Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.

Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.

Tämän määräyksen(MÄÄRÄYS 3/2024) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto

Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:

Sisäiset raportointitavoitteet:

• Johdolle päätöksentekoa tukevat raportit
• Raportoinnin tarkkuus ja yksityiskohdat ei taloudellisiin raportteihin liittyen

Vaatimuksien täyttötavoitteet:

• Lakien ja asetusten täyttyminen
• Alatavoitteiden asettaminen, jotta turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden kriteerit tukevat riittävää raportointia, organisaation toimintaa ja vaatimuksenmukaisuuden täyttymistä

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Organisaatio on ottanut käyttöön menettelyt sisäisten tarkastusten suorittamiseksi. Menettelyissä on kuvattava ainakin seuraavat seikat:

• kuinka usein auditointeja tehdään
• kuka voi suorittaa auditointeja (mukaan lukien auditointikriteerit).
• miten varsinainen auditointi suoritetaan
• miten auditoinnin tulokset dokumentoidaan ja kenelle niistä raportoidaan.
• tuloksista on ilmoitettava toimivaltaiselle viranomaiselle, jos sitä säännellään lainsäädännöllä.

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

• ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
• ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
• niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
• ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

• onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
• onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
• onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.

Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Organisaation olisi varmistettava, että johto saa säännöllisesti tietoa tietoturvan tilasta. Johdolle olisi laadittava raportti, joka kattaa ainakin seuraavat aiheet:

• Arvio siitä, miten hyvin toteutetut turvatoimet vastaavat organisaation tarpeita.
• Yhteenveto vakavista riskeistä, joita ei ole käsitelty.
• yleiskatsaus muista esteistä, jotka haittaavat tietoturvatavoitteiden saavuttamista.

Organisaatio laatii ja dokumentoi selkeän turvallisuuspäätöksentekovaltuuksien delegoinnin. Kullekin tehtävälle annetaan asianmukainen vastuu ja valtuudet toimia turvallisuusasioissa, ja tästä rakenteesta tiedotetaan ja sitä tarkistetaan säännöllisesti tehokkaan ja oikea-aikaisen päätöksenteon varmistamiseksi.

Organisaation johtajan olisi säännöllisesti tarkasteltava ja pantava täytäntöön asianomaisen kyberturvallisuusviranomaisen ja toimivaltaisen kyberturvallisuustapahtumien hallintakeskuksen antamat suositukset ja ohjeet. Tähän kuuluu sovellettavien ohjeiden tunnistaminen, niiden vaikutusten arviointi organisaation sähköisiin tietojärjestelmiin ja vaatimustenmukaisuuden varmistamiseksi ja suojan parantamiseksi toteutettujen toimien dokumentointi.

Organisaation on ilmoitettava toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään kahdenkymmenen työpäivän kuluessa, kyberturvallisuuspäällikön nimittämisestä. Ilmoituksessa on mainittava kyberturvallisuuspäällikön nimi, sukunimi, henkilötunnus, asema, sähköpostiosoite ja puhelinnumero. Organisaation on ilmoitettava kaikista muutoksista toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään kahdenkymmenen työpäivän kuluessa.

The organization must define, document, and formally approve its set of cybersecurity policies and measures. This comprehensive set of measures must be appropriate for the organization's size, risk profile, and complexity, and it must be based on the findings of the official risk analysis. When defining these measures, the organization must take into account the guidelines provided in the National Cybersecurity Reference Framework (QNRCS), the latest technical developments, and relevant international standards (e.g., ISO/IEC 27001).

A process must be established to continuously monitor the latest technical developments, emerging threats, and changes to relevant cybersecurity standards and frameworks. This process should include subscribing to threat intelligence feeds, participating in industry forums, and regularly reviewing updates to the QNRCS and other adopted standards. The findings must be used to periodically review and update the organization's security measures to ensure they remain effective.

Organisaation olisi määriteltävä ja dokumentoitava kyberturvallisuuden hallintaan liittyvät roolit ja vastuut. Näissä asiakirjoissa olisi ilmoitettava selkeästi, kuka vastaa turvatoimien hyväksymisestä, valvonnasta, tarkastuksesta ja auditoinnista. Siinä olisi myös määriteltävä vastuu siitä, että kyberturvallisuuden hallintaan ja työntekijöiden koulutukseen osoitetaan riittävät resurssit.

Organisaation olisi nimitettävä kyberturvallisuuspäällikkö, jonka rooli on riippumaton tietotekniikkatoimintojen ja -kehityksen hallintorakenteesta. Kyberturvallisuuspäällikön vastuualueet, valtuudet ja raportointilinjat olisi dokumentoitava virallisesti. Näin varmistetaan, että tietoturvapäätökset ovat puolueettomia eivätkä operatiiviset tai kehityspaineet vaaranna niitä.

Jos vaatimustenmukaisuuden arvioinnissa tai itsearvioinnissa havaitaan vaatimustenvastaisuuksia, organisaation olisi laadittava virallinen suunnitelma niiden korjaamiseksi. Suunnitelmassa olisi määriteltävä menetelmä kunkin ongelman ratkaisemiseksi ja asetettava selkeät määräajat täytäntöönpanolle.

