Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
NIS2-yleiskatsaus: Historia, keskeinen sisältö ja merkitys yritysjohdolle

NIS2-direktiivi ("The Network and Information Systems Directive 2) on EU:n uusi tietoturvalainsäädäntö, joka koskee tärkeiden toimialojen tietoturvaa.

Direktiivi asettaa uudet minimivaatimukset tietoturvatoimenpiteille, laajentaa alkuperäisen NIS-direktiivin soveltamisalaa, lisää tiukkoja valvontatoimia vaatimusten noudattamiseksi ja mahdollisia rangaistuksia rikkomuksista. Tavoitteena on turvata Euroopan tietoinfrastruktuuri paremmin.

Erityisen tärkeää on huomata, että NIS2:ssa ei pelkästään aseteta vaatimuksia organisaatioiden tietoturvalle, vaan siinä saatetaan ylin johto selkeään vastuuseen niiden saavuttamisesta. Näiden säännösten laiminlyönnillä tai riittämättömällä noudattamisella voi olla merkittäviä oikeudellisia seurauksia. Jos organisaatio ei osoita asianmukaista huolellisuutta toteuttaessaan NIS2-standardin mukaisia vankkoja tietoturvatoimenpiteitä, ylin johto voi joutua henkilökohtaiseen vastuuseen tästä johtuvista ongelmista.

Organisaatioiden ylimmän johdon tulee nähdä strateginen tilaisuus parantaa kyberpuolustustaan ja -valmiuttaan - ei vain riskejä ja tehtäviä.  Tässä kirjoituksessa käsitellään NIS2-direktiiviä yleisesti ja sitä, miksi sen omaksuminen ylimmän johdon sitoumuksena voi olla tae toiminnan kestävyyteen ja menestykseen digitaalisella aikakaudella.

NIS2:n taustaa

NIS2 vaikuttaa suorasti tärkeiden toimialojen organisaatioihin, sekä niiden toimitusketjuihin

NIS2-direktiivi, joka on alkuperäisen NIS-direktiivin seuraaja, on osa Euroopan unionin kunnianhimoista suunnitelmaa, jonka tavoitteena on varmistaa korkea yhteinen tietoturvataso kaikissa jäsenvaltioissa. Alun perin vuonna 2016 voimaan tulleella NIS-direktiivillä pyrittiin yhtenäiseen lähestymistapaan tietoturvassa. Kun kyberuhkat ovat kuitenkin jatkeneet monimutkaistumistaan ja kasvamistaan, tarve entistä vahvemmalle kehikolle kävi selväksi, mikä johti NIS2:n luomiseen. Päivitetty direktiivi laajentaa soveltamisalaa ja asettaa ylimmälle johdolle entistä suuremman vastuun tietoturvan täytäntöönpanon varmistamisesta.

Huolimatta hyvää tarkoittavista lähtökohdistaan alkuperäisessä NIS-direktiivissä oli useita puutteita, jotka haittasivat sen tehokkuutta yhtenäisen lähestymistavan luomisessa tietoturvaan koko EU:ssa. Näitä puutteita olivat muun muassa seuraavat:

  • Puutteellinen soveltamisala: Alkuperäistä NIS-direktiiviä voitiin soveltaa vain suppeaan määrään aloja, mikä jätti merkittävät digitaalisen talouden osa-alueet haavoittuviksi tietoturvauhkille.
  • Epäaktiivinen täytäntöönpano: Direktiivin täytäntöönpano ja valvonta oli suurelta osin epäjohdonmukaista, mikä johti epätasaiseen toteutukseen eri jäsenmaissa.
  • Ylimmän johdon riittämätön huomioiminen: Ylimmän johdon vastuuta tietoturvan varmistamisessa ei korostettu riittävästi, mikä johti siihen, että strategisella tasolla ei otettu tietoturvariskejä tarpeeksi kattavasti huomioon.
  • Muut epäselvyydet: Monien organisaatioiden mielestä epäselviä määritelmiä ja ohjeita oli vaikea tulkita, mikä johti epäyhtenäiseen soveltamiseen.

Kaikki nämä puutteet on huomioitu ja "korjattu" NIS2:ssa. Tämä on myös merkinnyt sitä, että monet seikat on nyt määritelty yksityiskohtaisesti varsinaisessa direktiivissä, ja jäsenvaltioiden mahdollisuudet vaikuttaa kansallisella lainsäädännöllä ovat vähäisemmät.

