NIS2
Euroopan unionin verkko- ja tietoturvadirektiivi (NIS2) astuu voimaan 18.10.2024. Direktiivin soveltamisalaan kuuluvien organisaatioiden tulee täyttää sen asettamat vaatimukset, jotka keskittyvät kyberturvallisuuden ja riskienhallinnan parantamiseen.
Direktiivin asettamat merkittävimmät vaatimukset
Riskienhallintavelvoitteiden noudattaminen
Kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on huomioitava ja ylläpidettävä ajantasaisena vähintään NIS2-direktiivin 21 artiklan sisältämän luettelon kymmenen keskeistä kohtaa:
- riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
- poikkeamien käsittely;
- toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
- toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
- verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
- toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
- toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
- henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
- tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
Ilmoitusvelvollisuus merkittävistä poikkeamista
- Ensi ilmoitus 24 tunnin kuluessa poikkeaman havaitsemisesta
- Jatkoilmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta
- Loppuraportti valvovalle viranomaiselle poikkeaman päätyttyä
Ratkaisumme
ISO 27001 Hallintajärjestelmä NIS2 -vaatimusten täyttämiseksi
Kansainvälisesti tunnettu ISO 27001 -standardi asettaa vaatimukset tietoturvallisuuden hallintajärjestelmälle (ISMS). ISO 27001 -standardi rakentuu riskienhallinnan ympärille, joten se on oiva tapa osoittaa NIS2-vaatimustenmukaisuutta. Vaikka ISO 27001 -standardia ei direktiivin osalta suoraan vaadita, on selvää, että asiakkaat ja yrityksen muut sidosryhmät tulevat mitä todennäköisemmin vaatimaan tämän standardin vaatimustenmukaisuutta.
- ISO 27001 GAP-analyysit (Kuiluanalyysi suhteessa standardin vaatimuksiin)
- ISO 27001 Tuki hallintajärjestelmän implementointiin
- ISO 27001 Sisäiset auditoinnit riippumattomuuden varmistamiseksi
Kybermittari oman toiminnan arviointiin ja kehittämiseen
Kyberturvallisuuskeskuksen kehittämä Kybermittari auttaa parantamaan yritysten, organisaatioiden ja samalla koko yhteiskunnan kykyä torjua kyberuhkia. Kybermittari tuo yritysten ja organisaatioiden johdolle ja tietoturva-ammattilaisille konkreettisen työkalun kyberuhkien aiempaa parempaan hallintaan.
Ville Pulkkinen, Tietoturva-asiantuntija
OSCP, ISMS Lead Auditor
etunimi.sukunimi@braveson.fi