Uusi tietoturvalaki – Miten toteuttaa NIS2 vaatimukset?

Euroopan unionin verkko- ja tietoturvadirektiivi (NIS2) tuo merkittävän päivityksen sääntelykehykseen, jonka tarkoituksena on parantaa kriittisten alojen kyberturvallisuutta kaikkialla Euroopan unionissa. NIS2:n täytäntöönpanon määräaika lähestyy. Tiedätkö, onko organisaatiosi noudatettava direktiiviä, ja mitä uusia vaatimuksia direktiivi tuo?

Mikä on muuttunut?

NIS2 on jatkoa ensimmäiselle kyberturvallisuusdirektiiville, joka otettiin käyttöön vuonna 2016 ja pantiin täytäntöön vuonna 2018.  NIS2:n tavoitteena on vahvistaa verkko- ja tietojärjestelmien turvallisuutta Euroopan unionissa. Uusi direktiivi laajentaa soveltamisalaa kattamaan useampia aloja ja digitaalisia palveluja, ja tiukentaa kriittisten palvelujen tarjoajien ja digitaalisten palvelualustojen tietoturvavaatimuksia. Direktiivin tavoitteena on yhdenmukaistaa jäsenvaltioiden kyberturvallisuuskäytäntöjä ja varmistaa vahva kollektiivinen vastustuskyky kyberuhkia vastaan.

Tarvitseeko organisaatiosi noudattaa NIS2-vaatimuksia?

Arvioi tarkistuslistan avulla, kuuluuko yrityksesi NIS2:n soveltamisalaan:

Toimiala:

• Toimiiko yrityksesi erittäin kriittisellä tai kriittisellä toimialalla?
  
  

  Erittäin kriittiset toimialat	Muut kriittiset toimialat
  Energia	Digitaalisen palvelun tarjoajat Esim. Verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat
  Liikenne	Posti- ja kuriiripalvelut
  Pankkiala	Jätehuolto
  Finanssimarkkinoiden infrastruktuurit	Elintarvikkeet
  Terveydenhuolto	Kemikaalit
  Juomavesi	Tutkimustoiminta
  Jätevesi	Valmistus
  Digitaalinen infrastruktuuri Esim. Hyväksytyt luottamuspalveluntarjoajat, Ei-hyväksytyt luottamuspalveluntarjoajat, DNS-palveluntarjoajat (lukuun ottamatta juurinimipalvelimia), Aluetunnusrekisterit, Yleisten sähköisten viestintäverkkojen tarjoajat, Yleisesti saatavilla olevat sähköisten viestintäpalveluiden tarjoajat, Internetin yhdysliikennepisteiden tarjoajat, Pilvipalveluntarjoajat, Datakeskuspalveluntarjoajat, Sisällönjakeluverkkojen tarjoajat	Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat
  Yritysten välinen TVT-palvelujenhallinta
  Julkishallinto
  Avaruus

Kriittisyys:

• Onko organisaatiolla kriittinen rooli yhteiskunnan tai talouden toiminnassa?
• Vaikuttaisiko organisaation toiminnan keskeytyminen merkittävästi yleiseen turvallisuuteen tai talouteen?

Koko ja toiminnan laajuus:

• Onko erittäin kriittisellä tai muulla kriittisellä alalla toimiva organisaatio vähintään keskisuuri?

Organisaatio katsotaan suureksi seuraavien kriteerien perusteella:

• • • vähintään 250 työntekijää, tai
    • vuotuinen liikevaihto on vähintään 50 miljoonaa euroa ja taseen loppusumma vähintään 43 miljoonaa euroa.

Organisaatiota katsotaan keskikokoiseksi seuraavien kriteerien perusteella:

• • • vähintään 50 työntekijää, tai
    • vuotuinen liikevaihto ja taseen loppusumma vähintään 10 miljoonaa euroa.

TÄRKEÄÄ: NIS2-direktiiviä sovelletaan koosta riippumatta, kun:

• Toimija tarjoaa ainoana jäsenvaltiossa palvelua, joka on yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta keskeinen.
• Häiriö toimijan tarjoamassa palvelussa voisi vaikuttaa merkittävästi yleiseen järjestykseen, yleiseen turvallisuuteen tai kansanterveyteen.
• Häiriö toimijan tarjoamassa palvelussa voisi aiheuttaa merkittävän systeemisen riskin erityisesti aloilla, joilla tällaisella häiriöllä voisi olla rajat ylittäviä vaikutuksia.
• Toimija on kriittinen, koska sillä on erityisen suuri merkitys kansallisella tai alueellisella tasolla kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta.
• Toimija on määritelty CER-direktiivin nojalla kriittisiksi. CER-kriittisten toimijoiden tunnistaminen tapahtuu arviolta vuoden 2026 aikana.

