Euroopan unioni on tiukentanut merkittävästi yritysten kyberturvallisuusvaatimuksia uudella NIS2-direktiivillä. Tämä direktiivi koskee erityisesti infrastruktuuria ja palveluja, kuten energia-, liikenne- ja pankkisektoria, mutta sen vaikutukset ulottuvat laajemmallekin. Tässä blogissa 3stepIT:n tietoturvajohtaja Elias Alanko summaa, miten NIS2-direktiiviin tulee varautua.
NIS2-direktiivi on uusi EU:n asetus, joka päivittää ja korvaa vuoden 2016 NIS-direktiivin, ensimmäisen EU:n laajuisen kyberturvallisuus-lainsäädännön. Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä.
NIS2-direktiivi esittää uusia vaatimuksia mm. riskienhallinnalle, perustavanlaatuisille tietoturvakontrolleille, häiriöraportoinnille ja toimitusketjun hallinnalle. Direktiivi laajentaa sen piiriin kuuluvien alojen laajuutta sekä yhdenmukaistaa kriteereitä sääntelyyn kuuluvien organisaatioiden osalta. Direktiivi sisältää myös mahdollisuuden määrätä hallinnollisia sanktioita laiminlyönneistä samaan tapaan kuin tietosuoja-asetus (GDPR).
NIS2:n piiriin kuuluvien organisaatioiden on oltava valmiita noudattamaan direktiiviä lokakuussa 2024, sillä EU:n jäsenvaltioiden on hyväksyttävä ja julkaistava tarvittavat toimenpiteet NIS2-direktiivin noudattamiseksi 17. lokakuuta 2024 mennessä.
Mitä organisaatioiden tulee tehdä valmistautuakseen NIS2-direktiiviin?
Selvitä, kuuluuko organisaatiosi direktiivin piiriin.
Direktiivin soveltamisala koskee organisaatioita, jotka harjoittavat kriittistä toimintaa seuraavilla aloilla:
- energia
- liikenne
- pankkitoiminta
- finanssimarkkinoiden infrastruktuuri
- terveys
- juomavesi ja jätevesi
- digitaalinen infrastruktuuri ja ICT-palvelujen hallinta (TVT-palvelut)
- julkishallinto
Direktiivi koskee myös muita kriittisiä sektoreita, kuten posti- ja kuriiripalveluja, jätehuoltoa, kemianteollisuutta, elintarviketeollisuutta ja -jakelua, valmistusta, digitaalisia palveluntarjoajia (esim. markkinapaikat) sekä tutkimusta.
Huomioithan, että vaikka organisaatiosi ei olisikaan suoraan direktiivin kohderyhmässä, saattaa sinuun kohdistua välillisiä vaatimuksia toimittajiesi kautta, jos sidosryhmäsi kuuluvat direktiivin soveltamisalaan, koska direktiivi edellyttää myös toimitusketjun riskienhallintaa.
Tee vaikutustenarviointi
Jos kuulut direktiivin soveltamisalaan, tee joko sisäinen analyysi tai käytä ulkopuolista apua mahdollisten aukkojen tunnistamiseen ja korjaamiseen. Huomiota on hyvä kiinnittää tietoturvariskien hallintaan, Artiklassa 21 listattuihin tietoturvavaatimuksiin, poikkeamatilanteista raportointiin, sekä toimitusketjun riskienhallintaan.
Valvonta
Selvitä, kuka on valvojasi ja rekisteröidy valvonnan piiriin. Ota selvää, miten valvojasi määrittelemä poikkeamaraportointi toimii, jotta kykenet raportoimaan toimivaltaiselle viranomaiselle. Direktiivi edellyttää ennakkovaroitusta merkittävästä poikkeamasta 24 tunnin sisällä. Valvonta määritetään maakohtaisesti, ja valvoja voi vaihdella toimialan mukaan. Suomalaiset valvojat on lueteltu Kyberturvallisuuskeskuksen sivuilla.
Miten 3stepIT voi auttaa NIS2-vaatimusten täyttämisessä?
