COMPLIANCE JA REGULAATIO

NIS2 ja kyberturvallisuuslaki

NIS2-direktiivi

NIS2 on Euroopan Unionin uusi tietoturvadirektiivi. Unionin tasolla jo hyväksytty direktiivi on tällä hetkellä siirtymäajalla kansalliseen lainsäädäntöön. Direktiivin saattaminen kansalliseen lainsäädäntöön on yksi uuden hallituksen ensimmäisiä tehtäviä vuoden 2023 aikana. Työ on aloitettu Liikenne- ja Viestintäministeriössä.  Yritysten toiminnan tulee olla direktiivin mukaista lokakuusta 2024 alkaen.

NIS2-direktiivi vaatii yhä useammilta eurooppalaisilta yrityksiltä laajoja panostuksia hallinnolliseen ja tekniseen tietoturvaan. Direktiivin tavoitteena on kehittää kyberturvallisuuden tasoa koko unionissa. Soveltamisala on hyvin laaja ja osuu monenlaisiin yhteiskunnan turvallisuuden ja sujuvan arjen kannalta tärkeisiin toimintoihin. Esimerkkejä näistä ovat esimerkiksi energia-ala ja elintarviketeollisuus.

Suomen lainsäädäntötyö on päässyt kunnolla vauhtiin ja alustava esitys direktiivin toimeenpanevasta laista on julkaistu. Suomeen tulee uusi laki kyberturvallisuuden riskienhallinnasta, joka määrää lain soveltamisaloille kuuluvien yritysten tietoturvan tasoa. Lähtökohtaisesti laki koskee soveltamisaloihin kuuluvia keskisuuria ja sitä isompia yrityksiä (vähintään 50 työntekijää tai 10 miljoonan liikevaihto tai taseen loppusumma). Osaa kriittisistä toimijoista direktiivi ja tuleva laki koskee koosta riippumatta.

On syytä huomata, että direktiivi, ja sitä myöten myös tuleva laki, koskee lisäksi näiden yritysten toimitusketjuja. Pienemmiltäkin toimijoilta tullaan siis vaatimaan osaa toimenpiteistä.

NIS2 koskee seuraavilla aloilla toimivia yrityksiä ja organisaatioita

  • Energia-ala
  • Liikenne
  • Finanssiala
  • Vesihuolto
  • Terveydenhuolto
  • Digitaalinen infrastuktuuri
  • Tietoverkkopalvelut
  • Julkishallinto
  • Avaruusalan toimijat
  • Posti- ja kuriiripalvelut
  • Elintarvikkeiden valmistus, tuotanto ja jakelu
  • Valmistava teollisuus
  • Kemianteollisuus
  • Jätehuolto
  • Digitaalisten palveluiden tarjoajat
  • Tutkimustoiminta

Direktiivi koskee siis huomattavasti useampia yrityksiä kuin ensimmäinen NIS-direktiivi.

Laajemmat vaatimukset

Laajempia ovat niin ikään direktiivin vaatimukset. Uusi direktiivi asettaa yrityksille seuraavia vaatimuksia:

 

– Dokumentoidut riskianalyysit tietoturvakohdista

– Valmiit politiikat tietoturvapoikkeamien käsittelyyn. Tietoturvapoikkeama voi olla esimerkiksi kadonnut tai varastettu organisaation laite, tietojenkalastelun uhriksi joutuminen tai luvattoman henkilön liikkuminen toimitiloissa.

– Toiminnan jatkuvuuden hallinta. Näitä voivat olla esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta.

– Toimitusketjun turvallisuuden ymmärtäminen ja arviointi. Tämä sisältää hankintaketjuun kuuluvien toimittajien sekä niiden välittömien toimittajien ja palveluntarjoajien välisten suhteiden turvallisuusnäkökohtien arvioinnin.

– Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden varmentaminen. Tämä vaatimus sisältää myös vaatimuksen haavoittuvuuksien käsittelystä ja julkaisusta.

– Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.

– Dokumentoidut kyberhygieniakäytännöt ja kyberturvallisuuskoulutus.

– Toimintaperiaatteet ja menettelyt kryptografiaa ja tarvittaessa salausta koskien.

– Toimenpiteet henkilöstöturvallisuuteen liittyen, periaatteet pääsynhallintaan ja omaisuudenhallinta.

– Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestiliikenteen sekä suojattujen hätäviestijärjestelmien käyttö toimijan toiminnassa.

Miten saavuttaa NIS2-valmius?

Ylläolevat vaatimukset laittavat organisaatiot perustamaan dokumentoidun tietoturvan hallintajärjestelmän. Tämän myötä selkein, ja monille yrityksille todennäköisesti järkevin, tapa täyttää NIS2-direktiivin vaatimukset on lähteä kohti ISO/IEC 27001 -standardin tietoturvan hallintajärjestelmää.

Myös samaisen sertifikaatin hankinta on todennäköisesti hyvä ajatus, sillä kolmannen osapuolen auditoimaa standardinmukaista järjestelmää, josta on todistus, on helpompaa pitää kaupan ehtona kuin erikseen varmennettavaa toimittajan omaa järjestelmää.

NIS2 asettaa sitä koskeville yrityksille vaatimuksen varmentaa myös toimitusketjunsa tietoturva. Joten vaatimukset koskevat osittain myös niitä yrityksiä, jotka toimittavat alihankkijoina NIS2-vaatimusten alle kuuluville organisaatioille palveluita tai tuotteita.

Hankki sertifikaattia tai ei, on olennaista dokumentoida oma hallintajärjestelmä viranomaisten mahdollisten tarkastuksien varalle.

REFERENSSIT

KATSO KAIKKI
Tietoturvan testaus ja arvointiPilvipalveluiden tietoturva

CSC

“Suosittelen lämpimästi 2NS:ää sekä yksittäisiin teknisiin tietoturvallisuuteen liittyviin koulutusprojekteihin että tiiviimpäänkin tietoturvakumppanuuteen.”

Urpo Kaila , Tietoturvapäällikkö – CSC

Tietoturvan testaus ja arvointiSovelluskehityksen tietoturva

CableCrew Oy

”Yhteistyö sujui niin hyvin, että jatkossa teetämme vuosittaisen auditoinnin 2NS:llä.” Tietoturva on CableCrewlle äärimmäisen tärkeää, koska toimimme kriittisen infran parissa. Yhteydenpito oli mutkatonta, ja tavoitettavuus oli erinomaista myös tarvittaessa virka-ajan ulkopuolellakin. Kaikkiin kysymyksiin sai vastauksen viimeistään seuraavana päivänä. Aikatauluista viestittiin myös reaaliajassa.

Satu-Maria Ravelin, HESQ Johtaja – CableCrew Oy

Tietoturvan testaus ja arvointiPilvipalveluiden tietoturva

Kehätieto Oy

“Yhteistyö 2NS:n kanssa on sujunut erittäin mallikkaasti. Olemme saaneet heiltä tarvitsemamme tuen niin henkilöstön koulutuksiin kuin tuotteidemme tietoturvatestaukseen. Luotamme 2NS:n erityisosaamiseen tietoturva-asioissa.”

Juhani Ruohotie, Tiiminvetäjä – Kehätieto Oy