Mitkä ovat keskeiset NIS2-sisällöt?

NIS2-direktiivin artiklat 20-25 (ja etenkin artikla 21) ovat "tavallisen" organisaation kannalta tärkeimmät NIS2-sisällöt.

NIS2-direktiivissä ei luetella yksityiskohtaisia tietoturvavaatimuksia organisaatioille, mutta siinä luetellaan 13 tietoturvallisuuden pääaluetta, joita varten organisaatioilla tulee olla dokumentoidut ja toteutetut menettelyt. Kuvauksia näistä menettelyistä voidaan pyytää toimittamaan viranomaisille ja niiden täytäntöönpanoa voidaan tarvittaessa tutkia esimerkiksi tietoturva-auditoinnin kautta.

NIS2:n keskeinen sisältö: 13 osa-aluetta, jotka tulee dokumentoida ja toteuttaa

NIS2 edellyttää, että organisaatioilla on dokumentoidut toimenpiteet seuraaville teemoille:

  • Riskienhallinta ja järjestelmäturvallisuus: Miten organisaationne analysoi aktiivisesti mahdollisia uhkia tietoturvariskien tunnistamiseksi, arvioimiseksi ja torjumiseksi. Tähän voi sisältyä riskinarviointimallien käyttö, riittävän pätevien riskinarvioijien määrittämistä sekä toteutetun riskienarviontityön dokumentointia.
  • Häiriöiden hallinta ja raportointi: Toiminnot, joita organisaatiolla on käytössä mahdollisten häiriöiden tunnistamiseksi, hallitsemiseksi ja lieventämiseksi. Viestinnällä on tässä keskeinen rooli, sillä kyse ei ole vain ongelman havaitsemisesta vaan myös siitä, että tarvittavat tiedot voidaan jakaa nopeasti oikeille tiimeille, jotta reagointiaika nopeutuu. NIS2:n mukaan merkittävistä vaaratilanteista on myös ilmoitettava kansalliselle valvontaviranomaiselle.
  • Lokitus ja häiriöiden havaitseminen: Miten organisaationne järjestelmällisesti tallentaa, analysoi ja käsittelee tietoturvaan liittyviä tapahtumia. Lokituksen ei tulisi ainoastaan rekisteröidä ja dokumentoida mahdollisesti haitallisia tapahtumia, vaan tarjota myös riittävästi lisätietoa tapahtumien korrelaation ja häiriöiden tutkinnan helpottamiseksi.
  • Toiminnan jatkuvuus ja varmuuskopiot: Miten organisaationne varmistaa, että kriittiset liiketoiminnot voivat jatkua keskeytyksettä myös epäsuotuisissa tilanteissa. Tähän voi kuulua jatkuvuussuunnitelmien laatiminen, niiden säännöllinen testaaminen ja henkilöstön kouluttaminen. Vankkojen varmuuskopiointiprosessien toteuttaminen ja säännöllinen testaaminen ovat myös tärkeä osa tätä prosessia.
  • Toimitusketjun tietoturva ja sen seuranta: Miten organisaatiosi hankintasopimusten ja kumppanivalintojen avulla varmistetaan hyväksyttävä turvataso. On myös tärkeää arvioida huolellisesti kolmannen osapuolen palveluntarjoajien tarjoamat turvatoimet ennen ulkoistussopimusten tekemistä. Yhtä tärkeää on myös valvoa säännöllisesti toimitusketjujen turvallisuutta - ja varmistaa, että kaikki kumppanit voivat raportoida NIS2-toimenpiteistään.
  • Turvallinen järjestelmähankinta ja -kehitys: Miten organisaationne hankkii, kehittää ja hallinnoi järjestelmien, sovellusten ja infrastruktuurin turvallisuutta koko niiden elinkaaren ajan. Toimiin tulisi kuulua esimerkiksi sellaisten menetelmien ja arkkitehtuurien käyttöönotto, joilla minimoidaan haavoittuvuus- ja turvallisuusriskit, vankan tietoturvatestauksen käyttö, ohjeet turvallista koodausta varten sekä valvottuja muutoksia koskevat käytännöt.
