Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

• toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
• tiedon hyväksyttävän käytön säännöt
• tietoja käsittelevän henkilöstön salassapitovelvollisuus
• työnjako viranomaisvaatimusten täyttämisessä
• sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
• häiriöiden ilmoittaminen ja korjaaminen
• vaatimukset toimittajan alihankkijoiden käytölle
• lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
• sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
• toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

The organization should ensure that contracts with internet service providers include specific provisions for availability and security. The agreement must cover:

1. Incident response: specify the provider's responsibilities for responding to cybersecurity incidents, detailing the required response times during both normal business hours and after business hours.
2. Service availability: stipulate the required level of uninterrupted internet service provision, specifying the minimum guaranteed uptime both during and outside of normal business hours.
3. Disruption logging: include a clause mandating the internet service provider to log all service disruptions, specifying the duration and frequency of this logging requirement.
4. Network protection: require the implementation of protective measures against network and information system disruptions, such as Denial of Service (DoS) attacks.

Kehitetään ja ylläpidetään menettelyjä, joilla myönnetään sopimuksiin perustuva pääsy arkaluonteisiin turvallisuustietoihin ulkopuolisille osapuolille. Varmistetaan, että kaikissa sopimuksissa määritellään selkeästi käyttöoikeusehdot, suojausvaatimukset ja vastuut ottaen huomioon organisaation ISO 28001 -sertifiointistatus ja mahdolliset erityissopimukset.

The organisation must ensure that agreements with all suppliers (including subcontractors) are established and maintained. These agreements must specify operational, technical, legal, and personnel security requirements, including:

• Compliance: A requirement for the supplier to comply with set regulations.
• Incident management: The supplier’s obligation to notify the organisation of all major or relevant incidents affecting the organisation's networks immediately upon awareness, and to submit a formal cyber incident investigation report.
• Audit rights: The right for the organisation to conduct audits of the supplier’s compliance.
• Personnel security: Specific requirements for the skills, training, certifications, and qualifications of the supplier’s staff.
• Vulnerability management: The obligation to identify and manage vulnerabilities that pose a risk to the organisation’s networks and information systems.
• Access control: Clearly defined levels and conditions for the supplier's logical and physical access to the organisation's systems.
• Operational security: Requirements regarding the supplier’s premises, equipment, maintenance procedures, and secure data transmission methods.
• Performance & confidentiality: Defined Service Level Agreements (SLAs), confidentiality/non-disclosure obligations, and a clear definition of the rights and obligations of both parties.

Organisaation olisi tehtävä sopimus viralliseen rekisteriin merkityn kyberturvallisuustarkastajan kanssa 120 päivän kuluessa rekisteröinnistä. Sopimuksen olisi katettava vaaditun kyberturvallisuustarkastuksen suorittaminen.

Lisäksi ensimmäinen kyberturvallisuustarkastus olisi suoritettava kahden vuoden kuluessa rekisteröinnistä lakisääteisten vaatimusten mukaisesti.

Kun organisaatio toimii keskusjärjestelmän tarjoajana, sen olisi määriteltävä tietoturvavaatimukset, jotka käyttäjäorganisaatioiden on täytettävä käyttöehtona. Nämä vaatimukset olisi sisällytettävä sopimuksiin tai julkaistava organisaation verkkosivustolla.

Vaatimuksilla olisi pyrittävä suojaamaan keskusjärjestelmä, ja ne voivat kattaa esimerkiksi pääsynvalvonnan, vaaratilanteiden raportoinnin ja käyttäjäorganisaatioiden järjestelmän konfiguroinnin.

Jotta organisaatio voisi varmistaa, että sen keskusjärjestelmää käyttävät organisaatiot noudattavat määriteltyjä turvallisuusvaatimuksia, sen olisi otettava käyttöön tarkistusprosessi. Tässä prosessissa olisi määriteltävä, miten käyttäjäorganisaatioiden tarkastukset suoritetaan ja miten puutteet käsitellään. Jos käyttäjäorganisaatio ei korjaa havaitsemiaan puutteita tietyn määräajan kuluessa, organisaation on ilmoitettava laiminlyönnistä kansalliselle kyberturvallisuusviranomaiselle.

