Tämä on NIS2 blogisarjamme toinen osa. Kannattaa lukea ensimmäinen osa NIS2 – taustaa ja syitä direktiivin päivittämiselle ennen tätä osaa.
Vaikka uusi versio on muodostettu vanhan pohjalta, se tuo mukanaan paljon uutta. NIS2 parantaa tietoturvaan liittyviä vaatimuksia, ja samalla jäsenmaiden mahdollisuus muokata vaatimuksia poistettiin yhtenäisen tietoturvatason saavuttamiseksi. Alkuperäisessä versiossa liiallinen joustavuus altisti haavoittuvuuksille – uudessa versiossa joustavuutta on tästä syystä vähennetty.
NIS2 listaa 13 tietoturvan pääasiaa, jotka organisaatioiden on huomioitava osana omia tietoturvasuunnitelmiaan. Tästä listattuna löydät oleellisimpia poimintoja. Täysimittaisen NIS2-raportin löydät Digiturvamallista, joka sisältää myös priorisoidut suositukset eri vaatimuksiin vastaavista toimenpiteistä.
Organisaatiolla tulisi olla selkeästi määritellyt toimintatavat tietoturvariskien hallintaan, joiden avulla arvioidaan organisaation toteuttamien tietoturvatoimien riittävyyttä ja tunnistetaan tärkeimpiä kehityskohteita.
Kun keskeiset tai tärkeät toimijat havaitsevat huomattavan poikkeaman, tulisi siitä tehdä ennakkovaroitus ilman aiheetonta viivytystä 24 tunnin kuluessa. Tämän jälkeen tulisi tehdä poikkeamailmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Poikkeamailmoituksen tulisi sisältää päivitetyt tiedot ennakkovaroituksesta, sisältäen vakavuus, vaikutus ja vaarantuminen jos mahdollista.
Keskeisten ja tärkeiden toimijoiden tulee huolehtia henkilöstön tietoturvaosaamisesta ohjeistamisen ja koulutuksen keinoin. Tässä prosessi tulisi käsitellä henkilöstön kannalta tärkeitä teemoja, kuten laitteiden turvallinen käyttö, ohjelmistopäivitykset, turvallinen etätyö sekä identiteetin- ja pääsynhallinta.
Toimitusketjun turvallisuuteen kuuluu toimijoiden välisten suhteiden tarkastelu tietoturvan näkökulmasta. Mitkä ovat omien palveluiden toimittamisen näkökulmasta kriittisiä kumppaneita? Millaisia tietoturvavaatimuksia heille on asetettu ja mitä todisteita näiden täyttymisestä on?
Organisaatiota velvoitetaan NIS2:ssa aiempaa selkeämmin panostamaan tällaiseen toimitusketjun analysointiin ja tietoturvavaatimusten vyöryttämiseen eteenpäin tärkeille kumppaneille.
Yleisiä viestintäverkkoja ja yleisesti saatavilla olevia sähköisiä viestintäpalveluja tarjoavien organisaatioiden tulisi tiedottaa asiakkailleen merkittävistä kyberuhkista ja suojatoimenpiteistä, joita he voivat käyttää laitteidensa ja viestintänsä turvallisuuden parantamiseksi. Tämä voi sisältää erilaisten ohjelmistojen tai salaustekniikoiden hyödyntämistä.
Organisaatioiden kannattaa luoda selkeä suunnitelma, joka sisältää ylläolevat teemat. NIS2 mainitsee, että organisaatioiden hallintaelinten tulee hyväksyä esimerkiksi riskien hallintasuunnitelma ja valvoa organisaation tietoturvan toteutumista yleisesti. Tämä vaatii systemaattista suunnittelua ja työkaluja tietoturvan toteuttamiseksi.
Jäsenmaiden on nimitettävä tai luotava yksi tai useampi viranomainen vastuuseen kyberturvallisuudesta. On jäsenmaiden vastuulla, että näillä viranomaisilla on käytettävissään tarvittava määrä resursseja, jotta viranomaiselle osoitettujen tehtävien hoitaminen sujuu tehokkaasti.
NIS2 koskee laajempaa sektoria kuin edeltäjänsä. Sektoreiden toimijat on jaettu keskeisiin ja tärkeisiin toimijoihin. Näiden välinen ero on siinä, että katkos keskeisen toimijan toiminnassa oletettavasti vaikuttaa vakavasti yhteiskunnan talouteen.
Ensimmäisessä versiossa jäsenmaiden tehtävänä oli määritellä keskeisten palvelujen tuottajat, joka osoittautui vaikeaksi. NIS2 tekee määrittelyn eri tavalla. Alla lueteltujen alojen kaikki toimijat, jotka täyttävät keskisuuren yrityksen kriteerit, kuuluvat direktiivin piiriin. Kuitenkin, direktiivin piiriin kuuluu myös direktiviissä (EU) 2022/2557 kriittiseksi listatut toimialat koosta riippumatta, eli myös keskisuurta pienemmät yritykset.
Jäsenmaiden on varmistettava, että keskeisiä toimijoita koskevat direktiivissä säädettyjen velvoitteiden noudattamisen valvonta- tai täytäntöönpanotoimenpiteet ovat vaikuttavia, oikean suhteisia ja varoittavia. Tämän lisäksi jäsenmaiden tulee huolehtia, että kunkin yksittäisen tapauksen olosuhteet otetaan huomioon.
Jos jäsenmaiden valvonnasta viranomaiset saavat viitteitä tai tietoja, joiden mukaan tärkeä toimija ei väitetysti noudata direktiiviä, on viranomaisen puuttuttava tilanteeseen tarpeen mukaan jälkikäteen tehtävillä valvontatoimenpiteillä.
Keskeisten ja tärkeiden toimijoiden valvonnan taso eroaa toisistaan. Vaikka taso eroaa, tavoitteena on silti suojella keskeisiä sekä tärkeitä toimijoita ja ylläpitää digitaalisen infrastruktuurin yleistä turvallisuutta. Tarkat vaatimukset ja valvontatoimenpiteet on määritelty vastaamaan toimenpiteen kohteen kriittisyyttä. Tällä pyritään siihen, että toimija suorittaa tarvittavat turvallisuuteen liittyvät asiat. Jos toimija ei täytä direktiivin vaatimuksia, voidaan toimijalle määrätä hallinnollinen sakko, jonka suuruus 10 miljoonaa euroa tai 2 prosenttia sen yrityksen, johon keskeinen toimija kuuluu, edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Kiitos lukemisesta! Muistathan lukea blogisarjan kolmannen osan NIS2 – Täytä vaatimukset Digiturvamallin avulla
Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
