NIS2-tietoturvadirektiivin voimaantuloon on noin puoli vuotta. Viimeistään nyt on hyvä hetki laittaa tietoturva-asiat kuntoon.
Joko NIS2-tietoturvadirektiivin vaatimukset ovat teillä hallussa? On luonnollista, jos raskaaseen lakitekstiin perehtyminen on jäänyt tehtävälistan loppupäähän. Vielä ei tarvitse huolestua. NIS2 astuu voimaan 18.10.2024, joten ehdit edelleen hoitaa kriittiset asiat kuntoon.
Direktiivin vaatimusten täyttämisestä on paljon hyötyä myös yrityksille, jotka eivät ole sen piirissä. Tietoturva on tärkeää jokaiselle yritykselle ja NIS2:n listaamat asiat on aina järkevää laittaa kuntoon joka tapauksessa.
Joillekin yrityksille direktiivin tietoturvavaatimukset saattavat tulla yllätyksenä. Nimittäin ne eivät ole ”peruskauraa”, vaan monilla on niissä edelleen puutteita, jopa kriittisiä sellaisia. Tässä blogissa syvennymme siihen, mistä kannattaisi aloittaa.
Keitä uusi NIS2-direktiivi koskee?
NIS2-direkiiviä sovelletaan laajempaan joukkoon organisaatioita kuin edeltävää NIS-direktiiviä. Tarkan listan toimialoista löydät esimerkiksi Kyberturvallisuuskeskuksen sivuilta.
Nyt mukana ovat myös valmistavan teollisuuden kriittiset tai tärkeät toimijat, jotka työllistävät yli 50 henkilöä tai joiden vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa. Tämä tarkoittaa Suomessa valtavaa määrää yrityksiä.
NIS2:n vaatimuksille onkin tarvetta, sillä esimerkiksi valmistusteollisuuden tehtaissa ja tuotantojärjestelmissä yleisesti käytettävän OT-teknologian tietoturvan taso, ja niiden ongelmien havaitsemis- ja reagointikyvykkyys, on yleisesti hyvin heikkoa.
Todella monet erityyppiseen valmistusteollisuuteen liittyvät yritykset tulevat olemaan NIS2-direktiivin piirissä joko suoraan tai sitten välillisesti yhteistyökumppanin kautta Varsinkin tämä isomman liiketoimintakumppanin vaatima toimitusketjukyvykkyys, ja sitä kautta direktiivin vaatimukset, tulevat monille yrityksille isona yllätyksenä.
Mitä NIS2-direktiivi vaatii?
NIS2-vaatimukset sisältävät melko yksiselitteisiä ohjeita siitä, mitä yritysten pitää tehdä. Niihin sisältyy neljä tärkeää perusasiaa:
- Johdon vastuu
Johdolla pitää olla ymmärrys NIS2:n vaatimuksista, koska vastuu direktiivin noudattamisesta on toimitusjohtajalla, ei IT-osastolla. Johdon tietoturvaosaamisen on siis oltava riittävällä tasolla.
- Raportointivelvollisuus
Yrityksen on kerrottava tietoturvapoikkeamista viranomaisille 24 tunnin sisällä. Jo 72 tunnin kuluessa on oltava syvempi analyysi tilanteesta ja juurisyistä raportti yhden kuukauden kuluttua. Tämä luonnollisestikin tarkoittaa, että yrityksellä pitää olla kyky havaita hyökkäys välittömästi.
- Riskienhallinta
Yritysten täytyy olla varautuneita siihen, jos kyberhyökkäys osuu kohdalle. Tämä tarkoittaa käytännön varautumista, sillä vaikka kyvykkyys olisikin piirretty paperille, kyky toimia tosipaikan tullen syntyy vain harjoittelemalla. NIS2 vaatiikin riskienhallinnan dokumentoinnin lisäksi sen konkreettista toteuttamista.
- Liiketoiminnan jatkuvuuden hallinta
Yrityksellä on oltava suunnitelma liiketoiminnan jatkuvuuden varmistamiseksi, jos se joutuu kyberhyökkäyksen kohteeksi. Tämä tarkoittaa esimerkiksi sitä, että kriittisistä tiedoista on oltava varmuuskopiot, sekä testatut suunnitelmat ja proseduurit niiden palauttamiseen
Yllä listattuihin asioihin liittyy paljon alakohtia, joissa monilla riittää korjattavaa. Ensin kuitenkin kannattaa selvittää, mikä oman organisaation tilanne on näillä eri alueilla.
Ymmärrä tietoturvan tilanne ja haasteet
Tietoturva-asiantuntijan tekemä tietoturvan nykytilan kartoitus on hyvä työkalu NIS2-direktiiviin valmistautuessa. Se auttaa selvittämään, mitkä NIS2-vaatimuksista yrityksellänne on jo hoidossa ja mihin pitää vielä panostaa.
Saat helposti selville esimerkiksi organisaationne riskienhallinta-, haavoittuvuuksien hallinta- ja incident response -kyvykkyydet. Selvitys paljastaa myös, onko johto tietoinen vastuualueistaan. Kun tilannekuva on selkeä, voi lähteä tekemään suunnitelmaa.
Nykytilan kartoitus luo perustan NIS2-työlle
Secure Cloudin tietoturvan nykytilan kartoitus antaa laajan kuvan yrityksenne tietoturvan tilanteesta. Olemme luoneet kartoitukseen mallin, jonka taustalla käytämme amerikkalaisen standardointiorganisaation, eli NIST:in alunperin kehittämää Cyber Security Frameworkia (CSF).
Kartoituksen perustana toimiva kysymyspatteristomme, jota täytetään ja selvennetään yhdessä asiakkaan kanssa, auttaa keräämään tarvittavat tiedot sekä oman organisaation jäseniltä että ulkoistuskumppaneilta. Lopputulemana on holistinen näkemys tietoturvan eri osa-alueista, kuten tietoturvapolitiikoista, identiteettien hallinnasta, IT-infrastruktuurista ja pilvitietoturvasta.
Tietojen pohjalta rakennamme suunnitelman, joka kertoo, miten puutteet laitetaan kuntoon, milloin toimenpiteet tehdään ja millaista tasoa tavoitellaan. Tietoturvan korkein mahdollinen taso on suurin myös kustannuksiltaan. Kaikkea ei tarvitse tehdä heti, vaan toimenpiteet ja aikajänne kannattaa aina suhteuttaa oman organisaation tilanteeseen. Esimerkiksi isoissa organisaatioissa aikajänne voi olla useampi vuosi.
Jos NIS2-vaatimukset mietityttävät tai tietoturvan nykytila ei ole kristallinkirkas, ota yhteyttä ja pohditaan yhdessä, mistä teidän tilanteessanne kannattaa lähteä liikkeelle.
