Tässä blogissa käsitellään Euroopan unionin NIS2 (Network and Information Security) direktiivin taustoja. Tämä on ensimmäinen osa kolmen blogin sarjaa aiheesta NIS2. Saat direktiivistä ja sen vaatimista toimenpiteistä parhaan kuvan kun luet kaikki sarjan osat.
Liittyvä blogi: NIS2:n soveltamisala ja tärkeimmät tietoturvavaatimukset (osa 2/3)
Liittyvä blogi: Täytä NIS2:n vaatimukset Digiturvamallin avulla (osa 3/3)
Direktiivin ensimmäinen versio ja sen korvaaja
NIS-direktiivin alkuperäinen versio julkaistiin vuonna 2016. Tämä oli merkittävä saavutus koko Euroopan unionin laajuisessa tietoturvassa. Direktiivi oli ensimmäinen koko unionin laajuinen tietoturvaa koskeva lainsäädännön osa. Direktiivin ensisijainen tehtävä oli varmistaa korkea ja tasainen tietoturvan taso tärkeillä aloilla unionin jäsenmaissa.
Vaikka direktiivi onnistui parantamaan tietoturvaa, oli sen toimeenpanossa vaikeuksia. Nämä vaikeudet johtivat epätasaiseen tietoturvan tasoon jäsenmaissa. Tuli selväksi, että yhtenäisen ja korkean tietoturvan tason saavuttamiseksi tarvitaan lisäkeinoja. Toimeenpanon vaikeuksien sekä digitalisaatiosta johtuneen kasvavan kyberrikollisuuden takia Euroopan komissio päätti korvata direktiivin uudella versiolla, NIS2 direktiivillä. Uusi direktiivi pyrkii korjaamaan ensimmäisen version ongelmat keskittymällä erityisesti seuraaviin osa-alueisiin:
- selkeämmät ja kokonaisvaltaisemmat tietoturvavaatimukset
- tuotantoketjun tietoturvan huomioiminen
- raportointiohjeistusten yksinkertaistaminen
- laajemmat keinot toimeenpanon valvomiseksi
Kenelle ensimmäinen versio oli suunnattu?
Ensimmäisessä versiossa organisaatiot, joita direktiivi koskee, jaettiin kahteen kategoriaan: keskeisten palvelujen tarjoajat (operators of essential services, OESs) ja digitaalisten palvelujen tarjoajat (digital service providers, DSPs). Keskeisten palvelujen tarjoajat kuuluvat joukkoon, jossa palvelut ovat kriittisiä yhteiskunnan ja talouden kannalta. Tämä joukko sisältää muun muassa kriittisen infrastruktuurin sektorit; vesi, kuljetus ja energia sekä alat kuten terveydenhuolto ja digitaalinen infrastruktuuri.
Digitaalisten palvelujen tarjoajat ovat puolestaan organisaatioita, jotka tarjoavat digitaalisia palveluita, enimmäkseen hakukoneita, verkossa toimiva kauppapaikkoja tai pilvipalveluita. Jotta organisaatio hyväksytään kyseiseen kategoriaan, tulee sen täyttää keskisuuren yrityksen kriteerit. Kuitenkin, jos pieni yritys kuuluu isompaan organisaatioon, kosketti direktiivi tällöin myös yritystä, vaikka se ei täyttäisi keskisuuren yrityksen kriteeristöä.
Miksi NIS-direktiivi epäonnistui korkean tietoturvan tason luomisessa?
Toimeenpano
Toimeenpanossa oli eroja jäsenmaiden välillä. Jäsenmaat toteuttivat toimeenpanoa eri tavalla, joka loi eroja tietoturvaan jäsenmaiden välillä. Johdonmukaisuuden puute heikensi tietoturvaa unionin alueella.
Valmiuden taso
Jäsenmaat olivat eri tasoilla tietoturvassa ennen direktiivin toimeenpanoa. Osalla jäsenmaista oli jo ennen direktiiviä korkea taso tietoturvassa kun taas osassa jäsenmaista taso oli todella heikko. Erilaiset valmiudet toteuttaa direktiivin vaatimuksia lisäsivät eroja tietoturvassa jäsenmaiden välillä.
Keskeisten palvelujen tarjoajien määrittely
Jäsenmaiden oli tehtävä määritellä keskeisten palvelujen tarjoajat. Tämä osoittautui monimutkaiseksi tehtäväksi. Direktiiviä ei saatu kohdistettua tarpeeksi tehokkaasti tarkoitetulle joukolle organisaatioita, joka laski direktiivin vaikutusta.
Raportointiin liittyvät vaatimukset
Jäsenmaat saivat liikaa päätäntävaltaa raportointiin liittyvissä vaatimuksissa, joka toi loi paljon eroja tietoturvahäiriöiden raportoimiseen.
Riittämätön ulottuvuus
Yksi ensimmäisistä reaktioista direktiiville oli, että se ei tavoita kaikkia aloja, jotka tarjoavat kriittisiä palveluita.
Miten NIS2 direktiivi korjaa edeltäjänsä puutteet?
Vaikka uusi versio on muodostettu vanhan pohjalta, se tuo mukanaan paljon uutta. NIS2 parantaa tietoturvaan liittyviä vaatimuksia ja jäsenmaiden mahdollisuus muokata vaatimuksia poistettiin yhtenäisen tietoturvatason saavuttamiseksi. Alkuperäisessä versiossa liiallinen joustavuus altisti haavoittuvuuksille – uudessa versiossa joustavuutta on tästä syystä vähennetty.
NIS2 velvoittaa organisaatioiden huomioimaan esimerkiksi seuraavat asiat:
- Tietoturvariskien hallinta
- Häiriöiden tunnistaminen, hallinta ja raportointi
- Henkilöstön tietoturvakouluttaminen
- Jatkuvuussuunnittelu / kriisinhallinta
- Tuotantoketjun turvallisuus
- Datan salaus
Lue lisää näistä vaatimuksista blogisarjan toisesta osasta NIS2 – koskeeko direktiivi organisaatiotasi?
Palautetta tai kysyttävää?
Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.