Oikeudellisista vaatimuksista riippuen tämä voi tapahtua auditoinnin jälkeen laaditun korjaussuunnitelman tai itsearvioinnin jälkeen annetun vaatimustenvastaisuusilmoituksen muodossa.

Organisaation olisi laadittava menettely neuvoa-antavien toimeksiantojen kanssa tehtävää yhteistyötä varten. Menettelyssä olisi määriteltävä, miten pääsy tietoihin, järjestelmiin ja tiloihin myönnetään tarvittaessa. Menettelyssä olisi myös kuvattava menettely, jossa otetaan huomioon komission lausunnot toimeksiannon päätelmistä ja raportoidaan toteutetuista toimenpiteistä toimivaltaisille viranomaisille.

Organisaation on varmistettava, että henkilötietojen käsittelytoimet tarkastetaan säännöllisesti ja riippumattomasti ammatillisten standardien mukaisesti, jotta voidaan varmistaa, että ne ovat oikeudellisten ja sopimusvaatimusten mukaisia. Tarkastusten olisi katettava sekä sisäiset toiminnot että ulkoisten kumppaneiden suorittama käsittely. Organisaatio on vastuussa siitä, että henkilötietojen käsittelijät täyttävät kaikki sovellettavat velvoitteet, ja se voi käyttää riippumatonta kolmatta osapuolta suorittamaan tai tukemaan vaatimustenmukaisuuden arviointeja. Jos henkilötietojen käsittelijä toimii dokumentoitujen ohjeiden vastaisesti tai rikkoo tietojenkäsittelysopimusta, sitä pidetään rekisterinpitäjänä ja pidetään suoraan vastuullisena tästä johtuvista rikkomuksista. Auditointimenettelyillä on varmistettava tulosten tarkkuus ja eheys ja se, että havaintoja käytetään vaatimustenmukaisuuden vahvistamiseen ja puutteiden korjaamiseen.

The organisation must formally appoint individuals to key security and emergency roles. Once these appointments are finalised, the Danish Energy Agency must be officially notified of the updated personnel.

Roles to be appointed:

• Emergency Coordinator: coordinates all emergency planning efforts, including the preparation of risk and vulnerability assessments
• Cyber Coordinator: coordinates network and information system security measures while also assisting in emergency planning for these systems
• Security Coordinator: coordinates on-site security measures at applicable company facilities

The responsibilities for each role should be clearly documented. This should include their duties in emergency planning, cybersecurity, physical security, and their coordination with each other to maintain a comprehensive risk overview. The organisation should also ensure that the relevant authorities are notified of the contact information for these roles.

The company's management body must hold quarterly meetings with the Emergency, Cyber, and Security Coordinators. The purpose of these meetings is to review and make decisions on the company's overall organizational emergency preparedness, physical security, and cybersecurity.

A formal report, based on discussions and decisions, must be created and maintained after each meeting, including the meeting minutes. This report will be the official record of the decisions made by the management body.

The company's management body or an authorized person is responsible for establishing and overseeing the organization's approach to risk and preparedness. This involves the formal review and approval of all essential documentation, including examples such as risk and vulnerability assessments and contingency and business continuity plans, that guide the organization’s strategic direction and operational resilience. These approvals must be formally recorded to ensure clear accountability.

Once approved, the management body is responsible for ensuring the documented procedures are effectively implemented and maintained.

The organisation should establish and maintain an operational contact point that can receive notifications of changes in the sector preparedness level at all times of the day and communicate them internally so that preparedness measures can be implemented.

The organisation must also keep the contact information of this contact point up to date and provide it to the correct authority:

• Companies in the electricity, gas, and hydrogen sectors must inform Energinet.
• Other companies must inform the Danish Energy Agency.

Organisaation olisi luotava ja ylläpidettävä muodollinen prosessi kaikkea sen johtamisjärjestelmään liittyvää ulkoista raportointia varten. Prosessin avulla olisi varmistettava, että kaikki julkistaminen tapahtuu valvotulla tavalla, organisaation sisäisiä viestintämenettelyjä noudattaen ja kaikkien sovellettavien oikeudellisten, lakisääteisten ja sopimusperusteisten avoimuusvelvoitteiden mukaisesti. Siinä olisi määriteltävä, mitä tietoja raportoidaan, kenelle, milloin ja mitä kanavia pitkin.

Organisaation olisi perustettava turvallisuuden hallintoelin, joka toimii riittävän riippumattomasti muista toimintayksiköistä. Turvallisuusjohtamisesta vastaava henkilö tai henkilöt olisi nimettävä virallisesti johtamaan tätä elintä, jotta voidaan varmistaa, että turvallisuuspäätökset voidaan tehdä objektiivisesti ja ilman muiden liiketoimintapaineiden aiheuttamia kohtuuttomia vaikutuksia.

The organization shall establish and maintain a formal process for engaging with relevant government authorities regarding identified security risks or incidents. This process must include:

• Clear procedures for participating in meetings or interviews with legal representatives or designated officials.
• Implementation of all required rectification measures and corrective actions to address risks and eliminate potential hazards, as mandated by the authorities.
• Comprehensive documentation of all engagements and the corrective actions taken.