The organisation should establish and document a process for when it intends to enter into a security protection agreement, as well as when such an agreement ceases to be valid. The process must ensure that the entity deciding on security class placement and the supervisory authority are notified without delay, as required by the appropriate regulations, and that the notification is promptly forwarded to the Swedish Security Service.

Organisaation on perustettava pysyvä, ympäri vuorokauden käytettävissä oleva yhteyspiste, joka voi olla yksittäinen henkilö tai ryhmä ja joka vastaa kaikesta virallisesta viestinnästä toimivaltaisen kyberturvallisuusviranomaisen (CNCS) kanssa. Organisaation on ilmoitettava kaikista muutoksista välittömästi CNCS:lle.

Tämän yhteyshenkilön tiedot on virallisesti rekisteröitävä CNCS:ssä laissa säädetyissä määräajoissa, mikä tarkoittaa, että henkilön tai ryhmän nimi (nimet) sekä ensisijainen ja vaihtoehtoinen yhteystapa on määriteltävä ja ilmoitettava CNCS:lle 20 työpäivän kuluessa siitä, kun se on tullut tämän lain soveltamisalan piiriin. Ilmoituksen on noudatettava CNCS:n asiaa koskevassa asetuksessa määriteltyä muotoa.

Ennen alihankkijoiden palkkaamista organisaation on otettava käyttöön määritelty menettely sen varmistamiseksi, että kaikissa uusissa sopimuksissa säilytetään sama henkilötietojen suojan taso kuin ensisijaisessa käsittelysopimuksessa.

• Tarkistettava, että mahdollinen alihankkija antaa riittävät takeet tietosuojalainsäädännön ja organisaation turvallisuusvaatimusten noudattamisesta.
• Varmistetaan, että sopimusehdoissa säilytetään selkeästi käsiteltävien henkilötietojen vaadittu suojan taso.
• Hanki rekisterinpitäjältä kirjallinen ennakkohyväksyntä ennen alihankintana tapahtuvaa käsittelyä koskevan sopimuksen tekemistä ja anna rekisterinpitäjälle mahdollisuus tarkastella sitä uudelleen ja vastustaa sitä sovitussa määräajassa.

Kaikki alihankkijasuhteet on dokumentoitava ja tarkistettava säännöllisesti, jotta varmistetaan jatkuva vaatimustenmukaisuus ja vastuuvelvollisuus.

Kun organisaatio toimii henkilötietojen käsittelijänä, sen olisi luotava prosessi, jonka avulla tunnistetaan ja raportoidaan rekisterinpitäjän ohjeiden tai sovellettavien lakien rikkomisesta. Prosessilla olisi varmistettava, että rekisterinpitäjälle ilmoitetaan kirjallisesti ja ilman aiheetonta viivytystä rikkomuksen havaitsemisen jälkeen.

Organisaation olisi ylläpidettävä dokumentoitua menettelyä, jolla haetaan Tanskan energiaviraston hyväksyntää silloin, kun koordinoidun hätävalmiuden luominen muiden organisaatioiden kanssa katsotaan hyödylliseksi.

Jokaisen hakemuksen on sisällettävä vähintään seuraavat tiedot:

• Perustelut: Selvitys koordinoinnin tarpeesta ja osallistuvien yritysten ja alan molemminpuolisesta hyödystä.
• Konteksti: Kuvaus maantieteellisistä tekijöistä (kuten läheisyys tai yhteinen omaisuus) ja organisatorisista olosuhteista, mukaan lukien yritysten väliset olennaiset erot.
• Vaikutusanalyysi: Arvio koordinoidun valmiusmallin eduista, haitoista sekä käytännön ja teknisistä seurauksista.
• Toimintasuunnitelma: Yksityiskohtaiset tiedot rooleista, vastuualueista, toimivaltuuksista, viestintämenetelmistä ja tiedonjakoprotokollista yhteistä hätätilavalmiutta varten.

