Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
NIS2:n soveltamisala ja tärkeimmät tietoturvavaatimukset (osa 2/3)

Tämä on NIS2 blogisarjamme toinen osa. Kannattaa lukea ensimmäinen osa NIS2 – taustaa ja syitä direktiivin päivittämiselle ennen tätä osaa.

Mitä tietoturvavaatimuksia NIS2-direktiivi listaa?

Vaikka uusi versio on muodostettu vanhan pohjalta, se tuo mukanaan paljon uutta. NIS2 parantaa tietoturvaan liittyviä vaatimuksia, ja samalla jäsenmaiden mahdollisuus muokata vaatimuksia poistettiin yhtenäisen tietoturvatason saavuttamiseksi. Alkuperäisessä versiossa liiallinen joustavuus altisti haavoittuvuuksille – uudessa versiossa joustavuutta on tästä syystä vähennetty.

NIS2 listaa 13 tietoturvan pääasiaa, jotka organisaatioiden on huomioitava osana omia tietoturvasuunnitelmiaan. Tästä listattuna löydät oleellisimpia poimintoja. Täysimittaisen NIS2-raportin löydät Digiturvamallista, joka sisältää myös priorisoidut suositukset eri vaatimuksiin vastaavista toimenpiteistä.

Riskien arviointi ja hallinta (21.2.a)

Organisaatiolla tulisi olla selkeästi määritellyt toimintatavat tietoturvariskien hallintaan, joiden avulla arvioidaan organisaation toteuttamien tietoturvatoimien riittävyyttä ja tunnistetaan tärkeimpiä kehityskohteita.

Häiriöiden tunnistaminen, hallinta ja raportointi (21.2.b & 23)

Kun keskeiset tai tärkeät toimijat havaitsevat huomattavan poikkeaman, tulisi siitä tehdä ennakkovaroitus ilman aiheetonta viivytystä 24 tunnin kuluessa. Tämän jälkeen tulisi tehdä poikkeamailmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Poikkeamailmoituksen tulisi sisältää päivitetyt tiedot ennakkovaroituksesta, sisältäen vakavuus, vaikutus ja vaarantuminen jos mahdollista.

Henkilöstön tietoturvakoulutus (21.2.g)

Keskeisten ja tärkeiden toimijoiden tulee huolehtia henkilöstön tietoturvaosaamisesta ohjeistamisen ja koulutuksen keinoin. Tässä prosessi tulisi käsitellä henkilöstön kannalta tärkeitä teemoja, kuten laitteiden turvallinen käyttö, ohjelmistopäivitykset, turvallinen etätyö sekä identiteetin- ja pääsynhallinta.

Toimitusketjun turvallisuus (21.2.d & 21.3)

Toimitusketjun turvallisuuteen kuuluu toimijoiden välisten suhteiden tarkastelu tietoturvan näkökulmasta. Mitkä ovat omien palveluiden toimittamisen näkökulmasta kriittisiä kumppaneita? Millaisia tietoturvavaatimuksia heille on asetettu ja mitä todisteita näiden täyttymisestä on?

Organisaatiota velvoitetaan NIS2:ssa aiempaa selkeämmin panostamaan tällaiseen toimitusketjun analysointiin ja tietoturvavaatimusten vyöryttämiseen eteenpäin tärkeille kumppaneille.

Datan salaus (21.2.h)

Yleisiä viestintäverkkoja ja yleisesti saatavilla olevia sähköisiä viestintäpalveluja tarjoavien organisaatioiden tulisi tiedottaa asiakkailleen merkittävistä kyberuhkista ja suojatoimenpiteistä, joita he voivat käyttää laitteidensa ja viestintänsä turvallisuuden parantamiseksi. Tämä voi sisältää erilaisten ohjelmistojen tai salaustekniikoiden hyödyntämistä.

Tietoturvasuunnitelman olemassaolo

Organisaatioiden kannattaa luoda selkeä suunnitelma, joka sisältää ylläolevat teemat. NIS2 mainitsee, että organisaatioiden hallintaelinten tulee hyväksyä esimerkiksi riskien hallintasuunnitelma ja valvoa organisaation tietoturvan toteutumista yleisesti. Tämä vaatii systemaattista suunnittelua ja työkaluja tietoturvan toteuttamiseksi.

Kriisin hallinta

Jäsenmaiden on nimitettävä tai luotava yksi tai useampi viranomainen vastuuseen kyberturvallisuudesta. On jäsenmaiden vastuulla, että näillä viranomaisilla on käytettävissään tarvittava määrä resursseja, jotta viranomaiselle osoitettujen tehtävien hoitaminen sujuu tehokkaasti.

Koskeeko NIS2 organisaatiotasi?