Palvelumme tukevat NIS2:n keskeisiä turvallisuusvaatimuksia joko täysin tai osittain. Keskeiset vaatimukset ovat ensisijaisesti listattu artiklassa 21. Nämä kyberturvallisuuden riskienhallintatoimenpiteet edellyttävät organisaatioilta sopivien ja oikeasuhtaisten teknisten, operatiivisten ja organisatoristen toimien toteuttamista kyberturvallisuusriskien hallitsemiseksi.
Omaisuudenhallinta, pääsynhallintakäytännöt (21.2 i)
NIS2 edellyttää, että organisaatioilla on viralliset käytännöt omaisuudenhallintaan. Nyt on hyvä hetki arvioida, miten seuraatte kannettavien tietokoneiden, matkapuhelinten ja muun IT-laitteiston hallintaa. Säilytetäänkö tiedot omassa järjestelmässään, taulukossa vai seurataanko omaisuudenhallintaa ylipäänsä johdonmukaisesti?
Hyvän tietoturvan perusteisiin kuuluu, että organisaatio tietää, mitä IT-omaisuutta sillä on. Tämä on vaikea saavuttaa ilman omaisuudenhallintajärjestelmää. Jos et ole tietoinen laitteiden olemassaolosta, et voi valvoa tai suojata laitteita ja niiden kautta käytettävää dataa.
3stepIT:n laitehallintajärjestelmä auttaa noudattamaan IT-laitteistosi laitehallinnan vaatimuksia. Laiterekisterin avulla voit seurata missä laitteet ovat koko niiden elinkaaren ajan, aina laitteiden käytöstä poistoon ja datan puhdistukseen. Lisäksi järjestelmissämme on joustavat pääsynhallintapolitiikat, joiden avulla voit päättää, mitä tietoja eri käyttäjät voivat nähdä laitehallintajärjestelmässä.
Monivaiheinen tunnistautuminen (21.2 j)
3stepIT:n laitehallintajärjestelmä tukee monivaiheista tunnistautumista. Tuemme niin Sigle-Sign-On (SSO) tyyppistä tunnistautumista kuin yleisimpiä One-Time-Password (OTP) tunnistussovelluksia.
Toimitusketjun turvallisuus (21.2 d)
NIS2 edellyttää, että organisaatiot huomioivat palveluntarjoajiensa toimitusketjun turvallisuuden, sillä kyberrikolliset voivat päästä ympäristöösi epäsuorasti palveluntarjoajiesi kautta. Palveluntarjoajien arviointia voidaan tehdä esimerkiksi viittaamalla kansainvälisesti tunnustettuihin tietoturvastandardeihin. NIS2:n vaatimukset ovat suurelta osin samankaltaisia kuin ISO27001-tietoturvastandardin vaatimukset.
3stepIT:n tietoturvallisuuden hallintajärjestelmä on ollut ISO27001-sertifioitu jo vuosia. Sertifikaatin avulla voimme näyttää, että 3stepIT on luotettava osa toimitusketjua. Lisäksi keskeisiin kontrolleihimme kuuluvat ympärivuorokautinen tietoturvavalvonta (247 SOC), säännölliset ulkoiset tietoturvatestit ja varmuuskopioiden palautusharjoitukset.
NIS2-direktiivin noudattamatta jättäminen
NIS2-vaatimusten noudattamatta jättäminen voi johtaa hallinnollisiin sakkoihin, jotka ovat enintään 10 000 000 euroa tai 2 % yksikön emoyhtiön maailmanlaajuisesta vuotuisesta liikevaihdosta edeltävänä tilikaudella, riippuen siitä, kumpi on suurempi.
Direktiivissä myös todetaan, että ylin johto voidaan saattaa henkilökohtaiseen vastuuseen, jos se rikkoo velvollisuuttaan varmistaa direktiivin noudattaminen. Myös näistä syistä on tärkeää varmistaa, että organisaationne täyttää kaikki vaatimukset.
Miten organisaatiosi on varautunut NIS2-direktiivin asettamiin vaatimuksiin? Tarvitsetko tukea lakivaatimusten täyttämiseksi? Ota meihin yhteyttä.