Täytetty hakemus toimitetaan kirjallisena Tanskan energiavirastolle tarkastettavaksi ja hyväksyttäväksi ennen koordinoidun hätävalmiuden aloittamista.

Toimittajasopimuksiin on sisällytettävä suorille toimittajille ja palveluntarjoajille suunnattuja vaatimuksia organisaation valmiuden, fyysisen turvallisuuden ja kyberturvallisuuden varmistamiseksi. Tavoitteena on varmistaa, että toimittajat ryhtyvät asianmukaisiin toimenpiteisiin riskien hallitsemiseksi ja toimitusvarmuuteen sekä yrityksen verkko- ja tietojärjestelmiin vaikuttavien vaaratilanteiden käsittelemiseksi.

Organisaation tulisi sisällyttää toimittajasopimukseen tarpeen mukaan:

• menettelyt, jotka koskevat turvallista etäkäyttöä toimituskriittisiin verkkoihin ja järjestelmiin.
• vaatimukset merkittävien tietoturvaloukkausten hallinnasta ja raportoinnista
• tarvittaessa osallistuminen yrityksen valmiusharjoituksiin.
• merkittävien palvelujen alihankkijoiden hyväksyntä ja valvonta.
• välttämättömien ja luottamuksellisten tietojen omistusoikeuden säilyttäminen yrityksellä.
• toimittajan velvollisuus osoittaa näiden vaatimusten noudattaminen.

Organisaation olisi tehtävä virallinen sopimus kyberturvallisuuspalvelujen tarjoajan kanssa. Sopimuksessa on edellytettävä, että palveluntarjoaja ilmoittaa organisaatiolle viipymättä asiaankuuluvista uhkista ja haavoittuvuuksista ja antaa neuvoja lieventämistoimenpiteistä. Tämä voidaan toteuttaa esimerkiksi tietoturvaoperaatiokeskuksen (Security Operations Center, SOC), hallinnoidun tietoturvapalvelun tarjoajan (Managed Security Service Provider, MSSP) tai kyberuhkatiedustelupalvelun avulla, joka antaa oikea-aikaisia hälytyksiä ja toimintaohjeita.

Keskeisiin sopimusehtoihin olisi sisällyttävä:

• Uhka- ja haavoittuvuusilmoitusten erityiset aikataulut.
• Organisaation vastuu toimittaa palvelulle tarvittavat järjestelmätiedot.
• Prosessi, jolla varmistetaan, että hälytykset vastaanottaa ja käsittelee pätevä henkilöstö.

Jos useampi yritys tekee yhteisen sopimuksen, kaikki tilaajayritykset on mainittava sopimuksessa. Kaikkien osallistuvien yritysten on myös säilytettävä jäljennös sopimuksesta.

Organisaation on otettava käyttöön ja pantava täytäntöön toimintatapoja, joilla estetään osallistuminen kyberturvallisuutta vaarantavaan toimintaan, mukaan lukien:

• Kielletään laittomaan tai rikolliseen toimintaan, kuten petoksiin, rikollisiin menetelmiin tai kiellettyjen tai valvottujen tavaroiden tuotantoon ja myyntiin liittyvien verkkosivustojen ja viestintäryhmien perustaminen tai tietojen luovuttaminen.
• Luvattomaan pääsyyn, verkkohäiriöihin tai tietovarkauksiin tarkoitettujen työkalujen kehittämisen, jakelun tai käytön kieltäminen.
• Sen varmistaminen, että organisaatio ei tarjoa teknistä, taloudellista, mainos- tai muuta tukea henkilöille tai yhteisöille, jotka harjoittavat haitallista kybertoimintaa.
• Pidetään yllä nollatoleranssia tietoverkkorikollisuutta kohtaan ja tiedotetaan siitä koko henkilöstölle ja sidosryhmille.
• Tarjotaan säännöllistä koulutusta, jotta henkilöstö ymmärtää vastuunsa, tunnistaa väärinkäytökset ja osaa ilmoittaa huolenaiheista.

