NIS2 – Helppo, parin päivän rutistus olen kuullut sanottavan. Asia ei ehkä kuitenkaan näin ole ja vaatii hieman kokonaisvaltaisempaa lähestymistä asiaan. Erityisesti organisaatioissa, joissa hallinnollinen tietoturva on ehkä aiemmin jäänyt hieman taka-alalle. NIS2 EU-direktiivi astuu voimaan tämän vuoden lokakuussa. Nyt viimeistään organisaatioiden on syytä ottaa asia tarkemmin tarkasteluun.
Mikä on NIS2?
Euroopan unionin verkko- ja tietoturvadirektiivi NIS2 astuu voimaan lokakuussa tänä vuonna. NIS2 on laajennettu ja päivitetty versio aiemmasta vuonna 2016 voimaan tulleesta NIS EU-direktiivistä. Direktiivin tarkoituksena on parantaa jäsenvaltioiden valmiuksia torjua kyberuhkia sekä yhtenäistää kyberturvallisuuden tasoa jäsenvaltioiden välillä. NIS2 kohdistuu yhteiskunnan kriittisille aloille, kuten esimerkkeinä terveydenhuolto, energia, liikenne, rahoitus, julkinen hallinto ja ICT-ala. Direktiivillä asetetaan vähimmäisvaatimukset organisaatioille tietoturvan tason osalta. Näiden vähimmäisvaatimusten täyttyminen on organisaatioiden tarvittaessa pystyttävä todistamaan.
Pidän itse direktiivin tulemista aidosti hyvänä ja tervetulleena asiana. Se kattaa varsin laajan paletin eri tietoturvan osa-alueita ja antaa hyvän perustan lähteä jatkokehittämään tietoturvaa. Vastuuta NIS2 -direktiivin velvoitteista kohdistuu myös organisaatioiden tietohallintojen ulkopuolelle. Viimeistään nyt tietohallinnon ja johdon välinen kuilu tietoturva-asioissa poistuu, koska viitekehyksen velvoitteita kohdistuu johtotasolle asti. Toisena nostaisin esiin yleisesti hallinnollisen tietoturva-aspektin tulemisen organisaatioihin. Varsinkin pien- ja keskisuurissa yrityksissä usein tehdään teknisellä tasolla tietoturvan parannuksia, eikä tässä mitään väärää, mutta varsinaista kokonaiskuvaa tietoturvastrategioineen ei välttämättä ole mietitty. Organisaation tulisikin miettiä vastauksia kysymyksiin kuten: Mihin tarkoitukseen pyrimme ja vastaamme teknisillä muutoksilla? Mitä vaatimuksia meihin kohdistuu eri sidosryhmiltä? Mitä tietoturvan viitekehystä noudatamme?
Kaikki selvää direktiivin osalta?
Pientä epäselvyyttä tuntuu olevan siinä, kohdistuuko NIS2 -direktiivi juuri meidän organisaatioomme vai ei. Toimialat on ilmoitettu varsin ylätasolla, ja ainakin osaan toimialueista on toivottu tarkennuksia. Tulkinnan varaa on tietyillä osa-alueilla, joihin toivottavasti saadaan vielä tarkennuksia. On syytä kuitenkin huomioida, että vaikka organisaatio ei suoraan NIS2 -direktiivin vaikutusalueeseen kuuluisi, se voi osana toimitusketjua joutua todistamaan NIS2 -direktiiviin piiriin kuuluvalle organisaatiolle tietoturvansa tasoa.
Yhtenä NIS2 -direktiivin osa-alueista on kumppanihallinta, johon lukeutuu kumppanien tietoturvatason varmentaminen. Yleisesti taustoittaen NIS2 kohdistuu yhteiskunnallisesti kriittisten toimialojen organisaatioihin, joiden henkilöstömäärä on yli 50 tai vuosiliikevaihto ja tase ylittää 10 miljoona euroa. Toimialat joihin direktiivi kohdistuu, on jaettu keskeisiin aloihin (erittäin kriittiset) ja tärkeisiin aloihin (kriittiset). Vaatimusten osalta näillä kahdella ei ole eroa, mutta direktiivin noudattamisen jättämisessä sakkorangaistukset ovat astetta kovemmat keskeisten alojen toimijoille.