The organization shall participate in cooperation mechanisms with other network operators to strengthen cybersecurity. This includes:

• Sharing and analyzing cybersecurity information
• Contributing to joint reporting and emergency response efforts
• Supporting coordinated actions to mitigate cybersecurity risks
• Engaging with industry bodies to align with sector-specific cybersecurity regulations
• Participating in collective risk analysis and responding to issued risk warnings
• Assisting peers and members of the industry in managing cybersecurity incidents

Organisaation olisi laadittava käytännesäännöt ja tiedotettava niistä. Näissä säännöissä olisi määriteltävä vilpittömän mielen, liike-elämän etiikan ja yhteiskuntamoraalin kunnioittamisen periaatteet, joita koko henkilöstön on noudatettava. Säännöstössä olisi myös hahmotettava organisaation sitoutuminen yhteiskunnalliseen vastuuseen ja yhteistyöhön viranomaisten ja julkisen valvonnan kanssa kyberturvallisuuden yhteydessä.

Organizations are required to use the national ICT system for reporting incidents and data breaches and for exchanging sensitive information.

The ICT system serves as a central platform for:

• Cooperation
• Generating and sharing recommendations for actions to improve cybersecurity levels
• Reporting and handling incidents
• Estimating risk at the national level
• Warning about cyber threats
• Supervisory activities
• Reporting personal data breaches
• Exchanging information

Key organizations must regularly assess the security of their IT systems used in delivering services. This is done through a formal security audit, which must be carried out at the organization's own cost at least once every three years. The three-year period is counted from the date the previous audit report was completed and signed by the auditors.

Once the audit is completed, the organization must submit a digital copy of the audit report to the national cybersecurity authority within three working days of receiving it.

In addition, the cybersecurity authority has the right to request an external audit at any time. This could happen, for example, after a serious security incident or if the organization violates cybersecurity rules. In such cases, the authority will define who is allowed to perform the audit, set a deadline for submission of the report, and may also decide the scope or focus areas of the audit.

These steps help ensure that critical services maintain a strong level of cybersecurity and remain accountable for their system security.

The security audit of the information system must be carried out by qualified and approved professionals. There are three possible options for who can perform the audit:

1. Accredited Organizations: The audit can be conducted by a certified organization that has official approval under Polish law related to conformity assessment. These organizations must be authorized to evaluate the security of information systems.
2. Qualified Auditors: The audit can also be done by at least two individual auditors who meet specific qualifications. These auditors must either:
   - Hold approved certificates (as defined by regulations),
   - Have at least three years of experience in auditing IT system security, or
   - Have at least two years of such experience and a postgraduate diploma in IT security auditing from an accredited academic institution.
3. Sectoral CSIRTs: A sector-specific cybersecurity response team (CSIRT) can perform the audit, but only if their auditors meet the same qualifications listed above for individual auditors.

Organisaation on ilmoitettava valtion tietojärjestelmäviranomaiselle osallistumisestaan tietojenvaihtosopimuksiin tai niiden peruuttamisesta.

Ilmoitus on tehtävä, kun organisaatio on liittynyt tiedonvaihtosopimukseen tai kun tiedonvaihtosopimuksesta eroaminen on tullut voimaan.

Tietoturvariskejä koskeva dokumentaatio on tarkistettava säännöllisesti tai jos ympäristössä on tapahtunut muutoksia tai muita tapahtumia, kuten haavoittuvuuksien paljastuminen. Tarkistukseen on sisällyttävä seuraavat seikat:

• Varmistetaan, että tietoturvariskianalyysi ja riskien käsittelyä koskeva dokumentaatio on ajantasainen ja kattava.
• tarvittaessa tietoturvariskien uudelleenarviointi.

Riskinarviointi ja sen menetelmät dokumentoidaan ja päivitetään säännöllisesti. Dokumentaatio sisältää ainakin seuraavat tiedot:

• kuvaus tunnistetuista uhkista, haavoittuvuuksista ja riskeistä.
• riskien arviointi
• valitut menetelmät
• ehdotetut riskinhallintatoimet ja niiden toteuttaminen
• Riskinarvioinnin ja riskinhallintatoimien toteuttamisesta vastaavat henkilöt.

Organisaatiolla on käytössä prosessi, jolla se toimittaa markkinavalvontaviranomaiselle tarvittavat tiedot ja asiakirjat viranomaisen helposti ymmärtämässä muodossa osoittaakseen, että tuote on olennaisten kyberturvallisuusvaatimusten mukainen (liite 1). Organisaatio tekee myös yhteistyötä viranomaisen kanssa toimenpiteistä, joita on toteutettu tuotteiden aiheuttamien kyberriskien poistamiseksi.

Valmistajien on nimettävä yksi yhteyspiste, jonka kautta käyttäjät voivat olla yhteydessä valmistajaan haavoittuvuuksista ilmoittamisen helpottamiseksi. Yhteyshenkilön on oltava käyttäjien helposti tunnistettavissa, ja sen yhteystiedot on sisällytettävä käyttäjäasiakirjoihin.