Organisaation olisi määriteltävä ja dokumentoitava selkeästi tuotteidensa ja palveluidensa turvallisuuden ylläpitojaksot asiakassopimuksissa. Tällä sitoumuksella varmistetaan, että asiakkaat ovat tietoisia tuen kestosta ja että organisaatio täyttää velvollisuutensa olla lopettamatta tietoturvan ylläpitoa ennen sovittua aikaa. Sopimuksessa olisi määriteltävä ylläpidon laajuus, kuten tietoturvakorjausten ja -päivitysten toimittaminen.

Liikekumppaneiden kanssa tehtävien sopimusten ja järjestelyjen on täytettävä suojattuja terveystietoja (PHI) ja HIPAA:a koskevat vaatimukset. Niissä on määriteltävä liikekumppanin suorittamien PHI-tietojen sallitut ja vaaditut käyttötarkoitukset.
Samaa sääntöä on sovellettava liikekumppanin tekemiin alihankintasopimuksiin. Sopimuksessa on valvottava, miten alihankkija käyttää PHI:tä.

Kun organisaatio on osa organisoitua terveydenhuollon järjestelyä (OHCA) ja päättää käyttää yhteistä tietosuojailmoitusta, sen on varmistettava, että kaikkien muiden osallistuvien suojattujen yhteisöjen kanssa on tehty virallinen sopimus. Kaikkien osapuolten on nimenomaisesti hyväksyttävä yhteisessä ilmoituksessa esitetyt tietojen jakamista koskevat ehdot. Sopimuksessa on vahvistettava, että kaikki osapuolet noudattavat yhteisen ilmoituksen ehtoja kaikista organisoituun terveydenhuollon järjestelyyn liittyvän toiminnan aikana luoduista tai vastaanotetuista suojatuista terveystiedoista.

Organisaation on varmistettava, että yhteisessä ilmoituksessa yksilöidään selkeästi ja nimenomaisesti kaikki ilmoitukseen kuuluvat suojatut yhteisöt tai yhteisöluokat sekä kuvattava, miten tietoja jaetaan kyseisten yhteisöjen kesken.

Organisaation ja sen liikekumppaneiden välisessä tietojenkäsittelysopimuksessa on nimenomaisesti valtuutettava liikekumppani luomaan, vastaanottamaan, ylläpitämään tai siirtämään suojattuja terveystietoja (PHI) organisaation puolesta, ja sopimukseen on sisällyttävä dokumentoidut tekniset, hallinnolliset ja fyysiset suojatoimet näiden tietojen suojaamiseksi.

Vastaavasti liikekumppaneiden ja heidän alihankkijoidensa välisissä sopimuksissa on oltava sama valtuutus suojattujen terveystietojen käsittelyyn sekä yksityiskohtainen dokumentaatio kaikista vaadituista suojatoimista.

Organisaation on laadittava ja dokumentoitava virallinen menettely jatkuvaa yhteistyötä ja tiedonvaihtoa varten ulkopuolisten turvallisuuselinten, kuten alakohtaisen viranomaisen, kriisinhallintakeskuksen (DGCC), uhka-analyysin koordinointiyksikön (OCAM) ja poliisiviranomaisten kanssa.

Menettelyssä olisi määriteltävä erityyppiset turvallisuustiedot, jotka on jaettava, nimetyt viestintäkanavat, yhteyspisteet ja tietojenvaihdon vastuualueet.

Jatkuvan turvallisuusyhteistyön ja -tiedonvaihdon virallistamisen ja toteuttamisen tärkeimpiä vaiheita ovat seuraavat:

• Luettelo kaikista asiaankuuluvista ulkoisista turvallisuuselimistä (esim. alakohtainen viranomainen, DGCC, OCAM, poliisiviranomaiset) ja niiden erityistehtävistä elintärkeiden infrastruktuurien turvallisuuden osalta.
• Määritellään jaettavat turvallisuustiedot (esim. uhkatiedot, vaaratilanneraportit, haavoittuvuusilmoitukset), niiden jakamistiheys ja turvaluokitustasot.

