Tietoturvasta puhuttaessa NIS2 on kenties yksi tämä vuoden ajankohtaisimmista ja puhutuimmista aiheista. NIS2 on Euroopan unionin tietoverkkoturvallisuusdirektiivi, joka perustuu edeltäjäänsä vahvemman suojan ja häiriönsietokyvyn varmistamiseksi. Tässä blogiartikkelissa tutustumme tarkemmin NIS2 -direktiivin edellyttämiin kansallisiin lainsäädäntöihin, sekä otetaan katsaus Suomen kyberturvallisuuslakiin: Mikä se on ja miten se eroaa euroopanlaajuisesta direktiivistä?
NIS2-direktiivi on alkuperäisen NIS-direktiivin päivitetty versio, joka laajentaa alkuperäisen direktiivin soveltamisalaa ja jolla pyritään vahvistamaan kyberturvallisuutta koko Euroopan unionissa. NIS2-direktiiviä sovelletaan moniin yhteiskunnan toiminnan kannalta tärkeisiin toimialoihin, kuten energia-, liikenne-, vesi-, ruoka-, terveys- ja rahoitusalaan, sekä digitaalisen infran toimijoihin, valmistavaan teollisuuteen ja moniin muihin.
Julkaisimme keväällä 2024 NIS2 haltuun hyödyntäen ISO 27001 parhailla käytännöillä e-kirjan. Ilmaisessa e-kirjassamme opastamme sinut NIS2-maailmaan, direktiivin sisältöön sekä annamme käytännön vinkkejä vaatimustenmukaisuuden saavuttamisessa. Nappaa omasi täältä: https://digiturvamalli.fi/ekirja
NIS2 & kansalliset lait
Jäsenvaltioiden odotettiin saattavan NIS2-direktiivin osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä, ja sen täysimääräinen täytäntöönpano on tarkoitus alkaa pian sen jälkeen. Vaikka virallista määräpäivää ei ole saavutettu monessa maassa, on tilanne hyvällä mallilla ja suurimman osan maista voimme olettaa saattavan lainsäädännön loppuun 2024 aikana. Direktiivillä laajennetaan soveltamisalaan kuuluvia aloja ja tiukennetaan riskienhallintavaatimuksia, häiriöiden raportointia ja kyberturvallisuuden toteuttamista koskevia toimenpiteitä. Erityisesti siinä otetaan käyttöön tiukemmat vaatimukset häiriöiden raportoinnille ja toimitusketjun turvallisuudelle.
NIS2-direktiivi edellyttää, että kansallisella tasolla tehdään joitain keskeisiä päätöksiä: NIS2:n täytäntöönpanoa koskevassa kansallisessa lainsäädännössä määritellään esimerkiksi paikalliset viranomaiset, täytäntöönpanon ja seurannan tarkennukset. NIS2-direktiivissä määritellään selkeät valvonnan vähimmäismenetelmät direktiivin tasolla, jolloin vain lisäykset kansallisissa lainsäädännöissä ovat mahdollisia. Kansallisella tasolla huomioitavia kohtia ovat muun muassa:
Valvontaviranomaiset:
NIS2:ssa korostetaan merkittävästi viranomaisten roolia keskeisten palvelujen ja elintärkeiden infrastruktuurien kyberturvallisuuden varmistamisessa Euroopan unionissa ja korostetaan viranomaisten välisen yhteistyön lisäämistä EU:n jäsenvaltioiden välillä.
Kansallisessa lainsäädännössä tulee määritellä, ketkä viranomaiset valvovat NIS2:n toteutumista kyseisessä maassa, ja onko valvonta esimerkiksi jaettu eri viranomaisille toimialoittain. Maiden on nimettävä paikalliset viranomaiset varmistamaan NIS2-sääntöjen noudattaminen: tämä tarkoittaa kansallisten valvovien viranomaisten nimeämistä tai uusien valvontatiimien luomista esimerkiksi energia-, terveydenhuolto- ja liikennealoille.