Organisaatio ylläpitää koordinoitua haavoittuvuuksien ilmoituspolitiikkaa, jossa kuvataan menettelyt ja odotukset sen tuotteissa havaittujen haavoittuvuuksien raportoinnille, erityisesti tuotteissa, joissa on digitaalisia elementtejä. Haavoittuvuuksien ilmoittamiskäytännössä olisi kuvattava menettely haavoittuvuuksien ilmoittamisen koordinoimiseksi ja niiden korjaamiseksi. Politiikassa olisi myös selitettävä, miten toimitaan, jos organisaatio ei halua jakaa tietoa haavoittuvuuksista, ja syyt tietojen jakamatta jättämiseen olisi dokumentoitava.

Jos organisaatio käyttää tekoälyjärjestelmiä, sen tulee varmistaa, että tekoälyyn liittyvät kyberturvallisuusvaatimukset otetaan huomioon ja niitä noudatetaan. Tähän sisältyy sen varmistaminen, että tekoälyjärjestelmiä ei käytetä tavalla, joka voi aiheuttaa tarpeettoman tietoturvariskin.

Tietoturvallisuuden muutoksenhallintamenettelyt on sisällytettävä nykyisiin prosessiturvallisuuden hallintamenettelyihin.

Jotta tietoturvavaatimukset voidaan täyttää jatkuvasti, organisaation on määriteltävä seuraukset niille, jotka eivät noudata vaatimuksia.

Organisaation tulisi kuvata selkeästi seuraavat:

• mikä on tietoturvan hallintajärjestelmän noudattamatta jättäminen
• mitkä ovat siihen liittyvät rangaistustoimenpiteet ja miten menetellään
• tutkitaan teon syyt, seuraukset ja tahallisuus

Tietoturvapolitiikkaan ja -menettelyihin on sisällyttävä vaatimustenmukaisuutta koskevat vaatimukset.

Organisaation on dokumentoitava tietoturvan hallintajärjestelmä ja organisaation toimintamalli niiden täyttämiseksi.

Dokumentoinnissa on myös kuvattava organisaation politiikka lakien, asetusten, standardien ja sopimusvelvoitteiden noudattamisen osalta.

Organisaatiolla on oltava politiikat ja menettelyt, joissa käsitellään sekä fyysistä että tietoturvallisuutta koskevia näkökohtia omaisuuden suojaamiseksi. Niitä käsitellään tarkemmin erillisissä tehtävissä.

Organisaation on laadittava luettelo laukaisevista tekijöistä, jotka johtavat tietoturvallisuuden hallintajärjestelmän tarkistamiseen.

Laukaiseviin tekijöihin olisi sisällyttävä ainakin seuraavat:

• vakavat tietoturvaloukkaukset,
• muutokset organisaation tietoturvallisuuden hallintajärjestelmän kannalta merkityksellisissä oikeudellisissa, sääntelyyn liittyvissä tai muissa vaatimuksissa,
• merkittävät muutokset riskitasoissa,
• merkittävät muutokset tietoturvallisuuden hallintajärjestelmässä.

Organisaation on määriteltävä kullekin laukaisevalle tekijälle kynnysarvot, jotka osoittavat uudelleentarkastelun tarpeen.

Kynnysarvojen on vastattava organisaation riskinsietokykyä.

Organisaatio tarkastelee säännöllisesti (esim. vuosittain) tietoturvallisuuden hallintajärjestelmiin liittyviä alan parhaita käytäntöjä (esim. ISO 27001, NIST Cyber Security Framework) ja muita asiaan liittyviä tietoturvallisuuden hallinnan parhaita käytäntöjä (esim. OWASP, SANS) arvioidakseen niiden merkitystä organisaatiolle ja varmistaakseen vahvistettujen tietoturvapolitiikoiden jatkuvan asianmukaisuuden.

Organisaation olisi otettava huomioon toimiala, jolla se toimii, valitessaan parasta käytäntöä.

Vastuu tiettyjen järjestelmien tarkastamisesta on määriteltävä organisaatiossa. Vastuu voi olla sisäisillä tai ulkoisilla tarkastajilla tai molemmilla. Tarkastuksesta vastaavalla henkilöllä on oltava tarvittava pätevyys ja riittävä riippumattomuus tehtävän suorittamiseksi. Jos auditoinnin suorittavat ulkopuoliset auditoijat, vastuu heidän pätevyytensä varmistamisesta on auditoinnin tilaavalla organisaatiolla.

Organisaation on tarkistettava tietoturvapolitiikkansa ja -menettelynsä vähintään vuosittain ja päivitettävä ne tarvittaessa, jotta ne pysyvät ajan tasalla.

Uudelleentarkastelussa olisi arvioitava kriittisesti politiikan tai menettelyjen yleistä tehokkuutta ja sitä, pystytäänkö niillä edelleen vastaamaan tunnistettuihin riskeihin. Tarkistusprosessi ja tarvittavat muutokset olisi dokumentoitava.

Organisaation on suoritettava kattava liiketoimintavaikutusten analyysi (BIA) liiketoimintaprosessien, niitä tukevien tieto- ja viestintäteknisten järjestelmien, palveluiden ja omaisuuden kriittisyyden ja keskinäisten riippuvuuksien tunnistamiseksi ja arvioimiseksi sekä tieto- ja viestintäteknisten vaste- ja toipumissuunnitelmien kehittämisen ja validoinnin tukemiseksi.

