Mikä on NIS2-direktiivi ja mitä se vaatii?

NIS2-direktiivi ("The Directive on Security of Network and Information Systems", suomeksi verkko- ja tietoturvadirektiivi) on EU:n uusi tietoturvalainsäädäntö, joka koskee kaikkia kriittisten toimialojen toimijoita. Direktiivin tavoitteena on turvata Euroopan tietoinfrastruktuuri aikaisempaa paremmin.

NIS2-direktiiviin reagoiminen auttaa yrityksiä valmistautumaan paremmin mahdollisiin tuleviin tietoturva- ja tietoverkkouhkiin sekä varmistamaan, että yritys on valmis vastaamaan näihin haasteisiin järjestelmällisesti ja tehokkaasti.

Muutama käytännön NIS2-vihje alkuun:

1. Tarkista yrityksenne osalta, kuulutteko NIS2-velvoitteiden piiriin.
2. Asennoidu kyberturvan parantamiseen positiivisella mielellä.
3. Roolita henkilöt (johdon lisäksi vastuussa):
   1. Tietoturvapäällikkö
   2. Tietoturvavastaava
   3. Tietosuojavastaava
   4. Tuotantopäällikkö
4. Varmista, että yritysjohto ottaa vastuun huolehtia kyberturvallisuudesta oman roolinsa osalta.
5. Hanki Marskidatan asiantuntija-apua ajoissa helpottamaan NIS2-direktiivin haltuunottoa.
6. Kartoita yrityksenne tietoturvan nykytaso – ota tarvittaessa Marskidatan asiantuntija-apua mukaan, Marskidatalla tehdään NIS2 Tietoturvakartoituksia.
7. Kuvaa nykytila, kehityskohteet sekä tiekartta suhteessa NIS2-direktiivin velvoitteisiin.
8. Aloita riskienhallinta – ota tarvittaessa Marskidatan asiantuntija-apua ja valmiita palveluita mukaan.
9. Varmista hallintatoimenpiteiden asianmukainen taso suhteessa riskeihin.
10. Varmista nykyisen tietoturvaympäristön läpikäynti ja kehittäminen vastaamaan NIS2-direktiivin velvoitteita.
11. Dokumentoi lopputulokset – tähän saat apua Marskidatalta!
12. Hyödynnä jo käytössä olevia dokumentointisovelluksia mahdollisuuksien mukaan.
13. Varmista, että kaikki on valmista tai ainakin hyvässä vauhdissa 18.10.2024 mennessä velvoitteiden täyttämiseksi.

Yritysjohdon toimenpiteet

• Kyberturvallisuusstrategian määrittely
• Kyberturvallisuusriskien hallintatoimenpiteiden hyväksyntä ja valvonta
• Velvollisuus osallistua kyberriskienhallinnan koulutukseen.

NIS2, uhka vai mahdollisuus?

NIS2-direktiivissä ei luetella yksityiskohtaisia tietoturvavaatimuksia organisaatioille, mutta siinä käydään läpi 13 tietoturvallisuuden pääaluetta, joihin organisaatioilla tulee olla dokumentoidut ja toteutetut menettelytavat. Kuvauksia näistä menettelyistä voidaan esimerkiksi pyytää toimittamaan viranomaisille ja niiden täytäntöönpanoa saatetaan tarvittaessa tutkia esimerkiksi tietoturva-auditoinnilla.

NIS2 vaatii, että organisaatioilla on dokumentoidut menettelytavat seuraaville aiheille:

1. Riskienhallinta ja järjestelmäturvallisuus
2. Häiriöiden hallinta ja raportointi
3. Lokitus ja häiriöiden havaitseminen
4. Toiminnan jatkuvuus ja varmuuskopiot
5. Toimitusketjun tietoturva
6. Turvallinen järjestelmähankinta ja -kehitys
7. Tietoturvahygienian käytännöt ja koulutus
8. Tietoturvatoimien tehokkuuden arviointi
9. Salaus
10. Henkilöstön tietoturva
11. Pääsynhallinta
12. Suojattavan omaisuuden hallinta
13. Monivaiheinen tunnistaminen (MFA)

Äkkiä katsottuna NIS2 vaatii paljon velvoitteita ja uhkaa laajoilla sanktioilla. Se on kuitenkin loistava tilaisuus nostaa tietoturvajohtajan tietoturvaprofiilia ja painoarvoa, parantaa yrityksen riskienhallintaa, saada toimitusketjut entistä paremmin hallintaan sekä saada tietoturvaa koskeva dokumentointi valmiiksi.

Organisaatioiden tulee raportoida viranomaisille ja palvelun käyttäjille kaikista merkittävistä tietoturvahäiriöistä, jotka voivat vaarantaa sen toiminnan tai sen hallussa olevat tiedot. Ensimmäisten raporttien tulee käsittää perustiedot ja arvio vaikutusten laajuudesta.

On arvioitu, että yritysten ICT-budjetit ovat 12 % nousussa niissä yrityksissä, joissa NIS on jo omaksuttu käyttöön. Kylmiltään liikkeelle lähteville yrityksille povataan jopa yli 20 % nousua ICT-budjetteihin. Tämäkin on hyvä uutinen ainakin tietoturvajohtajalle, joka on joutunut aiemmin pyörittämään tietoturvaa ns. alibudjetilla.

Miten tästä eteenpäin, NIS2?

Muutama kysymys yrityksellenne kohti NIS2:sta:

• Onko yritykseenne valittu kyberturvallisuudesta vastaavat tiimit?
• Onko yrityksessänne määritetty selkeästi selkeät roolit ja vastuut kyberturvallisuuteen liittyen ja miten roolit toimivat käytännössä?
• Onko yrityksellänne jo käytössä tietoturvallisuuden hallintajärjestelmä?
• Tarvitseeko yrityksenne konsultointiapua esimerkiksi omiin prosesseihin tai tietoturvaan liittyen?

Miten Marskidata voi auttaa tässä asiassa?

Tarjoamme yrityksille NIS2 Tietoturvakartoitusta, jossa Marskidatan asiantuntijat kartoittavat yrityksen kyberturvallisuuden nykytilan ja vertaavat tätä NIS2-direktiivin velvoitteisiin. Marskidatan asiantuntijat tekevät tämän jälkeen esityksen tarvittavista kehitystoimenpiteistä ja dokumentointitarpeista. Yritysten tulee muistaa, että organisaation tietoturva ja NIS2-vaatimusten täyttyminen on yritysjohdon vastuulla, ja sitä ei voida ulkoistaa. Tällainen tietoturvakartoitus vaatii tietenkin asiakkaan sitoutumista sovittuun aikatauluun ja sovittuun etenemismalliin. Kartoitus toteutetaan noin kolmen viikon aikana ja sen avulla määritetään tarvittavat palveluratkaisut sekä toimenpiteet NIS2-direktiivin vaatimusten täyttymiseen.

Valmiiden tietoturvatuotteidemme avulla saamme rakennettua juuri teille sopivan tietoturvaratkaisun, jonka avulla pääsette NIS2-vaatimukset ja -velvoitteet täyttävään lopputulokseen. Meidän kauttamme onnistuu myös tietoturvan hallinta- ja raportointisovelluksen käyttöönotto sekä opastus sen käyttöön. Tietoturva-asiantuntijamme pystyvät auttamaan teitä myös yksittäisissä järjestelmiinne tai toimintatapoihinne liittyvissä tietoturvaongelmassa.

Olettehan rohkeasti yhteydessä meille, etsitään juuri teille sopiva ratkaisu.