Täytäntöönpano ja seuranta:
NIS2 asettaa selkeät ja tiukat vaatimukset täytäntöönpanolle ja seurannalle, jotta varmistetaan, että organisaatiot ja jäsenvaltiot noudattavat direktiivin vaatimukset.
Jäsenvaltioiden on varmistettava, että keskeisiin toimijoihin kohdistuvat valvonta- ja täytäntöönpanotoimenpiteet, joiden tarkoituksena on varmistaa direktiivin velvoitteiden noudattaminen, ovat tehokkaita, oikeasuhteisia ja varoittavia. Lisäksi jäsenvaltioiden on otettava huomioon kunkin yksittäisen tapauksen erityisolosuhteet. Jos seurantatoimet viittaavat siihen, että merkittävä toimija ei ehkä noudata direktiiviä, viranomaisten on ryhdyttävä tarvittaessa asianmukaisiin toimiin jälkivalvontatoimenpitein. Maiden on myös tarvittaessa perustettava ryhmiä käsittelemään ja tutkimaan kyberturvallisuuteen liittyviä tapauksia.
Riskienhallinta ja tietoturvan toimenpiteet:
NIS2:n mukaisesti organisaatiolla tulisi olla tarkkaan määritellyt toimintatavat tietoturvariskien hallitsemiseksi, tietoturvatoimenpiteiden tehokkuuden arvioimiseksi ja keskeisten parannuskohteiden tunnistamiseksi.
NIS2-direktiivi mainitsee erityisesti seuraavat tietoturvan osa-alueet, joihin organisaation on dokumentoitava ja toteutettava omat toimensa, ja organisaation johto vastaa toimien riittävyydestä:
- Riskienhallinta ja järjestelmäturvallisuus
- Häiriöiden hallinta, lokitus ja havaitseminen
- Toiminnan jatkuvuus ja varmuuskopiointi
- Toimitusketjun tietoturva ja valvonta
- Turvallinen järjestelmähankinta ja -kehitys
- Tietoturvatoimien tehokkuuden arviointi
- Tietoturvahygienian käytännöt ja koulutus
- Salaus
- Henkilöstön tietoturva
- Pääsynhallinta
- Suojattavan omaisuuden hallinta
- Monivaiheinen tunnistaminen (MFA)
Vinkki: Tietoturvatoimenpiteiden riittävyyden arvioimiseksi kannattaa hyödyntää yleisesti hyväksyttyjä sisältöjä, kuten ISO 27001 -standardia.
Kunkin maan on varmistettava, että organisaatiot toteuttavat toimenpiteitä riskien hallitsemiseksi. Näihin toimenpiteisiin kuuluu sen varmistaminen, että toimitusketjut ovat turvallisia, ja sekä lisäksi riskien huolellinen tarkistaminen.
Häiriöiden ilmoittaminen ja raportointi:
NIS2:n mukaan merkittävistä häiriöistä on ilmoitettava kansalliselle valvontaviranomaiselle, joten kansallisissa lainsäädännöissä määritellään, milloin ja miten häiriöistä ilmoitetaan. Näin NIS2 asettaa perusnormit, mutta maat voivat laatia tiukempia tai yksityiskohtaisempia sääntöjä omien tarpeidensa mukaan.
Kansallisella tasolla voidaan myös viedä NIS2 - direktiivin soveltamisalaa pidemmälle, sekä luoda tarkennuksia kansallisen tarpeen mukaisesti. Näillä kansallisella tasolla tehtävillä sopimuksilla ja toimilla varmistetaan, että NIS2-direktiivi räätälöidään kunkin maan lainsäädäntöön ja että samalla säilytetään yhtenäinen lähestymistapa kyberturvallisuuteen EU:n laajuisesti.
Lokakuun alussa katsottaessa EU-maissa on hieman eroja oman lainsäädäntönsä valmistumisen suhteen, mutta yleisesti direktiivin täytäntöönpano on hyvässä vauhdissa. Maiden kansallisissa lainsäädännöissä on joitakin eroja, mutta koska NIS2-direktiivi on edeltäjäänsä yksityiskohtaisempi, jäsenvaltioiden mahdollisuudet vaikuttaa kansalliseen lainsäädäntöön ovat vähäisemmät. Eroja kansallisissa lainsäädännöissä on lähinnä alojen määrittelyssä tai turvatoimien kohdentamisessa.