BIA:n on:

• Tunnistettava ja luokiteltava kriittiset ja tärkeät toiminnot
• Määriteltävä suurimmat sallitut käyttökatkokset (MTD) sekä toipumisaikatavoitteet (RTO) ja toipumispistetavoitteet (RPO)
• Arvioitava tieto- ja viestintäteknisten palveluiden häiriöiden toiminnalliset, taloudelliset, oikeudelliset ja maineeseen liittyvät vaikutukset
• Kartoitettava riippuvuudet tieto- ja viestintäteknisistä järjestelmistä, tiedoista, infrastruktuurista ja kolmansien osapuolten palveluista
• Tarkistettava ja päivitettävä säännöllisesti (esim. vuosittain tai merkittävien muutosten jälkeen)

Integrointi tieto- ja viestintätekniseen toipumissuunnitteluun:

BIA:n tulosten on suoraan johdettava tieto- ja viestintäteknisten vaste- ja toipumissuunnitelmien rakennetta ja painopisteitä.

Elvytyssuunnitelmissa on otettava huomioon:

• Mitkä järjestelmät/palvelut vaativat nopeimman toipumisen
• Palautusjärjestys
• Hyväksyttävät tietojen menetyksen ja käyttökatkosten raja-arvot
• Suunnitelmien testauksen on perustuttava uskottaviin häiriöskenaarioihin, jotka kohdistuvat BIA:ssa yksilöityihin vaikutuksiltaan suuriin järjestelmiin/toimintoihin
• Elvytyssuunnitelmia on arvioitava suhteessa BIA:n odotuksiin häiriötilanneharjoitusten aikana ja päivitettävä sen mukaisesti

Organisaation on luotava ja ylläpidettävä omaisuudenhallintapolitiikka, joka kattaa vähintään seuraavat asiat:

• vaatimukset tieto- ja viestintäteknisten järjestelmien turvalliseen asennukseen, ylläpitoon, konfigurointiin ja poistamiseen
• vaatimukset tieto- ja viestintäteknisen omaisuuden hyödyntämien tieto-omaisuuserien hallintaan, mukaan lukien niiden käsittely ja jalostus sekä automaattisesti että manuaalisesti
• vaatimukset vanhojen ICT-järjestelmien tunnistamiseen ja hallintaan

Organisaation on luotava ja ylläpidettävä fyysistä ja ympäristön turvallisuutta koskeva politiikka. Politiikan tulee sisältää vähintään seuraavat asiat:

• viittaus politiikan osioon, joka käsittelee pääsynhallinnan valvontaa
• toimenpiteet hyökkäyksiltä, onnettomuuksilta sekä ympäristöuhkilta ja -vaaroilta suojautumiseksi
• yksilöidyt tilat, tietokeskukset ja arkaluonteiset nimetyt alueet
• toimenpiteet tieto- ja viestintäteknisten omaisuuserien suojaamiseksi sekä tiloissa että niiden ulkopuolella
• toimenpiteet tieto- ja viestintäteknisen omaisuuden, tieto-omaisuuden ja fyysisten kulunvalvontalaitteiden saatavuuden, aitouden, eheyden ja luottamuksellisuuden varmistamiseksi
• toimenpiteet tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämiseksi, mukaan lukien

Organisaation on laadittava ja ylläpidettävä raportti tieto- ja viestintäteknisten riskienhallintakehyksen tarkistamisesta. Se sisältää:

• Johdanto
• raportin hyväksymispäivämäärä
• kuvaus tarkistamisen syystä
• tarkistusjakson alkamispäivämäärä ja päättymispäivämäärä
• tarkistuksesta vastaavan toiminnon ilmoitus
• kuvaus tieto- ja viestintäteknisten riskienhallintakehykseen tehdyistä merkittävistä muutoksista ja parannuksista
• yhteenveto tarkistuksen havainnoista sekä yksityiskohtainen analyysi ja arvio heikkouksien, puutteiden ja aukkojen vakavuudesta
• kuvaus toimenpiteistä havaittujen heikkouksien, puutteiden ja aukkojen korjaamiseksi
• tiedot suunnitelluista jatkotoimista
• tarkistuksen perusteella tehdyt johtopäätökset
• tiedot aiemmista tarkistuksista
• raportin valmistelussa käytetyt tietolähteet, mukaan lukien kaikki seuraavat

Täydellinen luettelo artiklan vaatimuksista.

Organisaation on laadittava ja ylläpidettävä kattava tieto- ja viestintäteknologia (TVT) -projektinhallintapolitiikka, jossa määritellään puitteet TVT-projektien käynnistämiselle, hallinnoinnille ja käyttöönotolle katetussa yksikössä. Politiikkaan on sisällyttävä seuraavat osatekijät:

• TVT-projektin tavoitteet
• TVT-projektin hallinto, mukaan lukien roolit ja vastuut
• TVT-projektin suunnittelu, aikataulu ja vaiheet
• TVT-projektin riskinarviointi
• asiaankuuluvat välitavoitteet
• muutoksenhallinnan vaatimukset
• kaikkien vaatimusten, myös tietoturvavaatimusten, testaaminen ja hyväksymisprosessi, kun TVT-järjestelmä otetaan käyttöön tuotantoympäristössä

Organisaation on varmistettava, että tieto- ja viestintätekniikan tietoturvapolitiikat:

• ovat linjassa organisaation turvallisuustavoitteiden kanssa, jotka sisältyvät digitaalisen toiminnan häiriönsietokykyä koskevaan strategiaan.
• Ilmoitetaan päivämäärä, jolloin johtoelin on hyväksynyt ne.

