NIS2 kyberturvallisuusdirektiivin tavoitteena on parantaa verkko- ja tietojärjestelmien turvallisuutta, ja se myös määrittää toimijoiden vastuut ja velvollisuudet aikaisempaa tarkemmin. Direktiivi esimerkiksi velvoittaa toimijoita parantamaan kykyä suojautua kyberriskeiltä ja määrittelee johdon vastuun riskeiltä suojautumisessa. Myös raportointivelvollisuutta merkittävissä tietoturvapoikkeamissa on täsmennetty.
Toimialasta ja yrityksen koosta riippuen yritys saattaa olla joko suoraan direktiivin määritysten alainen, tai välillisesti alihankitaketjun osana, jolloin direktiivin ohjeita tulee noudattaa, vaikkei yritys suoraanolisikaan sen alainen.
Koska NIS2-direktiivissä ohjeistetaan kaikkiin yrityksiin soveltuvia, yleispäteviä tietoturvaa parantavia käytänteitä, ne on hyvä ottaa käytäntöön riippumatta siitä, kuuluuko yritys suoraan direktiivin vaikutuksen alle.
Toimialat, jotka ovat suoraan direktiivin alaisia
Direktiivissä määritellään toimialoja, jotka ovat suoraan direktiivin vaikutuksen alla, eli kriitiisiä toimialoja. Toimialat on jaoteltu erittäin kriittisiin ja kriittisiin toimialoihin, jotka vielä yrityksen koon mukaan jaotellaan keskeisiin tai tärkeisiin toimijoihin. Tiettyjen toimialojen pienimmät yritykset rajataan direktiivin suoran vaikutuksen ulkopuolelle.
NIS2 -Erittäin kriittiset toimialat
- Energia
- Liikenne
- Pankkitoiminta ja finanssimarkkinoiden infrastruktuuri
- Juoma- ja jätevesi
- Tieto- ja viestintätekniikan (TVT) palveluiden hallinta
- Avaruus
- Digitaalinen infrastruktuuri
- Terveys
- Julkishallinto
NIS2 -Muut kriittiset toimialat
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemikaalisektori
- Elintarvikeala
- Valmistava teollisuus
- Digitaalisten palveluiden tarjoajat
- Tutkimustoiminta
- Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat
Kyberturvallisuuskeskus on julkaissut taulukon, jossa toimialojen soveltuvuus esitetään tarkemmin. Taulukko löytyy täältä: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/TRAFICOM_NIS2_taulukko_230424.pdf
NIS2 Vaatimukset
NIS2 määrittää yrityksen johtohenkilöille keskeisemmän ja aktiivisemman roolinkyberturvallisuuden parantamisessa. Keskeisiä vaatimuksia ovat esim:
- Kyberuhkilta suojautuminen
- Riskienhallinta
- Raportointivelvollisuus
- Liiketoiminnan jatkuvuuden suunnittelu
Järjestelmien kyberturvallisuuden tulee olla oikeassa suhteessa riskeihin, joten kokonaisuutta tulee tarkastella kriittisesti kaikilta osa-alueilta.
Kyberuhkilta suojautuminen ja riskienhallinta
Kyberuhkilta voidaan suojautua, kun ensin tunnistetaan yrityksen mahdolliset riskipaikat. Erityisen tärkeää on siis tunnistaa yrityksen tietojärjestelmät ja laitteet, joilla järjestelmiä käytetään. Ohessa muutamia esimerkkejä kohdista, joihin on syytä kiinnittää huomiota:
- Onko laitekirjanpito ja järjestelmädokumentaatio ajantasalla?
- Onko tietojärjestelmät ja sen kaikki osat asianmukaisesti päivitettyjä, myös laiteohjelmistoversioiden suhteen?
- Onko käytössä kaksivaiheinen tunnistautuminen?
- Onko laitteissa asianmukaiset tietoturvaohjelmistot?
- Onko yhteistyökumppaneiden ja alihankkijoiden tietoturvaprosessit riittävät ja ajan tasalla?
Toimivan johdon, eli toimitusjohtajan ja hallituksen jäsenten vastuulla on perehtyä kyberturvariskeihin ja niiden hallintakeinoihin. Riskejä ja niiden hallintakeinoja tulee tarkastella ja käytäntöjä kehittää tarpeen mukaan.
Raportointivelvollisuus
NIS2 määrittää yritykselle velvollisuuden raportoida havaituista tietoturvapoikkeamista ja antaa aikataulun ilmoituksille.
- 24 tunnin kuluessa tietoturvatapahtuman havaitsemisesta, tulee tapauksesta antaa ennakkotiedote viranomaisille ja ENISAlle
- 72 tunnin kuluessa on annettava yksityiskohtaisempi raportti tapauksesta
- 30 päivän kuluessa tulee toimittaa loppuraportti, jossa on tarkempi kuvaus tapahtumasta ja sen vaikutuksesta. Lisäksi on kerrottava kuinka tilanne korjataan ja vastaavat tapaukset estetään.
Liiketoiminnan jatkuvuuden suunnittelu
Yrityksen tulee ennakkoon suunnitella toimenpiteet, joiden avulla liiketoiminta voi jatkua mahdollisen kyberhyökkäyksen aikana ja kuinka mahdollisista haitoista toivutaan. Järjestelmien toiminnan palauttamisesta tulee tehdä suunnitelma, joka otetaan tarvittaessa käytäntöön.
Mitä pk-yrityksen kannattaa tehdä?
Pk-yrityksen, joka ei kuulu suoraan NIS2-direktiivin alaisuuteen, on hyvä kuitenkin tiedostaa, minkälaisia riskejä mahdollinen kyber-tapaus oman yrityksen kohdalla tarkoittaa ja voiko asiakasyrityksen tai yhteistyökumppanin kuuluminen suoraan direktiivin alaisuuteen edellyttää, että omakin yritys toimii kuten direktiivissä edellytetään.
Helposti käytäntöön otettavat käytänteet, joilla kyberriskejä vähennetään huomattavasti
- Tunnista uhkatekijät ja tavat, joilla niitä vastaan suojaudutaan
- Edellytä, että käyttäjät tunnistautuvat vahvalla tunnistusmenetelmällä, esim. 2FA / FIDO2
- Ota työasemissa ja kannettavissa käyttöön datan kryptaus eli salakirjoitus
- Ota käyttöön tietoturvaohjelmistot ja menetelmät, joilla poikkeamat havaitaan
- Huolehdi laitteiden, ohjelmistojen ja järjestelmien päivityksistä
- Pidä kirjaa laiteomaisuudesta ja estä yritysjärjestelmien käyttö muilla laitteilla
- Pidä järjestelmädokumentaatio ajan tasalla ja määritä vastuuhenkilöt kaikille järjestelmän osille
Ammattimainen Ylläpito ja tukipalvelu auttaa
Koska yrityksen tietotekniikkaympäristön ylläpito on vaativaa ja edellyttää koulutusta ja kokemusta, suosittelemme ylläpidollisten tehtävien ulkoistamista alan ammattilaisille.
Olemme mielellämme auttamassa ja tukemassa yritystänne kaikissa tietoteknisissä asioissa, myös NIS2 tai muissa kehityshankkeissa. Ota yhteyttä niin kartoitetaan miten voimme olla avuksi!