Yleiskatsaus Suomen kyberturvallisuuslakiin
Kyberturvallisuuslaki perustuu Suomen viranomaisten, kuten kansallisen kyberturvallisuuskeskuksen, ja yksityisen sektorin tahojen väliseen yhteistyöhön.
Suomessa kansallinen täytäntöönpano tapahtuu uudella kyberturvallisuuslailla, joka tässä vaiheessa on jo hyvällä mallilla. Suomen kansallinen laki odottelee lopullista vahvistusta, ja versiota on jo pystytty hyödyntämään. Tutustutaan seuraavaksi, mitä kyberturvallisuuslaki pitää sisällään.
Suomen kyberturvallisuuslailla luodaan selkeä lainsäädäntökehys NIS2-direktiivin mukaiselle tietoturvariskien hallinnalle ja häiriöiden raportoinnille. Uudella lailla, joka on parhaillaan eduskunnan käsittelyssä, pyritään yhtenäistämään Suomen nykyiset hajanaiset kyberturvallisuussäädökset ja yhdenmukaistamaan ne NIS2:ssa käyttöön otettujen EU:n laajuisten standardien kanssa. Se laajentaa riskinhallinta- ja raportointivaatimusten soveltamisalaa ja selkeyttää niiden yritysten ja julkisten laitosten määrää, joiden on noudatettava niitä. Kyberturvallisuuslain lähtökohtana on direktiivin vähimmäistaso, ja se määrittelee lähinnä direktiivin sisältöjä vastaavat kohdat. Kyberturvallisuuslaki ei aseta lisäyksiä NIS2-direktiivin antamiin sovellusaloihin, eikä valvontakeinoihin.
Valvontaviranomaiset:
Kyberturvallisuuslaki nimeää eri viranomaisia varmistamaan NIS2-järjestelmän noudattamisen eri aloilla. Traficom (Liikenne- ja viestintävirasto) valvoo digitaalisia palveluja, viestintää ja liikennettä. Valvira vastaa terveydenhuollosta, ja Tukes valvoo kemikaali- ja työturvallisuutta. Muita valvontaviranomaisia ovat muun muassa Energiavirasto, ELY-keskus, Elintarviketurvallisuusvirasto ja Fimea (Lääkelaitos).
Täytäntöönpano ja seuranta:
Traficomin alaisuuteen luodaan uusi tietoturvaloukkauksia tutkiva, sekä loukkauksiin reagoiva ryhmä. Tämä ryhmä tutkii häiriöitä, tekee auditointeja ja soveltaa tarvittaessa seuraamuksia varmistaakseen, että kyberturvallisuutta koskevia säännöksiä noudatetaan.
Jos huomataan säännösten rikkomuksia tai puutteita, voi taholle aiheutua erilaisia taloudellisia seuraamuksia. Seuraamuksista vastaa erillinen seuraamuslautakunta. Seuraamusmaksulautakunta joka koostuu viranomaisista, toimii Liikenne- ja viestintäviraston alaisuudessa. Sen tehtävänä on määrätä hallinnollisia seuraamuksia valvontaviranomaisen esityksestä. Hallinnolliset sakot maksetaan valtiolle.
Riskienhallinta ja tietoturvan toimenpiteet:
Kyberturvallisuuslaki määrittelee "riskienhallinnan toimintamallin" joka määrittelee selkeästi että Suomessa tulee olla kyseinen toimintamalli ja sitä tulee toteuttaa (8 §: Kyberturvallisuutta koskeva riskienhallinnan toimintamalli.)