Politiikkojen olisi sisällettävä:

• Indikaattorit ja toimenpiteet täytäntöönpanon seurantaa varten (menettelyt, protokolla ja työkalut).
• kirjaus täytäntöönpanon poikkeuksista
• Miten digitaalinen toimintavarmuus varmistetaan poikkeustapauksissa.

Politiikoiden olisi myös sisällettävä seuraavat seikat:

• Määriteltävä henkilöstön vastuu kaikilla tasoilla tieto- ja viestintätekniikan turvallisuuden osalta.
• Määritellään seuraukset, joita aiheutuu, jos henkilöstö ei noudata sääntöjä.
• Luettelo asiaan liittyvistä asiakirjoista, joita on säilytettävä.
• määriteltävä tehtävien erottelu eturistiriitojen välttämiseksi.
• Otetaan huomioon johtajien käytännöt ja standardit soveltuvin osin.
• määritetään roolit ja vastuut politiikoiden, menettelyjen, pöytäkirjojen ja välineiden kehittämisessä, täytäntöönpanossa ja ylläpidossa.
• Tarkistetaan asetuksen (EU) 2022/2554 6 artiklan 5 kohdan mukaisesti.
• Otetaan huomioon organisaatiossa tapahtuneet olennaiset muutokset, jotka voivat vaikuttaa politiikoihin.

Organisaation on otettava huomioon seuraavat seikat luodessaan ja soveltaessaan tieto- ja viestintätekniikan turvallisuuspolitiikkoja, -menettelyjä ja riskienhallintatyökaluja: organisaation koko, riskitaso ja monimutkaisuus. Erityisesti on otettava huomioon:

• salauksen ja kryptografian käyttö
• ICT-toimintojen turvatoimenpiteet
• verkkoturvallisuus
• ICT-projektien ja muutosten hallintaprosessit
• Miten ICT-riskit voivat vaikuttaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen.

Organisaation olisi otettava käyttöön asianmukaiset hallinnolliset, tekniset ja fyysiset suojatoimet, jotka on suunniteltu suojaamaan suojattujen terveystietojen (PHI) yksityisyyttä, ja varmistettava, että nämä toimenpiteet estävät aktiivisesti yksityisyyden suojaa koskevien säännösten rikkomisen ja rajoittavat tehokkaasti satunnaisia luovutuksia.

Organisaation olisi nimitettävä tietoturvavastaava, joka vastaa HIPAA:ssa määriteltyjen politiikoiden ja menettelyjen kehittämisestä ja täytäntöönpanosta sekä suojattujen terveystietojen (PHI) turvatoimista.

Organisaation on suoritettava säännöllisesti teknisiä ja ei-teknisiä arviointeja sekä auditointeja, jotka perustuvat aluksi toteutettuihin standardeihin ja myöhemmin ympäristö- tai toimintaympäristön muutoksiin, sen määrittämiseksi, täyttävätkö sen tietoturvapolitiikat ja -menettelyt suojattuja terveystietoja koskevat vaatimukset ja ovatko ne HIPAA:n mukaisia.

Organisaation olisi kehitettävä, toteutettava ja jatkuvasti ylläpidettävä kattavaa tietoturvaohjelmaa, joka määrittää hallinnolliset, fyysiset ja tekniset suojatoimet kaikkien sähköisten suojattujen terveystietojen (PHI) luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi, suojataan aktiivisesti kohtuullisesti ennakoitavissa olevilta uhkilta sekä kielletyiltä luovutuksilta, ja varmistetaan, että henkilöstö noudattaa jatkuvasti kaikkia tietoturvakäytäntöjä.

Organisaation on varmistettava, ettei se voi pelotella, uhkailla tai rangaista ketään, joka käyttää HIPAA-oikeuksiaan tai tekee valituksen. Tämä suojaa ihmisiä, jotta he voivat turvallisesti käyttää oikeuksiaan ilman pelkoa. Organisaation on kohdeltava kaikkia oikeudenmukaisesti eikä se saa ryhtyä kielteisiin toimiin ketään kohtaan vain siksi, että tämä puolustaa yksityisyyden suojaa koskevia oikeuksiaan.

Organisaation on varmistettava, ettei se voi vaatia henkilöitä luopumaan HIPAA-oikeuksistaan ehtona hoidon saamiselle, maksujen suorittamiselle, terveydenhuoltosuunnitelmaan liittymiselle tai etuuksien saamiselle. Toisin sanoen ihmisiä ei saa pakottaa luopumaan yksityisyydensuojaa koskevista oikeuksistaan saadakseen terveydenhuoltopalveluja tai vakuutuksen.

