Paransimme Kaikki tehtävät -sivun käytettävyyttä. Voit nyt muokata näkyviä sarakkeita tarpeidesi mukaan, ja valinta jää muistiin käyttäjälläsi ja kyseisellä Digiturvamalli-tilillä.

Lisäsimme samalla tarjolle nämä uudet sarakkeet:

• Tehtävien tarkistukseen liittyvät sarakkeet: Tarkistuspäivä, tarkistusjakso sekä tarkistuksen yleistila
• Tehtävän todisteisiin liittyvät sarakkeet: Tehtävän todistearvo (ei mitään, heikko, keskiverto tai vahva) ja tarkemmat todistetiedot
• Konsernitason kuvaustiedot: Onko tällä tehtävällä jaettu konsernitason kuvaus (joko jaettu muille tältä tililtä tai jaettu tälle tilille konsernin päätililtä)
  

Tulemme lähipäivinä julkaisemaan useamman uuden vaatimuskehikon Digiturvamalliin. Tässä koko listaus ja lyhyet kuvaustekstit vaatimuskehikoista:

• CIS 18 controls: The CIS18 critical security controls is a comprehensive set of instructions and measures released by The Center for Internet Security. Controls are designed to fix and prevent common vulnerabilities and to offer organizations a structured way to strengthen their security.
• DORA simplified RMF: The DORA RTS on simplified ICT risk management describes the key elements that financial entities subject to  lower scale, risk, size and complexity need to have in place to manage risks.
• Kibernetinio Saugumo Įstatymas (Lithuania): The Cybersecurity Act "Kibernetinio Saugumo Įstatymas" implements the European Union NIS2 law in Lithuania. It sets out requirements for various organisations to strengthen their cybersecurity risk management.
• La loi NIS2 (Belgique): The European Union NIS2 has been transposed in Belgium into national law as the NIS2 law. The law closely aligns with the EU NIS2 directive and features only minor national differences. It obligates and defines cybersecurity rules for companies registered in Belgium working in the critical sector.
• Nacionālās kiberdrošības likums (Latvia): NIS2 has been adopted as "National Cyber Security Act" in Latvia. It improves the security of information and communication technologies, including setting requirements for the provision and receipt of essential and important services and operation of information and communication technologies.
• NIST CSF 2.0: NIST CSF's new 2.0 edition is designed to help all organizations in any sector to achieve their cybersecurity goals with added emphasis on governance as well as supply chains.
• Zakon o kibernetičkoj sigurnosti (Croatia): Croatian implementation of the NIS2 The Cybersecurity Act (Zakon o kibernetičkoj sigurnosti NN 14/2024) has come into account in February 2024. It defines cybersecurity rules for Croatian companies with the same criteria as NIS2 with some exceptions.

Jatkamme Digiturvamalli-yhteisön Kehitysideat-foorumin parannuksia. Nyt jokaisella käyttäjällä on enemmän ääniä käytettävissä (20 ehdotusvaiheessa oleville ideoille).

Myös äänten poistaminen ideoista on nyt mahdollista - myös tilanteessa, jossa olet jo käyttänyt kaikki käytettävissä olevat äänesi.

Digiturvamallin Trust center -ominaisuuden avulla voitte jakaa valittuja tietoturvaan liittyviä raportteja ja muita avaintietoja asiakkaille tai muille sidosryhmille ammattimaisesti ja järjestelmällisesti.

Voit ottaa Trust centerin käyttöön Raportointi-sivulta ja määrittää haluamasi asetukset - esim. mitkä raportit sisällytetään ja mikä osa tiedoista on saatavilla julkisesti ja mikä ainoastaan pyynnöstä.

Teemme parhaillaan ominaisuudelle alustavaa testausta ja tavoitteemme on tuoda ominaisuus asiakkaiden saataville tulevina viikkoina.

Mihin meidän kannattaisi keskittyä seuraavaksi? Haluamme auttaa asiakkaitamme vastaamaan tähän kysymykseen jatkossa selkeiden ehdotusten avulla.

Pian Työpöytä tarjoaa teille selkeän listan priorisoituja vinkkejä siitä, kuinka voitte parantaa compliance-arvoa tai todisteiden määrää valitsemaanne vaatimuskehikkoa kohden. Työpöydältä pääsette yksityiskohtaisemmalle sivulle, joka listaa 10 toimenpidettä molempiin teemoihin.

Viimeistelemme parhaillaan ehdotusten priorisointitekniikkaa ja aiomme tuoda tämän ominaisuuden saataville lähiviikkojen aikana.

Kun olette ottaneet riskien automaattisen arvioinnin käyttöön, autamme teitä riskien arvioinnissa täyttämällä perusarvot ja muokkaamalla niitä nykyisten riskienhallintatehtävienne mukaan.

Riskin hallintakerroin (RCF - Risk Control Factor) kertoo, kuinka hyvin nykyiset hallintajärjestelmän tehtävänne jo kontrolloivat tätä riskiä.

Tiivistelmä RCF:n laskemisesta löytyy aina riskikortista ja tarkemmat lisätiedot liittyvästä ohjeartikkelista.

Liittyvä ohjeartikkeli: Riskitason arviointi Digiturvamallissa

Pääkäyttäjänne voivat nyt myöntää tukitiimillemme aikarajoitetun käyttöoikeuden hallintajärjestelmäänne. Tästä on hyötyä mm. koulutustarkoituksiin ja hankalampien asiakastukitapausten ratkaisemiseen.

