Viime aikoina seuraavat kysymykset ovat tulleet useasti vastaan tiimillemme: pitäisikö NIS2:ta ja ISO 27001 -standardia hyödyntää yhdessä, miten ne tukevat toisiaan ja mitä eroa näiden kahden välillä on?
Tässä blogissa syvennytään näihin kahteen vaatimuskehikkoon ja selvennämme, miksi ne mainitaan usein yhdessä. Tavoitteena on antaa selkeyttä ja opastaa tekemään päätöksiä, jotka vastaavat organisaatiosi tarpeita ja pyrkimyksiä.
Yleiskatsaus vaatimuskehikkoihin
Vaikka molemmilla vaatimuskehikoilla on yhteinen tavoite eli kyberturvallisuuden parantaminen, niillä on omat erityispiirteensä, jotka erottavat niitä toisistaan. Vaikka ne vastaavat toisiaan joillakin osa-alueilla, ne ovat hyvin erilaisia esimerkiksi luonteeltaan, soveltamisalaltaan sekä yleiseltä lähestymistavaltaan kyberturvallisuuteen.
Mikä on ISO 27001?
ISO 27001 on kansainvälisesti tunnettu tietoturvan hallinnan standardi. Se on vapaaehtoinen, mikä tarkoittaa, että organisaatiot päättävät noudattaa sitä omien erityistarpeidensa, kuten asiakasvaatimusten täyttämisen tai yleisen tietoturvatilanteen parantamisen perusteella.
ISO 27001 -standardin noudattaminen osoittaa, että organisaatiosi on ottanut käyttöön vahvan tietoturvan hallintajärjestelmän (ISMS), joka suojaa organisaation tieto-omaisuuden luottamuksellisuutta, eheyttä ja saatavuutta ja kokoaa kaikki asiaankuuluvat tietoturvanäkökulmat yhteen keskitettyyn paikkaan.
Mikä on NIS2?
NIS2-direktiivi on päivitetty versio verkko- ja tietoturvadirektiivistä (NIS), jonka Euroopan unioni otti käyttöön ensimmäisen kerran vuonna 2016. Päivitetty NIS2-direktiivi lisää verkkojen ja tietojärjestelmien turvallisuutta kaikkialla EU:ssa - sen sisällössä on mm. laajennettu soveltamisalaan kuuluvia toimialoja sekä tietoturvavaatimuksia. Direktiivin ensisijaisena tavoitteena on parantaa kyberresilienssiä EU:ssa.
Direktiivi auttaa organisaatioita parantamaan tietoturvakäytäntöjä, vaikka se vaatii tarvittavien toimenpiteiden toteuttamiseksi myös vaivannäköä. Vaatimustenmukaisuus riippuu organisaation luonteesta ja sen toimialasta. Vaikka NIS2 on pakollinen vain tietyille toimialoille ja organisaatioille, sen periaatteiden noudattaminen on hyvä käytäntö mille tahansa organisaatiolle.
Miksi ISO 27001, kun tavoitteena on NIS2?
Miksi ihmiset lähestyvät näitä kahta aihetta yhdessä? Vastaus on yksinkertainen: Sekä ISO 27001 että NIS2 palvelevat yhteistä tavoitetta asettaa standardit tietoturvatoimenpiteille ja yleiselle tietoturvallisuudelle. Niistä puhutaan usein yhdessä, koska ne käsittelevät saman asian kahta puolta.
ISO 27001 tarjoaa yksityiskohtaisempia toimintatapoja ja -menetelmiä NIS2:n vaatimusten täyttämiseksi.
Siinä missä ISO 27001 on kuitenkin vapaaehtoinen standardi, joka voidaan panna täytäntöön kaikenlaisissa tietoturvaa arvostavissa organisaatioissa, NIS2 on direktiivi, joka on pakollinen tietyille organisaatioille.
Miten ISO 27001 liittyy NIS2-direktiiviin?
Tulkitsemalla NIS2:n vaatimuksia voit helposti nähdä niiden tavoitteen: vaaditaan selkeitä ja dokumentoituja menettelyjä tietoturvan avainosa-alueista. Direktiivi ei kuitenkaan kerro, "mitä" näiden menettelyjen tulisi sisältää. Tässä kohtaa ISO 27001 tulee kuvaan mukaan, sillä se tarjoaa yksityiskohtaisempia toimintatapoja ja -menetelmiä NIS2:n vaatimusten täyttämiseksi. Seuraavaksi esimerkkejä aiheesta:
Case-esimerkki: Toiminnan jatkuvuus ja varmuuskopiointi
NIS2 edellyttää, että organisaatiollasi on dokumentoidut ja toteutetut toimenpiteet liiketoiminnan jatkuvuutta ja varmuuskopioita varten. Yksityiskohtaisia ohjeita siitä, mitä toimenpiteissä on itse asiassa toteutettava, ei kuitenkaan ole.
Tässä kohtaa ISO 27001 -standardi määrittelee, mitä tämän pitäisi olla. Standardissa annetaan käytännön ehdotuksia siitä, miten varmistetaan, että organisaatio voi toipua nopeasti ja tehokkaasti häiriötilanteista, miten varmuuskopiot tehdään hyvin ja miten keskeiset toiminnot säilytetään kriisin aikana, mikä vahvistaa liiketoiminnan yleistä resilienssiä.