Keskeiset alat
-
- Energia
- Liikenne
- Finanssi
- Terveydenhuolto
- Vesi
- IT
- Julkinen hallinto
- Avaruus
Tärkeät alat
- Posti
- Jätehuolto
- Kemikaalit
- Ruoka
- Valmistava teollisuus
- Digipalvelut
- Tutkimus
NIS2 - tietoturvan osa-alueet
NIS2 kostuu kolmestatoista eri tietoturvan osa-alueesta, joiden osalta on asetettu vähimmäis- vaatimukset. Pääteemoina voidaan pitää hallinnollinen, tekninen ja ihmiskeskeinen. Hallinnolliseen osioon kuuluu muun muassa tietoturvatavoitteiden määrittely ja dokumentointi, johdon katselmusten toteuttaminen ja sitoutuminen tietoturvan hallintaan. Lisäksi hallinnallisella puolella korostuu tietoturvapoikkeamien raportointivelvollisuudet viranomaisille tiettyjen aikarajojen puitteissa. Teknisiin vaatimuksiin lukeutuu muun muassa järjestelmien lokitukseen ja tietoturvapoikkeamien havainnointiin vaadittavat toimenpiteet sekä jatkuvuuden hallintaan liittyen järjestelmien varmistusratkaisujen toteutukset. Ihmiskeskeiseen teemaan voidaan esimerkkinä nostaa säännölliset tietoturvakoulutukset organisaation työntekijöille. Aihealueita on toki paljon muitakin, kuin ainoastaan nämä edellä mainitut. Yhteenvetona voidaankin todeta, että varsin kattavasta kokonaisuudesta on kyse.
Miten NIS2:n osalta voi lähteä liikkeelle?
NIS2:n osalta liikkeelle kannattaa lähteä tekemällä GAP-analyysi, joka antaa käsityksen siitä, mikä on tietoturvan nykytila, mihin asioihin tulisi kiinnittää huomioita ja mitkä asiat organisaatiossa on jo mahdollisesti tehty hyvin. Suosittelen lämpimästi tietoturvan hallintajärjestelmän käyttöä avuksi, sellaista, joka tukee NIS2 -direktiivin viitekehystä. Yhtenä erinomaisena tuotteena voidaan mainita suomalaisen Cyberdayn Digiturvamalli, jota myös itse käytämme. Vaatimustenmukaisuutta voi lähteä työstämään myös kyberturvallisuuskeskuksen tarjoamalla ilmaisella Kybermittarilla (Kybermittari | Kyberturvallisuuskeskus).
Miksi me Above IT:llä lähdimme tekemään NIS2 -valmiutta?
Above IT ei ehkä varsinaisesti suoraan kuulu NIS2 -direktiiviin piiriin. Mutta osaltaan tulkitsemme, että kaikkien IT-alan yritysten tulisi kuitenkin käytännön tasolla vastata NIS2 vaatimuksiin. Esimerkiksi kohderyhmässämme olevat isommat ja yhteiskunnalle kriittisten toimialojen asiakkaat kuitenkin erittäin todennäköisesti voivat asettaa toimitusketjussaan meille vaatimuksia. Meille oli myös itsestään selvää, että haluamme varmistaa ja tarvittaessa todistaa, että toimintatapamme ja tarjoamamme palvelut ovat linjassa näiden vaatimuksien osalta. Lisäksi NIS2 loi meille hyvän perustan lähteä työstämään lähitulevaisuudessa ISO27001 -tietoturvan viitekehyksen vaatimuksia.
Loppusanat
Maailma ei tietoturvan osalta missään nimessä ole valmis, vaikka NIS2 -vaatimukset organisaatioissa täytettäisiin, mutta se antaa erittäin hyvät pohjavalmiudet kyberuhkien hallintaan. Mielestäni jokaisen organisaation tulisi täyttää nämä vähittäisvaatimukset, kohdistui itse vaatimus organisaatioon sitten virallisesti tai ei. Kokemuksesta voin sanoa, että harjoituksena jo pelkkä NIS2 viitekehyksen mukaisen GAP-analyysin teko auttaa tuomaan kokonaisvaltaista näkyvyyttä tietoturvan nykytilaan.
Pidimme torstaina 22.8 kello 09:00 webinaarin, jossa aiheitta käsiteltiin laajemmin, sekä miten direktiiviä tulisi huomioida Microsoft 365 -palvelun osalta.
Tsekkaa webinaarin tallenne täältä: Webinaari: Microsoft 365 ja NIS2 vaatimukset – ABOVE IT
Above IT on tietohallintojen kumppani ja voimavara. Hallinnollisen tietoturvan saralla rakennamme sillan organisaation johdon ja tietohallinnon väliselle kuilulle. Asiakkaanamme saat aidon asiantuntemuksen tietoturvan ja tietosuojan kehitykseen liittyen, sekä tukea ja turvaa maailman myllerryksiin! Jos haluat astua kanssamme IT:n yläpuolelle, ota meihin yhteys alla olevasta linkistä klikkaamalla!