Organisaation on laadittava ja pantava täytäntöön selkeä politiikka henkilötietojen seurantaa varten, jotta voidaan varmistaa, että kaikki toimet ovat laillisia ja tarpeellisia. Politiikassa on kuvattava:

• seurannan laillinen tarkoitus
• seurantavälineiden ja -menetelmien tarpeellisuus ja oikeasuhteisuus.
• selkeiden sääntöjen laatiminen, joilla kielletään pääsy tallennettuihin seurantatietoihin tai niiden käyttö muuhun tarkoitukseen kuin alkuperäisen tarkoituksen täyttämiseen.
• teknisen ja hallinnollisen valvonnan toteuttaminen näiden sääntöjen noudattamisen valvomiseksi.
• tallennettujen tietojen enimmäissäilytysaika, joka saa olla enintään viisi vuotta.

Organisaatiolla on oltava prosessi tai dokumentaatio, jonka avulla organisaation johtaja nimetään valtuutusviranomaiseksi. Tämä rooli on nimenomaisesti vastuussa kaikkien valtuutuksen saaneiden henkilöiden turvallisuuden hallinnasta ja jatkuvasta valvonnasta.

Organisaation on varmistettava, että kaikille valvottujen tietojärjestelmien valtuutetuille käyttäjille tiedotetaan selkeästi valvonnan luonteesta ja tarkoituksesta. Tähän sisältyy nimenomainen tiedottaminen:

• miksi heidän henkilötietojaan käsitellään seurannan avulla
• valvontatoimenpiteet, jotka on toteutettu heidän käyttämissään tietojärjestelmissä.
• luovutetaanko heidän seurannan avulla kerättyjä henkilötietoja muille osapuolille, ja jos luovutetaan, niin ketkä ovat vastaanottajia.

Varmista, että erityinen turvallisuussuojeluarviointi on tehty ennen kuin aloitat kaikki sellaiset menettelyt, jotka edellyttävät turvallisuussopimuksen tekemistä. Tämä tarkoittaa sen määrittämistä, mihin turvaluokiteltuihin tietoihin tai muihin turvallisuuden kannalta arkaluonteisiin toimintoihin yhteistyöhön osallistuva osapuoli saattaa päästä käsiksi. Arvioinnissa olisi keskityttävä siihen, aiheuttaako suunniteltu yhteistyö riskin turvallisuussuojan näkökulmasta. Tavoitteena on varmistaa, ettei arkaluonteisia tietoja tai toimintoja altisteta tarpeettomille uhkille.

Dokumentoi arvioinnin tulokset selkeästi, mukaan lukien arkaluonteisiksi todetut tiedot ja toteutettavat suojatoimenpiteet. Jos arvioinnissa päädytään siihen, että yhteistyö ei sovellu turvallisuuden kannalta, menettelyä ei saa jatkaa.

Kun organisaatio aikoo siirtää turvallisuuden kannalta arkaluonteisen toiminnan tai sen osan toiselle yhteisölle (hankkija), organisaation olisi varmistettava, että hankkijalle ilmoitetaan nimenomaisesti, että siirrettävään toimintaan sovelletaan turvallisuussuojalakia.

Tässä tiedottamisessa olisi myös esitettävä kattavasti yksityiskohtaisesti ne erityiset turvallisuusvelvoitteet, joita toimijaan sovelletaan turvallisuussuojalain 2 luvun 1 §:n nojalla.

Tällä menettelyllä varmistetaan, että hankkija on täysin tietoinen turvallisuussuojaan liittyvistä oikeudellisista velvollisuuksistaan siirron alusta alkaen.

Organisaation olisi säännöllisesti tarkistettava vastapuolten kanssa tehdyt turvasuojaussopimukset varmistaakseen, että ne pysyvät riittävinä muuttuneiden olosuhteiden, kuten uusien uhkien, teknologisen kehityksen tai sääntelyn muutosten, valossa.

