Mediassa ja asiakaskeskusteluissa on nyt tavan takaa noussut esille ”nissi” eli NIS2. Lue, mikä tämän 73-sivuisen kyberturvallisuusdirektiivin varsinainen pihvi on yrityksille.
Lukaisin NIS2-direktiivin sen tultua julki enkä saanut siitä sen kummempia väristyksiä – ”perussettiä”. Paneuduin myös jo vuosia sitten samaisen regulaation edelliseen versioon hoitaessani corpsec-johtajan roolia eräällä palveluntarjoajalla. Silloinkin sivuutin vaatimukset olankohautuksella.
Ehkä minun pitää muuttaa asennettani, koska asia puhututtaa nyt niin paljon – koitan selvittää miksi.
Tutkin hieman Internettiä ja huomasin, että kaikki tietoturvatoimijat ovat asiasta jo blogin kirjoittaneet. Yleensä on listattu direktiivin vaatimukset, mahdollisesti hieman avattu niitä ja tyrkytetty eri kohtiin sopivia omia ratkaisuja. Mietin, että millä kulmalla asiasta jotain voisin sanoa. Päätin kertoa, miksi muutin asennettani.
Mikä on NIS2-direktiivi?
NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tarkoitus on kyberturvallisuuden tason parantaminen jäsenvaltioissa. Se astuu voimaan Suomessa 18.10.2024.
NIS2-direktiivi on pitkä kuin nälkävuosi (73 sivua pientä pränttiä). Mutta se on tuskin syy, miksi asian ympärillä heilutellaan nyt paljon käsiä.
Suurin osa direktiivin tekstistä käsittelee EU-jäsenvaltioiden viranomaisten toimintaan liittyviä vaatimuksia. Suomenkielisen version sivulta 48 alkaa artikla 21 eli varsinainen pihvi, jossa on kuvattu tärkeisiin toimijoihin kohdistuvat vaatimukset. Lisäksi on artikla 23, jossa kuvataan raportointivelvoitteet.
Sorrun nyt itsekin noiden vaatimusten listaamiseen. Tuossa alla ne nyt ovat. Yhden sivun verran koko 73-sivuisesta proopuskasta. Lisäksi on vielä ne raportointivelvoitteet. Kannattaako moisen takia uniaan menettää?
NIS2-direktiivin vaatimukset
21 artikla Kyberturvallisuusriskien hallintatoimenpiteet
1. Jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.
Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, ensimmäisessä alakohdassa tarkoitetuilla toimenpiteillä on varmistettava, että verkko– ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset.
2. Edellä 1 kohdassa tarkoitettujen toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta, ja niihin on sisällyttävä vähintään seuraavat:
a) riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
b) poikkeamien käsittely;
c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä; i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
Lyhyitä lauseita, paljon työtä
Nyt kun olen lukenut vaatimukset läpi vähintään kymmenen kertaa, niin haluan korjata asennettani. Voi olla, että nuo vaatimukset ovat itsestään selvyyksiä tietoturvakulttuuriltaan matuureille palveluntarjoajille, mutta varmasti monella yrityksellä on vielä paljon kehitettävää ennen kuin vaatimukset on täytetty.
Yllä oleviin lyhyisiin lauseisiin sisältyy potentiaalisesti paljon kuntoon laitettavaa. Otetaanpa esimerkiksi ”c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;” Vain muutama sana. Kyse on kuitenkin massiivisesta urakasta vähänkään isommassa organisaatiossa.
On analysoitava mitkä liiketoimintaprosessit ovat tärkeitä, mitkä tietojärjestelmät niitä palvelevat, tehtävä riskiarviot, valittava riskienhallintamenetelmät ja -toimenpiteet, kuvattava politiikat ja käytännöt edellisiin liittyen ja saatava omat ja ulkoistetut sidosryhmät toimimaan käytäntöjen mukaisesti. Ja vieläpä niin, että kun audiittori astuu sisään, on näyttöä kuvatunlaisesta toiminnasta ihan oikeasti eikä vain paperilla.
Pakko tehdä!
Edellä kuvatun, potentiaalisesti suuren työmäärän lisäksi nyt on pakko laittaa edellä kuvatun listan asiat kuntoon. Yritysten ja yhteisöjen vastuuhenkilöt ovat vastuussa, että näin tapahtuu.
Viranomaisilla on auditointioikeus ja henkilöiden vastuiden lisäksi yhteisöihin voidaan kohdistaa ”hallinnollinen sakko” laiminlyönneistä. Sakko voi olla jopa joko 1,4 % tai 2 % konsernin maailmanlaajuisesta liikevaihdosta riippuen yhteisön tärkeysluokituksesta. Voi olla, että joku 2018 julkaistu toinenkin nelikirjaiminen lyhenne sisälsi samankaltaisia asioita – en vaan muista enää mikä.
Tämä pakko ja sanktiot ovat varmasti ne asiat, mitkä nostavat NIS2:sen nyt kahvipöytiin. Toivottavasti myös jokaisen johtoryhmän agendalle. Vuosi aikaa – on aika laittaa töpinäksi.
Mikä neuvoksi?
Suosittelen lämpimästi kaikille organisaatioille ISO27001-pohjaista tietoturvan hallintamallia, joka kattaa mielestäni hyvin yllä olevat vaatimukset. Hallintamallin rakentamiseksi kannattaa etsiä sopiva työkalu, jolla toimenpiteet voidaan jakaa koko organisaatiolle ja jolla voidaan helposti seurata hankkeen edistymistä, ylläpitää dokumentaatiota ja perehdyttää henkilöstöä.
Sorrun lopuksi samaa kliseeseen kuin muutkin bloggaajat. Tarjoan asiantuntemustamme avuksi, mikäli sinua askarruttaa jokin yllä luetelluista vaatimuksista.