NIS2 koskee laajempaa sektoria kuin edeltäjänsä. Sektoreiden toimijat on jaettu keskeisiin ja tärkeisiin toimijoihin. Näiden välinen ero on siinä, että katkos keskeisen toimijan toiminnassa oletettavasti vaikuttaa vakavasti yhteiskunnan talouteen.

Ensimmäisessä versiossa jäsenmaiden tehtävänä oli määritellä keskeisten palvelujen tuottajat, joka osoittautui vaikeaksi. NIS2 tekee määrittelyn eri tavalla. Alla lueteltujen alojen kaikki toimijat, jotka täyttävät keskisuuren yrityksen kriteerit, kuuluvat direktiivin piiriin. Kuitenkin, direktiivin piiriin kuuluu myös direktiviissä (EU) 2022/2557 kriittiseksi listatut toimialat koosta riippumatta, eli myös keskisuurta pienemmät yritykset.

Keskeiset toimialat

  • Energia
  • Liikenne
  • Pankkiala
  • Rahoitusmarkkinoiden infrastruktuuri
  • Terveydenhuolto
  • Juomavesi
  • Jätevesi
  • Digitaalinen infrastruktuuri, esimerkiksi
  1. Luottamuspalvelujen tarjoajat
  2. yleisten sähköisten viestintäverkkojen tarjoajat
  3. pilvipalvelujen ja datakeskuspalvelujen tarjoajat
  • ICT-palveluiden hallinta (B2B)
  • Julkishallinto
  • Avaruus

Tärkeät toimialat

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalien valmistus, tuotanto ja jakelu
  • Elintarvikkeiden tuotanto, jalostus ja jakelu
  • Lääkinnällisten ja elektronisten laitteiden sekä moottoriajoneuvojen valmistus
  • Verkossa toimivien markkinapaikkojen, hakukoneiden sekä verkkoyhteistyöalustojen tarjoajat
  • Tutkimustoiminta

Direktiivi pätee poikkeuksena myös seuraaviin toimijoihin:

  • Toimija on ainut palveluntarjoaja, joka tuottaa jäsenmaassa talouden ja yhteiskunnan toiminnan kannalta kriittisiä palveluita
  • Keskeytys toiminnassa olisi riski julkiselle turvallisuudelle tai terveydelle
  • Keskeytys toiminnassa johtaisi laajempaan riskiin, erityisesti kansainvälisillä toimijoilla
  • Toimija on kriittinen, koska sillä on kansallisesti tai alueellisesti suuri merkitys kyseisen toimialan tai palvelutyypin tai jäsenvaltion muiden keskinäisriippuvaisten toimialojen kannalta
  • Julkishallinnon toimija, jonka jäsenmaa on määritellyt julkishallinnon keskustason toimijaksi tai aluetason julkishallinnon toimijaksi ja joka riskiperusteisen arvioinnin perusteella tarjoaa palveluja, joiden häiriintymisellä voisi olla merkittävä vaikutus yhteiskunnan tai talouden kriittisiin toimintoihin.

Valvonta ja täytäntöönpano

Jäsenmaiden on varmistettava, että keskeisiä toimijoita koskevat direktiivissä säädettyjen velvoitteiden noudattamisen valvonta- tai täytäntöönpanotoimenpiteet ovat vaikuttavia, oikean suhteisia ja varoittavia. Tämän lisäksi jäsenmaiden tulee huolehtia, että kunkin yksittäisen tapauksen olosuhteet otetaan huomioon.

Jos jäsenmaiden valvonnasta viranomaiset saavat viitteitä tai tietoja, joiden mukaan tärkeä toimija ei väitetysti noudata direktiiviä, on viranomaisen puuttuttava tilanteeseen tarpeen mukaan jälkikäteen tehtävillä valvontatoimenpiteillä.

Keskeisten ja tärkeiden toimijoiden valvonnan taso eroaa toisistaan. Vaikka taso eroaa, tavoitteena on silti suojella keskeisiä sekä tärkeitä toimijoita ja ylläpitää digitaalisen infrastruktuurin yleistä turvallisuutta. Tarkat vaatimukset ja valvontatoimenpiteet on määritelty vastaamaan toimenpiteen kohteen kriittisyyttä. Tällä pyritään siihen, että toimija suorittaa tarvittavat turvallisuuteen liittyvät asiat. Jos toimija ei täytä direktiivin vaatimuksia, voidaan toimijalle määrätä hallinnollinen sakko, jonka suuruus 10 miljoonaa euroa tai 2 prosenttia sen yrityksen, johon keskeinen toimija kuuluu, edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.


Kiitos lukemisesta! Muistathan lukea blogisarjan kolmannen osan NIS2 – Täytä vaatimukset Digiturvamallin avulla

Palautetta tai kysyttävää?

Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.

Sisältö

Jaa artikkeli