Organisaation on kehitettävä ja pantava täytäntöön kirjalliset politiikat ja menettelyt, joilla varmistetaan HIPAA-standardien noudattaminen suojattujen terveystietojen (PHI) suojaamisessa. Nämä käytännöt on suunniteltava kohtuullisesti organisaation koon ja sen PHI-tietoihin liittyvien toimintojen luonteen perusteella. Tavoitteena on varmistaa, että kaikki käytännöt ovat HIPAA-vaatimusten mukaisia, mukaan lukien mahdolliset standardit, täytäntöönpanomäärittelyt ja muut oikeudelliset velvoitteet. Tämä vaatimus ei salli toimia, jotka rikkovat muita HIPAA-säännöksiä.

Covered entities are required to develop and implement written policies and procedures that ensure compliance with HIPAA standards for protecting Protected Health Information (PHI). These policies must be reasonably designed based on the size of the organization and the nature of its PHI-related activities. The goal is to ensure that all practices align with HIPAA requirements, including any standards, implementation specifications, and other legal obligations.

The organization shall appoint a qualified auditor for the verification of its cybersecurity risk management measures. The auditor shall meet the necessary qualification requirements as defined by the relevant regulations.

To be considered qualified, the auditor must provide documented evidence of one or more of the following:

For essential entities, the auditor must meet all three requirements.

The organization shall ensure that the auditor's appointment is approved by the CIP Department or, where applicable, the designated competent authority. The appointment can only be made after the auditor has submitted a motivated request and supporting documents to the approving authority and official approval has been granted.

The audit shall confirm that the organization's cybersecurity risk management measures comply with the applicable legal, regulatory, and technical standards.

Organizations are required to assign responsibility for information security to a specific person, a dedicated team, or a committee. This designated individual or group will serve as the main point of contact and will handle all technical communication and coordination with supervisory authorities and the national Computer Security Incident Response Teams (CSIRTs).

If the responsibility is given to a team or committee rather than a single person, it is necessary to appoint one individual as the official representative. Additionally, a backup person should be assigned to take over these duties whenever the primary representative is unavailable due to absence, vacancy, or illness. This ensures that there is always someone accountable and able to respond promptly to security matters.

The organization must inform the relevant supervisory authorities when they appoint an Information Security Officer. This notification must be made within three months after the appointment is made. If there are any later changes, such as a new appointment or the termination (resignation, dismissal, etc.) of the current Information Security Officer, these changes must be reported within one month of when they happen.

The organization shall ensure that the information security officer has the necessary resources (e.g., budget, personnel, tools, time) to effectively carry out their duties. The officer's position within the organization should facilitate their work, ensuring appropriate participation in all relevant security matters. Furthermore, a direct and effective communication channel with the board of directors or top management should be established and maintained to ensure strategic alignment and oversight of cyber security. The information security officer should also operate with due independence from those responsible for the technical implementation and management of networks and information systems, avoiding conflicts of interest.

Essential or important organizations must apply cybersecurity measures to all systems and equipment they use to deliver their services or run their operations. These applied security measures must be documented in a file called the “Statement of Applicability of Systems.” This document should: List which systems are in use Explain which security measures apply to each system Be signed by the Information Security Officer, who is responsible for overseeing cybersecurity in the organization This document must be sent to the appropriate supervisory authority within six months after the organization is officially classified as an essential or important entity.

Essential and important organizations must prove that they are meeting the cybersecurity requirements described in this article. Essential entities (such as critical infrastructure providers) must show compliance by getting a certified approval from an authorized body — and they must keep this certification up to date. Important entities have two options: they can either get the same official certification or they can carry out a self-assessment to evaluate their own cybersecurity practices. If any essential or important organization is specifically covered by Royal Decree 311/2022 (dated May 3), then they must follow the rules in that decree for getting certified according to the National Security Scheme (ENS). The National Cybersecurity Center will define how this certification process should work. It will ensure the process is: -Necessary -Proportionate -Efficient Finally, the certification process will be designed so that it proves the organization follows both national cybersecurity rules and relevant international standards, based on the level required.

The organization must formally adopt, document, and implement a comprehensive set of security measures based on the findings from its continuous monitoring process. There must be a clear procedure for translating the requirements from external standards and good practices into the organization's internal security policies, procedures, and technical controls.

All cybersecurity measures must be selected and implemented based on the results of the organization's risk analysis. There must be a clear, documented link between each identified risk and the corresponding measure(s) chosen to mitigate it, ensuring the measures are appropriate and proportionate. This process should be documented in a Statement of Applicability (SoA) or a similar risk treatment plan. This document justifies the inclusion of specific controls and provides a rationale for any controls that are deemed not applicable.

The organization should establish a documented process to create a comprehensive Security Plan within one year of being designated as a critical infrastructure.

This process must also ensure that all internal security measures specified in the plan are fully implemented within the same one-year timeframe.

A project plan should be created to manage the development and implementation, including key milestones and responsibilities to meet the deadline.

The organization, as a critical infrastructure operator, should designate a security contact point.

The security contact point acts as a central liaison for all security and infrastructure protection matters with these authorities. It is crucial that the security contact point is available at all times to respond to security-related communications and incidents.

If an existing security contact point already fulfills these responsibilities under other national or international provisions, their contact details should be communicated to the sectoral authority accordingly.

The organization, as an operator of critical infrastructure, must develop and maintain a comprehensive Operator Security Plan (O.S.P.). This plan should systematically address the risks of disruption or destruction to the critical infrastructure.