Jos vastapuoli ei noudata turvasuojasopimusta, organisaation on ryhdyttävä asianmukaisiin toimenpiteisiin varmistaakseen, että sen omat turvasuojavaatimukset täyttyvät edelleen. Näihin toimenpiteisiin voi kuulua korvaavien valvontatoimien toteuttaminen, asian eskalointi tai kumppanuuden uudelleenarviointi.

Organisaation olisi laadittava ja dokumentoitava virallinen prosessi valvontaviranomaisen kuulemiseksi. Prosessi käynnistetään sen jälkeen, kun soveltuvuusarvioinnissa on todettu, että suunniteltu menettely, johon toinen toimija osallistuu, ei ole sopimaton, mutta ennen itse menettelyn aloittamista

.Prosessissa on määriteltävä selkeästi kuulemisen laukaisevat tekijät, joihin kuuluvat kaikki menettelyt, joihin toinen toimija voi saada pääsyn:

• Turvallisuusluokiteltuihin tietoihin, joiden turvallisuusluokka on luottamuksellinen tai korkeampi.

• muihin turvallisuuden kannalta arkaluonteisiin toimiin, joilla on vastaava merkitys kansalliselle turvallisuudelle.

Prosessissa olisi myös määriteltävä, kuka on vastuussa kuulemisen aloittamisesta, mitä asiakirjoja viranomaiselta vaaditaan ja miten viranomaisen kuulemisen tuloksena määräämät toimenpiteet käsitellään ja toteutetaan.

• turvallisuusriskin alaisen toiminnan kokonaan tai osittain, tai

• Ruotsin turvallisuuden kannalta tärkeää tai kansainvälisiin sitoumuksiin liittyvää omaisuutta.

Toiminnanharjoittajan on:

• suoritettava erityinen turvallisuusarviointi sellaisten arkaluonteisten tietojen tai toimintojen tunnistamiseksi, joihin voidaan päästä käsiksi.
  .
• suoritettava soveltuvuusarviointi sen määrittämiseksi, onko siirto turvallisuuden kannalta tarkoituksenmukainen.

• Jos soveltuvuusarviointi osoittaa, että siirto ei ole asianmukainen, siirtoa ei saa toteuttaa.

Sen lisäksi, että organisaatiot tunnistavat riskit erityisessä turvallisuussuoja-arvioinnissa, ne myös arvioivat, onko suunniteltu yhteistyö tarkoituksenmukaista. Otetaan huomioon sekä suunnitellun toiminnan erityisluonne että siihen liittyvien tietojen arkaluonteisuus. Näin voidaan varmistaa, että ulkopuoliset osapuolet eivät saa pääsyä tietoihin tai järjestelmiin yli sen, mikä on turvallista tai tarpeellista.

Soveltuvuusarvioinnin tulos olisi myös dokumentoitava. Jos yhteistyö todetaan turvallisuusriskien vuoksi sopimattomaksi, se olisi lopetettava tai järjestettävä uudelleen näiden riskien poistamiseksi.

Organisaation on toteutettava tietoturvatoimenpiteet 12 kuukauden kuluessa siitä, kun se on rekisteröitynyt kyberturvallisuuden tietojärjestelmään, tai hallituksen asettamassa määräajassa. Tiedot kyberturvallisuusriskien hallintatoimenpiteiden toteuttamisesta on toimitettava kansalliselle kyberturvallisuuskeskukselle kyberturvallisuuden tietojärjestelmää koskevissa säännöissä vahvistetun menettelyn mukaisesti.

Organisaatio ottaa käyttöön prosessit ja keinot haavoittuvuusilmoitusten käsittelemiseksi ja jakamiseksi, kuten:

• Prosessit, joilla vastaanotetaan, analysoidaan ja vastataan toimittajilta, asiakkailta, kumppaneilta ja valtion kyberturvallisuusorganisaatioilta saatuihin haavoittuvuusilmoituksiin.
• Haavoittuvuustietojen jakaminen organisaation ja toimittajien välillä sopimussääntöjen ja -käytäntöjen mukaisesti.
• Vastuun jakaminen asianomaiselle henkilöstölle ilmoitettujen kyberturvallisuusuhkien, haavoittuvuuksien tai vaaratilanteiden käsittelyn ja vaikutusten analysoinnin osalta.