  • Tietoturvatoimien tehokkuuden arviointi: Miten valvotte ja testaatte organisaationne kyberpuolustusta sekä tietoturvaan tehtyjä parannuksia. Tähän voi sisältyä auditointia, mittareiden seuraamista, johdon katselmuksia tai teknisempiä lähestymistapoja, kuten haavoittuvuus- tai tunkeutumistestausta. Keskeistä on arvioida sekä turvatoimien toteuttamista että niiden tehokkuutta organisaation suojaamisessa.
  • Tietoturvahygienian käytännöt ja koulutus: Tähän kuuluvat esimerkiksi laitteiden pitäminen turvassa, hyvien salasanakäytäntöjen noudattaminen ja sähköpostin turvallinen käyttö phishing-hyökkäysten estämiseksi. Tarkoituksena on ohjata kaikkia työntekijöitä turvallisiin työskentelytapoihin ja luoda näin tietoturvakulttuuri. Säännölliset koulutustilaisuudet voivat auttaa varmistamaan, että koko henkilöstö ymmärtää tietoturvariskit ja oman roolinsa niiden torjunnassa.
  • Salaus: Miten digitaalinen tieto, erityisesti arkaluonteinen tieto, muunnetaan koodiksi luvattoman pääsyn estämiseksi. On tärkeää ymmärtää, ettei salaus tarkoita pelkästään turvallista viestintää eri digitaalisten alustojen välillä, vaan myös salausavainten tehokasta hallintaa.
  • Henkilöstön tietoturva: Miten organisaationne varmistaa, että työntekijät, alihankkijat ja kolmansien osapuolten käyttäjät ymmärtävät tietoturvaan liittyvät velvollisuutensa ja sitoutuvat niihin. Organisaation on myös kehitettävä toimivia rekrytointiprosesseja, mukaan lukien taustatarkistukset, jotta henkilöstöpohja olisi alusta alkaen turvallinen. Tietoturvan välttämättömyyttä korostava toimintakulttuuri, asianmukainen valvonta ja esimerkiksi salassapitosopimukset voivat suojata organisaatiota entisestään sisäisiltä uhkilta.
  • Pääsynhallinta: Nämä toimet kuvaavat, kuinka organisaationne päättää, kuka pääsee käsiksi mihinkin tietoihin. Tämä sisältää yleisten käytäntöjen, kuten rooleihin perustuvan käyttöoikeuksien hallinnan ja säännöllisten käyttöoikeuksien tarkistusten määrittämisen. Rooliin perustuva käyttöoikeuksien hallinta voi auttaa varmistamaan, että arkaluonteisiin tietoihin on pääsy vain tarvittavilla henkilöillä, mikä vähentää tietojen tahattoman tai tahallisen väärinkäytön todennäköisyyttä.
  • Suojattavan omaisuuden hallinta: Miten organisaationne tunnistaa, listaa ja luokittelee tieto-omaisuutensa. Eri omaisuuden omistajuuden määrittäminen ja selkeät ohjeet omistajan vastuusta kyseisen omaisuuden suojaamisessa on tärkeä osa prosessia.
  • Monivaiheinen tunnistaminen (MFA): Miten organisaationne käyttää lisäsuojakerroksia tavallisiin salasanaprotokolliin. Tällä tehostetulla varmennuksella pyritään vähentämään verkkohäiriöiden ja luvattoman pääsyn todennäköisyyttä. Käytettyjä menetelmiä voivat olla biometrinen vahvistus, turvatunnisteet tai tekstiviestit normaalin salasanan syöttämisen lisäksi. MFA:n käyttäminen laajasti edellyttää usein myös työntekijöiden kouluttamista siihen liittyviin työkaluihin.

Häiriötilanteista raportointia ja toimitusketjun hallintaa koskevat erityisvaatimukset

NIS2 sisältää myös täsmävaatimuksia häiriöiden raportointia ja toimitusketjun hallintaa varten.

NIS2:n vaatimukset häiriöiden raportoinnista

NIS2:ssa tiedostetaan, että häiriöitä sattuu ja tulee jatkossakin sattumaan. Direktiivin tarkoituksena ei ole syyllistää, vaan varmistaa avoimuus, ylläpitää luotettavuutta ja edistää tietojen ja parhaiden käytäntöjen jakamista turvallisuuden yleisen suorituskyvyn parantamiseksi.