Kun pääsyaika päättyy tai erikseen perut pääsyoikeuden, kaikki tukikäyttäjät poistetaan automaattisesti.

Liittyvä ohjeartikkeli: Tukitiimin pääsyn salliminen

Paransimme "Omat tilini" -näkymää, joka on oleellinen etenkin isommille konserneille (jotka hyödyntävät useita Digiturvamalli-tilejä) sekä Digiturvamalli-kumppaneille, jotka auttavat käyttäjiä useilla eri tileillä.

Omat tilini -sivu näyttää nykyään parempaa tietoa eri vaatimuskehikkojen compliance-arviosta sekä näiden edistymisestä.

Lisäksi mukana on uusi "Vertaile tilejä" -näkymä, jonka avulla on helppoa vertailla eri tilien:

• Edistymistä samojen vaatimuskehikkojen parissa
• Aktiivisuutta tietoturvan hallintajärjestelmän käytössä (aktiviteettien määrä, käyttäjien määrä)
• Eri avaintapahtumamääriä (riskit, häiriöt, poikkeamat)
  

Julkaisimme useita pienempiä parannuksia hiljattain julkaistuihin toimittajien tietoturva-arviointeihin, mm.:

• Toimittajan arvionnin tarkkojen tulosten tarkastelu
• Arviointipyynnön lähettäminen uudelleen toimittajille, joka ei vielä ole vastannut
• Arvioiden poistaminen

Lisäksi myös olemassaolevalla tilillä voi nyt täyttää arvioinnin (esim. uudelle vaatimuskehikolle) uusilla työkaluilla.

Olemme saaneet useita arviointien parantamiseen entisestään (mm. arvioinnit eri kehikoille eri toimittajille, sekä omien kysymyslisäysten tekeminen) ja tulemme myös lähiaikoina jatkamaan näiden parissa. 👍

Mikäli jakelette Digiturvamalli-sovelluksen Teamsissa "app setup policyn" avulla, uudet käyttäjät luodaan automaattisesti Digiturvamalliin.

Nyt sama integraatio hoitaa myös poistuvien käyttäjien passivoinnin, kun heidät poistetaan Microsoft-ympäristöstänne. Käyttäjän automaattisen passivoinnin jälkeen pääkäyttäjät näkevät ilmoituksen käyttöliittymässä, jonka jälkeen voitte esimerkiksi siirtää käyttäjän sisällöt sopiville käyttäjille, ennen käyttäjän lopullista poistamista.

Kielivalikoimamme laajeni. Latvia ja Liettua ovat olleet aktiivisia myös oman NIS2-lainsäändännön kanssa, joka on kummassakin maassa jo viimeistelty. Myös nämä NIS2-lakien versiot ovat pian saatavissa Digiturvamallissa vaatimuskehikkoina.

Olemme jatkaneet useiden pienempien parannusten toteuttamista hiljattain julkaistuihin toimittajien tietoturva-arviointeihin:

• Toimittajan arvionnin tarkkojen tulosten tarkastelu
• Arviointipyynnön lähettäminen uudelleen toimittajille, joka ei vielä ole vastannut
• Arvioiden poistaminen

Selainkäyttöliittymämme verkkotunnukseksi päivitettiin hiljattain app.cyberday.ai. Tämä liittyi yrityksemme nimen päivitykseen, josta kerromme lisää tässä blogikirjoituksessa.

Muutos on enimmäkseen näkymätön (esim. kaikki vanhat linkit uudelleenohjautuvat oikein ja kaikki toimii samoin). Mutta jos olette esim. sallineet aiemman verkkotunnuksemme tietyissä suojausjärjestelmissä, teidän on lisättävä uusi verkkotunnuksemme mukaan myös.

Cyberday.ai on Digiturvamallin kansainvälinen brändi.

Ison konsernin eri organisaatiot voivat hyödyntää erillisiä Digiturvamalli-telejä. Konsernitasolla voi kuitenkin olla tarve välillä lisävaatimusten asettamiseen tietyille tehtävillä ja joskus konsernitason toteutuksen tarjoamiseen joillekin tehtäville.

Nyt tämä voidaan toteuttaa paremmin Digiturvamallissa. Yksi tileistä voidaan määritellä "konsernitason päätiliksi", jonka pääkäyttäjät voivat päättää jaella halutut tehtäväkuvaukset alatileille.

Alatilit saavat jaetut kuvaukset välittömästi, mutta muutoin niiden on hallinnoitava omaan tehtäväversiotaan normaalisti ja mm. kirjoitettava omat "tilikohtaiset tarkennukset" prosessikuvaukseen.

Huom.! Tämä ominaisuus tulee ensimmäisen kerran ottaa käyttöön tiimimme avustuksella, esim. pyytämällä chatista tai tiimi@digiturvamalli.fi.

Belgian kyberturvakeskuksen ylläpitämä CyberFundamentals on tuotu mukaan Digiturvamalliin.

Belgian NIS2-laki viittaa myös melko suorasti CyberFundamentalsiin NIS2-vaatimukset täyttävien toimenpiteiden määrittelemiseksi.

CyberFundamentals tarjoaa hyvin kattavan näkökulman tietoturvallisuuteen lainaten paljon elementtejä mm. NIST CSF sekä ISO 27001 -kehikoista.