Rajanylittävät palvelut:

• • Tarjoaako organisaatiosi palveluja useissa EU:n jäsenvaltioissa?
  • Voisiko organisaation toiminnan keskeytymisellä olla rajatylittäviä vaikutuksia?

Jos vastasit "kyllä" johonkin näistä kysymyksistä, yrityksesi on todennäköisesti noudatettava NIS2-direktiiviä. 

Toimenpiteet NIS2-vaatimusten täyttämiseksi

• • • Riskienhallinta: Jatkuva riskiarviointi ja tietoturvapolitiikat. Varmista, että organisaatiossasi on dokumentoitu käytäntö riskien tunnistamiseen, arviointiin ja hallintaan. Lisäksi tarvitaan prosessi, jossa arvioidaan kyberturvallisuusriskien hallintatoimien tehokkuutta.
    • Häiriötilanteiden käsittely: Kehitä käytännöt häiriötilanteiden havaitsemiseen, niihin reagoimiseen ja niistä toipumista varten. Varmista, että voit raportoida merkittävistä häiriötilanteista vaadittujen aikarajojen puitteissa.

    • Liiketoiminnan jatkuvuus: Laadi liiketoiminnan jatkuvuussuunnitelma(t), mukaan lukien varmuuskopioinnin hallintaa ja palautumissuunnitelmaa (disaster recovery) koskevat ohjeistukset, ja ylläpidä niitä.

    • Toimitusketjun turvallisuus: Varmista toimitusketjujen turvallisuus hallinnoimalla toimittajia ja palveluntarjoajia ja arvioimalla alihankkijoiden turvallisuuskäytännöt.

    • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus: Integroi turvallisuus järjestelmien elinkaareen, huomioiden mm. haavoittuvuuksien hallinta ja turvalliset ohjelmistokehityskäytännöt. 

• • • Kyberturvallisuuskoulutus: Tarjoa kaikille työntekijöille säännöllistä koulutusta, joka auttaa toimimaan oikein ja kattaa perustason kyberhygieniakäytännöt.
      

    • Salauskäytännöt (kryptografia): Ota käyttöön salauskäytännöt arkaluonteisten tietojen suojaamiseksi.
      

    • Pääsynhallinta: Henkilöstöturvallisuus (henkilöiden toiminnasta yritykselle aiheutuvien riskien hallintaa), mukaan lukien pääsynhallinta ja suojattavan omaisuuden hallinta (asset management).
      

    • Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

2. Suorita puutearviointi (Gap Analysis):

• • • Arvioi nykyiset kyberturvallisuuskäytäntösi suhteessa NIS2-vaatimuksiin.
    • Tunnista alueet, joissa vaatimuksia ei vielä noudateta tai noudatetaan vain osin, ja tarvitaan parannuksia.

• • • Luo yksityiskohtainen suunnitelma puutteiden korjaamiseksi ja vaatimustenmukaisuuden saavuttamiseksi.
    • Aseta realistiset aikataulut,kohdista tarvittavat resurssit ja aseta tärkeysjärjestykseen sellaisten toimenpiteiden toteuttaminen, joilla hallitset kriittisimpiä riskejä.

• • • Päivitä tietoturvan politiikat ja prosessit NIS2-vaatimusten mukaisiksi.
    • Investoi toimiviin kontrolleihin, kuten henkilöstön turvallisuusprosesseihin ja roolipohjaiseen koulutukseen.

• • • Suorita säännöllisiä sisäisiä ja/tai ulkoisia tietoturvatarkastuksia ja haavoittuvuusarviointeja.
    • Testaa häiriötilanteisiin reagoimista ja toiminnan jatkuvuutta koskevia suunnitelmia simulaatioiden ja harjoitusten avulla.

• • • Pidä kattavaa kirjaa riskienhallinnasta, häiriötilanteista ja vastatoimista.
    • Varmista, että pystyt esittämään vaaditut asiakirjat viranomaisten auditointien tai tarkastusten aikana.
      
      

Aikataulu

EU:n jäsenvaltioilla on 17. lokakuuta 2024 asti aikaa soveltaa direktiivi osaksi kansallista lainsäädäntöä. Organisaatioiden tulee noudattaa direktiiviä tähän päivämäärään mennessä.

Varaudu tulevaan

NIS2-vaatimusten noudattamisen varmistamisessa ei ole kyse vain sääntelyvaatimusten täyttämisestä, vaan myös organisaatiosi toimintojen ja laajemman digitaalisen ekosysteemin suojaamisesta. Ennakoivilla toimilla voit varautua häiriötilanteisiin sekä parantaa organisaation häiriönsietokykyä.

CyberCoach voi auttaa sinua täyttämään NIS2-tietoturvakoulutuksen, häiriöraportoinnin
ja jatkuvan riskinarvioinnin vaatimukset yhdellä helpolla ratkaisulla suoraan Teams/Slackissa.