Tutustu alla olevaan kuvaan ymmärtääksesi, kuinka NIS2:n vaatimus liiketoiminnan jatkuvuudesta ja varmuuskopioinnista liittyy siihen, mitä ISO 27001 kertoo tämän aihepiirin toteuttamisesta:
Kuten yllä olevasta kuvasta näkyy, NIS2 vaatii jonkinlaisia toimenpiteitä jatkuuvuden hallinnan ja varmuuskopioinnin suhteen. Tässä kohtaa ISO 27001 -standardi tulee apuun. ISO 27001 -standardi käsittelee tätä teemaa viidessä eri hallintakeinossa: 5.29, 5.30, 8.6, 8.13 ja 8.14. Nämä ovat tapoja parantaa jatkuvuuden hallintaa sekä varmuuskopiointia ja sitä kautta pienentää niihin liittyviä riskejä.
Erilaiset työkalut voivat auttaa sinua vieläkin pidemmälle kontrollien toteuttamisessa esimerkiksi jakamalla ne pienempiin, helposti omaksuttaviin tehtäviin. Samoja tehtäviä voidaan sitten käyttää eri standardien, direktiivien tai kehikkojen samankaltaisten vaatimusten toteutuksissa. Alla olevassa kuvakaappauksessa on esimerkki työkalusta, joka käyttää tehtäviä vaatimustenmukaisuuden todisteiden keräämiseen.
Pohjimmiltaan ISO 27001 -standardi ei ainoastaan tarjoa yksityiskohtaisempaa tietoa NIS2-aiheista vaan myös edistää systemaattista toimintamallia, jossa ennakoidaan, valmistaudutaan ja reagoidaan häiriöihin. Se tarjoaa punaisen langan, jota seurata, jotta NIS2-teemoihin saadaan luotua uskottavat toimintamallit.
Täytäntöönpanon haasteet
ISO 27001:n ja NIS2:n kaltaisten vaatimuskehikkojen täytäntöönpano ei ole helppo tai nopea tehtävä. Se vaatii aikaa, investointeja ja vahvaa sitoutumista erityisesti johdolta. Monimutkaisuus vaihtelee yrityksestä toiseen riippuen esimerkiksi toiminnan laajuudesta, olemassa olevista menettelyistä sekä riskiprofiilista.
Aluksi kannattaa aloittaa arvioimalla, kuinka kattavasti eri osa-alueita on tällä hetkellä toteutettu (esim. Digturvamallin avulla), ja kerätään asiaankuuluvat tiedot eri toimenpiteistä keskitettyyn paikkaan – tietoturvan hallintajärjestelmään.
Huomioi NIS2:n omat täsmävaatimukset
Huomaat, että sekä ISO 27001:n että NIS2-direktiivin noudattamisesta on hyötyä, varsinkin jos toimit EU:n alueella ja käsittelet arkaluonteisia tietoja. Tässä vaiheessa on tärkeää huomata, että ISO 27001 -standardi kattaa jo suurimman osan NIS2-direktiivistä, mutta lisäksi on huomioita muutama NIS2:n erityisvaatimus (esim. häiriöiden raportoinnin osalta ilmoitukset 24h, 72h sekä 1kk häiriön havaitsemisen jälkeen).
Molempien vaatimuskehikkojen käyttöönotto voi tarjota kattavan lähestymistavan tietoturvaan, joka kattaa sekä tekniset että organisatoriset näkökulmat ja osoittaa organisaation sitoutumisen tieto-omaisuuden suojaamiseen sekä asiakkaille että viranomaisille.
Yhteenveto
Vahva tietoturva ja vaatimustenmukaisuus edellyttävät kovaa työtä, mutta organisaatio saa myös hyötyjä, jotka vaihtelevat liiketoiminnan jatkuvuudesta ja maineen suojaamisesta lakien ja säännösten noudattamiseen. Organisaation suojaaminen tietoturvauhkia vastaan ei ainoastaan turvaa liiketoimintaa, vaan myös asemaa markkinoilla.
Jos toimit EU:n alueella, NIS2-vaatimusten noudattaminen saattaa olla pakollista toimialan ja organisaation koon perusteella. Vaihtoehtoisesti ISO 27001 -standardi voi kansainvälisesti tunnettuna vaatimuskehikkona olla erinomainen lisä tietoturvaasi maantieteellisestä sijainnistasi riippumatta. ISO 27001 -standardi ei kuitenkaan yleensä ole lakisääteinen vaatimus, vaan sitä pidetään enemmänkin tietoturvan huippuosaamisen merkkinä.
Jos NIS2-direktiivi on organisaatiollesi pakollinen, ISO 27001 on edelleen erinomainen tapa ymmärtää parhaat käytännöt ja viedä käytäntöön ylätasolla kuvatut NIS2-vaatimukset organisaatiossanne.
Mistä lisätietoja?
Jos haluat oppia lisää kehikoista, voit lukea muita blogejamme tai jopa kokeilla, miten täytätte vaatimukset luomalla ilmaisen kokeilutilin Digiturvamalliin.