Organisaation olisi tehtävä sopimuksia asiaankuuluvien kolmansien osapuolten kanssa, jotta ne voivat tarvittaessa tarjota konsultointia poikkeamien aikana.

Tällaisia kolmansia osapuolia voivat olla esimerkiksi CERT-ryhmät (Computer Emergency Response Teams), eri alojen tietotekniikka-asiantuntijat sekä laitteiden tai ohjelmistojen toimittajat.

Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

• Ulkoisista IT-palveluista on saatavilla riskinarviointi.
• Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

• Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
• Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:

• Yksityiskohtaiset palvelutason kuvaukset ja selkeät suorituskykytavoitteet tehokkaan valvonnan ja korjaavien toimenpiteiden varmistamiseksi.
• Ilmoitusajat ja raportointivelvoitteet palvelun tarjontaan vaikuttavista muutoksista.
• Varasuunnitelmat, turvatoimenpiteet ja käytännöt liiketoiminnan jatkuvuuden ja säännösten noudattamisen varmistamiseksi.
• Osallistuminen rahoitusyksikön TLPT:hen (uhkalähtöinen penetraatriotestaus).
• Oikeudet seurata suorituskykyä pääsyn, tarkastusten ja auditointien avulla, ja vaihtoehtoisia vakuutustasoja koskevat määräykset.
• Yhteistyö toimivaltaisten viranomaisten tai nimettyjen tahojen suorittamien tarkastusten ja auditointien aikana.
• Yksityiskohdat tarkastusten ja auditointien laajuudesta, menettelyistä ja tiheydestä.
• Irtautumisstrategiat, mukaan lukien siirtymäkaudet saumattomalle siirtymiselle tai uudelleenjärjestelylle.
• Mikroyrityksille mahdollisuus siirtää valvontaoikeudet palveluntarjoajan nimeämälle riippumattomalle kolmannelle osapuolelle.

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

• Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
• Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
• Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

• Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
• Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
• Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
• Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.

Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.

1. Määritä osallistumisedellytykset tietojen jakamisjärjestelyissä, mukaan lukien julkisten viranomaisten osallistuminen ja niiden mahdolliset roolit, kolmannen osapuolen palveluntarjoajien osallistuminen ja operatiiviset yksityiskohdat, kuten omistettujen IT-alustojen käyttö.
2. Ilmoita osallistumisesta tietojen jakamisjärjestelyihin toimivaltaisille viranomaisille jäsenyyden vahvistamisen yhteydessä tai tarvittaessa jäsenyyden lopettamisesta sen tullessa voimaan.

Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

• luvatun palvelutason tarkkailu
• toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
• riippumattomien auditointien säännöllinen järjestäminen
• auditoinneissa tunnistettujen ongelmien seuranta
• tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
• toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:

• myyjiltä
• liikekumppaneilta

Lisäksi tulee hankkia yksityisyyssitoumuksia:

• myyjiltä
• liikekumppaneilta

sitoumuksien hankkimisen lisäksi organisaation tulee arvioida:

• myyjien ja liikekumppaneiden tietosuojasitoumusten noudattamista
• myyjien ja liikekumppaneiden luottamuksellisuussitoumusten noudattamista

Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.

Tavoitteena etenkin:

• lisätä tietoa parhaista käytännöistä ja pysyä ajan tasalla olennaisesta turvallisuustiedosta
• varmistaa, että ymmärtämys tietoturvaympäristöstä on ajantasaista ja täydellistä

Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.

Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

• suorat muutokset toimittajasopimuksiin
• palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
• toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
• tietojen fyysistä sijaintia koskevat muutokset
• toimittajaketjun / alihankintaprosessin muutokset

Luo yhteys, ja kommunikoi, sidosrymien ja osallistujien kanssa jatkuvuussuunnitelman ja selviytymismenettelyjen aikana.