lainsäädäntöön on yksi uuden hallituksen ensimmäisiä tehtäviä vuoden 2023 aikana. Työ on aloitettu Liikenne- ja Viestintäministeriössä.  Yritysten toiminnan tulee olla direktiivin mukaista lokakuusta 2024 alkaen.

NIS2-direktiivi vaatii yhä useammilta eurooppalaisilta yrityksiltä laajoja panostuksia hallinnolliseen ja tekniseen tietoturvaan.

Suomen lainsäädäntötyö on päässyt kunnolla vauhtiin ja alustava esitys direktiivin toimeenpanevasta laista on julkaistu. Suomeen tulee uusi laki kyberturvallisuuden riskienhallinnasta, joka määrää lain soveltamisaloille kuuluvien yritysten tietoturvan tasoa. Lähtökohtaisesti laki koskee keskisuuria ja sitä isompia yrityksiä (vähintään 250 työntekijää tai 50 miljoonan liikevaihto). On syytä huomata, että direktiivi, ja sitä myöten myös tuleva laki, koskee lisäksi näiden yritysten toimitusketjuja. Pienemmiltäkin toimijoilta tullaan siis vaatimaan osaa toimenpiteistä. Laki koskee lisäksi tiettyjä kriittisiä toimijoita koosta riippumatta.

Haluatko tietää, millaisilla toimenpiteillä yrityksesi kannattaa lähteä kohti NIS2-valmiutta?

Mitä organisaatioita NIS2 koskee?

NIS2 koskee seuraavilla aloilla toimivia yrityksiä ja organisaatioita:

• Energia-ala
• Liikenne
• Finanssiala
• Vesihuolto
• Terveydenhuolto
• Digitaalinen infrastuktuuri
• Tietoverkkopalvelut
• Julkishallinto
• Avaruusalan toimijat
• Posti- ja kuriiripalvelut
• Elintarvikkeiden valmistus, tuotanto ja jakelu
• Valmistava teollisuus
• Kemianteollisuus
• Jätehuolto
• Digitaalisten palveluiden tarjoajat
• Tutkimustoiminta

Direktiivi koskee siis huomattavasti useampia yrityksiä kuin ensimmäinen NIS-direktiivi.

Laajempia ovat niin ikään direktiivin vaatimukset. Uusi direktiivi asettaa yrityksille seuraavia vaatimuksia:

• Dokumentoidut riskianalyysit tietoturvakohdista
• Valmiit politiikat tietoturvapoikkeamien käsittelyyn. Tietoturvapoikkeama voi olla esimerkiksi kadonnut tai varastettu organisaation laite, tietojenkalastelun uhriksi joutuminen tai luvattoman henkilön liikkuminen toimitiloissa.
• Toiminnan jatkuvuuden hallinta. Näitä voivat olla esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta.
• Toimitusketjun turvallisuuden ymmärtäminen ja arviointi. Tämä sisältää hankintaketjuun kuuluvien toimittajien sekä niiden välittömien toimittajien ja palveluntarjoajien välisten suhteiden turvallisuusnäkökohtien arvioinnin.
• Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden varmentaminen. Tämä vaatimus sisältää myös vaatimuksen haavoittuvuuksien käsittelystä ja julkaisusta.
• Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.
• Dokumentoidut kyberhygieniakäytännöt ja kyberturvallisuuskoulutus.
• Toimintaperiaatteet ja menettelyt kryptografiaa ja tarvittaessa salausta koskien.
• Toimenpiteet henkilöstöturvallisuuteen liittyen, periaatteet pääsynhallintaan ja omaisuudenhallinta.
• Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestiliikenteen sekä suojattujen hätäviestijärjestelmien käyttö toimijan toiminnassa.

Miten saavuttaa NIS2-valmius?

Ylläolevat vaatimukset laittavat organisaatiot perustamaan dokumentoidun tietoturvan hallintajärjestelmän. Tämän myötä selkein, ja monille yrityksille todennäköisesti järkevin, tapa täyttää NIS2-direktiivin vaatimukset on lähteä kohti ISO/IEC 27001 -standardin tietoturvan hallintajärjestelmää.

Myös samaisen sertifikaatin hankinta on todennäköisesti hyvä ajatus, sillä kolmannen osapuolen auditoimaa standardinmukaista järjestelmää, josta on todistus, on helpompaa pitää kaupan ehtona kuin erikseen varmennettavaa toimittajan omaa järjestelmää.

NIS2 asettaa sitä koskeville yrityksille vaatimuksen varmentaa myös toimitusketjunsa tietoturva. Joten vaatimukset koskevat osittain myös niitä yrityksiä, jotka toimittavat alihankkijoina NIS2-vaatimusten alle kuuluville organisaatioille palveluita tai tuotteita.

Hankki sertifikaattia tai ei, on olennaista dokumentoida oma hallintajärjestelmä viranomaisten mahdollisten tarkastuksien varalle.

Asiantuntijamme vinkit ensiaskelina kohti NIS2-valmiutta

1. Tunnista sidosryhmät ja heidän esittämät vaatimukset
2. Luo tavoitteet tietoturvalle
3. Dokumentoi riskienhallintaprosessi
4. Rakenna tietoturvan tason ja riskienhallinnan mittauskyvykkyys
5. Dokumentoi tietoturvapoikkeamien ja liiketoiminnan jatkuvuuden hallinta

Kuinka ISO 27001 prosessi etenee?

ISO 27001 -sertifiointi antaa yritykselle mahdollisuuden todistaa kolmansille osapuolille, että yritys huolehtii tietoturvastaan laadukkaasti. Autamme 2NS:llä asiakkaita standardin vaatimuksenmukaisuuden saavuttamisessa sekä sen ylläpidossa. Prosessi etenee sujuvasti laadukkaiden auditointiprosessiemme mukaan, jotka löytyvät alta:

1. 1. 1. Lähtötilanne selvitetään esihaastattelulla
      2. Kartoituksessa eli Gap-analyysissa kartoitetaan nykytilanne
         
      3. Kehitysvaiheessa autetaan asiakasta kehittämään tietoturvan mahdollisia puutteita
         
      4. Sisäisessä auditoinnissa varmennetaan asiakkaan tietoturvajärjestelmän vaatimustenmukaisuuden toteutuminen
      5. ISO 27001 -sertifiointi akkreditoidun sertifiointitahon toimesta
         
      6. Säännöllisillä sisäisillä tarkastuksilla varmennetaan, että tietoturvan johtamisjärjestelmää kehitetään jatkuvasti ja se pysyy standardin vaatimusten mukaisena
      7. Sertifioinnin jälkeen sertifioija valvoo sertifikaatin toteutumista auditoinneilla
         

Lisätietoa ISO 27001- ja ISO 27701 -polun yksityiskohtaisesta etenemisestä löydät asiantuntijablogistamme.

Haluatko tietää, millaisilla toimenpiteillä yrityksesi kannattaa lähteä kohti NIS2-valmiutta?