Organisaatioiden on raportoitava viranomaisille ja palvelun käyttäjille kaikista merkittävistä tietoturvahäiriöistä, jotka voivat vaarantaa sen toiminnan tai sen hallussa olevat tiedot, 24 tunnin, 72 tunnin ja 30 päivän kuluttua tapahtuman havaitsemisesta.

Ensimmäisten raporttien on käsitettävä perustiedot ja arvio vaikutusten laajuudesta. Jälkimmäisen ilmoituksen on sisällettävä yksityiskohtainen kuvaus tapahtuneesta sekä analyysi perimmäisistä syistä ja tapahtuman vuoksi tehdyistä toimenpiteistä.

NIS2:n vaatimukset toimitusketjun tietoturvallisuuden seurannasta

NIS2:n mukaan organisaation on varmistettava, että hankintaketjusi ei ole heikoin lenkki laajemmassa tietoturvan kokonaisuudessa. Kyse ei ole enää vain omista välittömistä toiminnoistasi, vaan säännösten mukainen toimeksianto ulottuu myös kolmansiin osapuoliin, alihankkijoihin ja palveluntarjoajiin.

Organisaatioilla on oltava hyvä käsitys omista toimitusketjustaan, ja erityisesti vastattava seuraaviin kysymyksiin: ketkä ovat kriittisiä toimijoita palveluidemme toimittamisessa, millainen varmuus meillä on heidän turvallisuustasostaan ja miten valvomme heidän turvallisuuttaan ja velvoitamme heidät tiettyihin toimiin?

Tämä laajentaa NIS2-vaikutusta myös koskemaan NIS2:n soveltamisalaan suoraan kuuluvien yritysten lisäksi myös niiden tärkeitä toimittajia.

NIS2:n valvonta lyhyesti

Alkuperäisessä NIS:ssä oli selviä puutteita valvonnan osalta. NIS2:ssa pyritään välttämään tämä määrittelemällä selkeät valvonnan vähimmäismenetelmät direktiivin tasolla, jolloin vain kansallisten lakien lisäykset ovat mahdollisia.

NIS2:n täytäntöönpanoa koskevassa kansallisessa lainsäädännössä määritellään luonnollisesti, ketkä viranomaiset valvovat NIS2:n käyttöönottoa kyseisessä maassa, ja onko valvonta esimerkiksi jaettu eri viranomaisille toimialoittain.

Direktiivissä määritellään valvonnan toteuttamisessa käytettävät vähimmäismenetelmät seuraavasti:

  • Tietopyynnöt (esim. pyynnöt organisaation menettelyistä ylläoleviin teemoihin liittyen)
  • Pyynnöt tarkemmista todisteista (esim. todisteet menettelyjen toteuttamisesta)
  • On-site tai off-site tarkistukset
  • Laajemmat tietoturva-auditoinnit

Jos havaitaan, etteivät vaatimukset täyty, sovelletaan esimerkiksi seuraavia toimenpiteitä:

  • Varoitukset
  • Sitovat ohjeet määräajoin
  • Sakot (enintään 10 M€ tai 2 % vuotuisesta liikevaihdosta)

Miksi NIS2 on strategisesti merkittävä ylimmän johdon kannalta?

NIS2 tuo organisaation johdon avainasemaan tietoturvan toteuttamisessa

NIS2:n mukaan organisaation ylin johto voidaan asettaa vastuuseen artiklan 21 turvallisuusvaatimusten noudattamatta jättämisestä. NIS2:n mukaan ylimmän johdon rooli tietoturvassa on siis ainakin seuraava:

  • Hyväksyä 13 lueteltua osa-aluetta koskevat turvatoimet - ja varmistaa, että ne ovat riittävän hyviä pitämään tietoturvariskit hallinnassa.
  • Seurata ja varmistaa näiden tietoturvatoimenpiteiden toteuttaminen.
  • Toimitusketjun turvallisuuden ja häiriöiden raportoinnin valvonta.
Yksinkertaisesti sanottuna ylimmän johdon vastuu on NIS2:n mukaan huomattavasti enemmän kuin pelkkä tietoisuus omista toimenpiteistä. Kyse on asioiden edistämisestä ja vastuusta - vaatimustenmukaisuuden varmistamisesta, riskien hallinnasta ja johtavasta roolista reagoitaessa tietoturvahäiriöihin.