Toimijalla on oltava käytössä ajantasainen kyberturvallisuutta koskeva riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. Kyberturvallisuutta koskevassa riskienhallinnan toimintamallissa on tunnistettava viestintäverkkoihin ja tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvat riskit ottaen huomioon kaikki vaaratekijät huomioiva lähestymistapa. Toimintamallissa on määritettävä ja kuvattava kyberturvallisuutta koskevan riskienhallinnan tavoitteet, menettelyt ja vastuut sekä 9 §:n mukaiset toimenpiteet, joilla viestintäverkkoja ja tietojärjestelmiä ja niiden fyysistä ympäristöä suojataan kyberuhkilta ja poikkeamilta. (KTL; 8 §)
Lisäksi Kyberturvallisuuslaki tarjoaa selkeämmän kuvauksen fyysisistä turvatoimista kuin NIS2-direktiivi (9.12 §: Fyysinen turvallisuus), jossa kuvataan toimia fyysisen ympäristön, viestintäverkkojen, tietojärjestelmien ja tarvittavien resurssien suojaamiseksi.
Häiriöiden ilmoittaminen ja raportointi:
Suomen kyberturvallisuuslaki edellyttää NIS2:n standardien mukaisia raportointiprotokollia, mutta kansalliset viranomaiset, erityisesti Traficomin kyberturvallisuuskeskus, huolehtivat raportointisääntöjen yksityiskohdista, mukaan lukien tapahtumien kynnysarvot ja määräajat. Suomi voi joustavasti soveltaa tiukempia raportointivelvoitteita kansallisen kehikon perusteella.
Yhteenvetona, Suomen Kyberturvallisuuslaki on suunniteltu siten, että se täyttää täysin NIS2-direktiivin vaatimukset, sillä siinä on laadittu selkeät suuntaviivat valvontaa, raportointia, riskienhallintaa, seuraamuksia ja täytäntöönpanoa varten. Täytäntäntöönpano tapahtuu "uudelleenkirjoittamalla": Kyberturvallisuuslaki sisällyttää kaikki NIS2 minimivaatimukset, joten NIS2 -direktiivin työstäminen voidaan suorittaa kansallista lakia työstämällä. Kyberturvallisuuslain oli määrä tulla voimaan yhdessä NIS2:n kanssa 18. lokakuuta, mutta koska hallitus ei ole vielä määräpäivään mennessä antanut lopullista hyväksyntää, voimme olettaa että kansallinen laki astuu voimaan heti hyväksymisen jälkeen, kuitenkin 2024 loppuun mennessä.
Kyberturvallisuuslaki Digiturvamallissa
Voit nyt aktivoida Kyberturvallisuuslain Digiturvamallissa! Löydät Kyberturvallisuuslain, sekä tulevaisuudessa myös muiden maiden kansalliset lainsäädännöt NIS2 -vaatimuskehikon alta. Voit aktivoida Kyberturvallisuuslain napin painalluksella.
Vinkki: Koska kyberturvallisuulaki kattaa myös NIS2 minimivaatimukset, voit aktivoida pelkästään kansallisen lain. Jos kuitenkin haluat pysyä ajan tasalla kuinka hyvin digiturvatyösi kohdistuu yleiseen NIS 2 vaatimustenmukaisuuteen, voit myös aktivoida NIS2:n Kyberturvallisuuslain rinnalle.
Kyberturvallisuuslaki koostuu kolmesta kategoriasta: 2a: Riskien hallinta ja johdon vastuu, 2b: Kyberturvallisuuden toimenpiteet sekä 2c: Poikkeamailmoitukset sekä 21:stä vaatimuksesta. Digiturvamalli pilkkoo vaatimukset selkeiksi tietoturvatehtäviksi, joita pääset työstämään heti vaatimuskehikon aktivoituasi. Valitse vain ensimmäinen teema ja opi miten nykyiset toimenpiteesi vastaavat vaatimuksia. Näin saat nopeasti selville, miten hyvin olet aluksi noudattanut vaatimuksia, ja voit tunnistaa mahdolliset puutteet.
Tutustu Digiturvamallin muihin vaatimuskehikkoihin tuotteessamme tai sivustollamme: https://www.digiturvamalli.fi/vaatimuskehikot
Kysymyksiä ja palautetta?
Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.