Lisäksi hyvässä tietoturvatyössä ylin johto osallistuu yleensä ainakin myöntämällä resursseja, asettamalla tietoturvatavoitteita ja osoittamalla sitoutumista tietoturvaan yleisesti.

Tämä kaikki merkitsee sitä, että ylimmän johdon rooliin liittyy sekä lainsäädännöllinen että eettinen vastuu. NIS2 pitää ylimmän johdon aktiivista osallistumista ja sitoutumista ratkaisevan tärkeänä tavoitteiden saavuttamisessa.

Kuinka organisaation tulisi valmistautua? 3 toimintatasoa.

Kevyt taso: Dokumentoi menettelytavat poimimalla sopivia toimenpiteitä parhaista käytännöistä

Yksi tapa lähestyä NIS2:ta on tutustua yleisiin parhaita käytäntöjä listaaviin standardeihin (esim. ISO 27001 tai NIST CSF) ja etsiä niistä tarkempia toimenpiteitä tietoturvan osa-alueiden toteuttamiseksi.

Näin asiaa voi lähestyä ainakin osittain näkökulmasta "mitä olemme jo tehneet", jotta päästään työssä vauhtiin.

Tämän toimintatavan selkeä varjopuoli on se, että se ei useinkaan johda tietoturvan kestävään pitkän aikavälin kehitykseen vaan jää lopulta pelkäksi dokumentointiharjoitukseksi.

Keskitaso: Aloita ISMS:n rakentaminen (parhaiden käytäntöjen pohjalta)

ISMS (tietoturvan hallintajärjestelmä) luo järjestelmällisen lähestymistavan tietoturvaan kokoamalla tietoturvaan liittyvät asiat yhteen paikkaan, auttamalla teitä ymmärtämään nykyisen tietoturvatason paremmin ja mahdollistamalla tietoturvatoimien perusteellisen seurannan.

Näin voitte ylläpitää vaatimustenmukaisuutta pitkällä aikavälillä ja vähentää tietoturvariskejä parantamalla jatkuvasti.

Vahva taso: ISO 27001 -sertifioitu hallintajärjestelmä

ISMS-sertifiointi (esim. ISO 27001 -standardin mukaisesti) tarkoittaa, että ulkopuolinen, valtuutettu auditoija on käynyt läpi ISMS:n ja varmistanut, että se täyttää valitun kehikon vaatimukset.

Tämä lähestymistapa tarjoaa etuja, kuten kiistattoman todisteen hyvästä turvallisuustasosta, jota voit hyödyntää paitsi NIS2-valvontatoimissa myös kaikissa myynti- tai yhteistyötoimissa, joihin liittyy tietoturvanäkökulmia.

Yhteenveto

Yhteenvetona on hyvä ymmärtää, että NIS2-direktiivi on osa laajempaa digitaalisen muutoksen kehitystä Euroopan unionissa. Se edellyttää organisaatioilta selkeyttä - dokumentointia siitä, miten ne ovat toteuttaneet tietoturvan eri osa-alueita, ja näiden valintojen takana seisomista. Se myös sitouttaa ylimmän johdon tietoturvaan aivan uudella tasolla.

Direktiivin laajat tietoturvatoimet ja häiriöiden raportointivaatimukset korostavat siirtymistä kohti parempaa avoimuutta, vastuullisuutta ja yleistä kestävyyttä tietoturvauhkia vastaan. Vaikka NIS2:n täytäntöönpano edellyttää epäilemättä huomattavaa sitoutumista, hyödyt ovat huomattavasti suuremmat kuin kustannukset.

Tietoturvallisuuden hallintajärjestelmän (ISMS) käyttöönotto, perustuipa se sitten muihin parhaisiin käytänteisiin tai ISO 27001 -standardiin, on hyväksi havaittu tapa menestyä. Muista kuitenkin, että se on matka, ei kilpailu. Vaiheittainen strategia, joka huomioi organisaationne toimintaympäristön, nykyisen tietoturvatason ja muut kyvykkyydet, tarjoaa kestäviä tuloksia ja edistää toiminnan jatkuvuutta pitkällä aikavälillä.

Sisältö

Jaa artikkeli