The O.S.P. must detail both organizational and material measures designed to prevent, mitigate, and neutralize identified risks. The plan should be regularly reviewed and updated to reflect changes in the risk landscape, critical infrastructure, or the overall security environment.

The organization must notify the Cybersecurity Authority of any planned cybersecurity audits as required under paragraphs 2 and 3 of the regulation. The notification must be submitted at least one month in advance and must include an audit plan that meets the format and content requirements defined by the Cybersecurity Authority. The purpose of this task is to ensure transparency and allow the authority to oversee upcoming audit activities in line with regulatory expectations.

The organization is required to demonstrate their compliance with cybersecurity risk management obligations. Upon receiving a request from the cybersecurity authority, the organization must submit a self-declaration that lists all implemented risk management measures in accordance with Section 32 of the national cybersecurity law. This declaration must follow a structured format defined by the authority and be submitted within six months of the request. The purpose of the self-declaration is to provide transparency and assurance that the organization has taken appropriate technical, operational, and organizational measures to manage cybersecurity risks.

Operators of critical infrastructure are required to demonstrate to the Federal Office for Information Security (BSI) that they have implemented the necessary cybersecurity measures as outlined in Section 30(1) in connection with Section 31(1) and (2).

• No earlier than three years after the organization is first designated as a critical infrastructure operator
• No later than three years after being designated again (if the status was lost and regained)
• Every three years thereafter

Compliance must be demonstrated through security audits, inspections, or certifications. The results of these assessments, including any identified security weaknesses, must be submitted to the BSI.

The BSI may also request the underlying documentation used in these assessments. If security deficiencies are found, the BSI may require the operator to submit an appropriate remediation plan. In coordination with the relevant supervisory authority, BSI may also demand that the deficiencies be resolved and request suitable evidence confirming that the remediation has been completed.

Organisaation olisi vuosittain suoritettava itsearviointi tietoturvariskien hallinnan kypsyydestä. Arvioinnissa olisi noudatettava kansallisen kyberturvallisuusviranomaisen tai asiaankuuluvien kansallisten säännösten määrittämiä ohjeita ja menetelmiä. Organisaation johdon on tarkasteltava ja hyväksyttävä itsearvioinnin tulokset ennen niiden toimittamista nimetylle viranomaiselle määritellyssä määräajassa.

Organisaation olisi nimettävä turvallisuusvastaava, joka vastaa verkko- ja tietojärjestelmien turvallisuudesta. Tällä vastuuhenkilöllä on oltava johtovalta ja hänen on raportoitava suoraan organisaation ylimmälle johdolle. Objektiivisuuden ja tehokkuuden varmistamiseksi turvallisuusvastaavan on toimittava riippumattomana tietotekniikka- ja operatiivisesta teknologiaosastosta. Lisäksi organisaation olisi varmistettava, että turvallisuusvastaavalla on käytettävissään kaikki tarvittavat resurssit, kuten henkilöstö, budjetti ja tiedot, jotta hän voi tehokkaasti valvoa ja panna täytäntöön tietoturvariskien hallintatoimenpiteitä.

Organisaation olisi määriteltävä prosessi, jolla rekisteröidytään vaadittuihin virallisiin viestintäjärjestelmiin. Prosessin avulla olisi varmistettava, että kaikki tarvittavat tiedot, kuten yrityksen nimi, osoite ja nimetty yhteyshenkilö, annetaan täsmällisesti. Olisi nimettävä vastuullinen henkilö, joka pitää nämä rekisteröintitiedot ajan tasalla ja ilmoittaa viipymättä kaikista muutoksista.

Organisaation olisi luotava prosessi, jonka avulla se toimittaa liittovaltion kyberturvallisuusvirastolle (BACS) kaikki tarvittavat asiakirjat sen määrittämiseksi, kuuluuko se ilmoitusvelvollisuuden piiriin. Prosessissa olisi määriteltävä vastuuhenkilöt, jotka vastaavat asiakirjojen keräämisestä ja toimittamisesta, ja varmistettava, että kaikki viestintä BACS:n kanssa kirjataan asianmukaisesti.

Organisaatiolla olisi oltava vakiintuneet menettelyt ja sisäiset ohjeet, joilla varmistetaan täysipainoinen yhteistyö valvontaviranomaisten kanssa. Tähän kuuluu kaikkien tarvittavien tietojen toimittaminen viipymättä, pääsyn myöntäminen organisaation tiloihin ja laitteisiin, kun se on tarpeen tutkimuksia varten, ja tarvittavan avun tarjoaminen viranomaisen tehtävien helpottamiseksi. Organisaation olisi varmistettava, että näissä menettelyissä otetaan huomioon viranomaisen oikeus saada tietoja ja tutustua niihin, vaikka lakisääteinen salassapitovelvollisuus olisikin olemassa.

The organisation must establish, implement and maintain measures to ensure the integrity of critical national information. This can be achieved through actionable steps, including but not limited to:

• Enforce a least privilege policy
• Use technical controls such as file integrity monitoring (FIM), digital checksums, or digital signatures
• Enable and protect detailed audit logs that securely record all access, modification, and deletion events related to critical national information
• Implement a backup schedule for all critical national information

• identifying the correct external authority or ministry to notify
• preparing and submitting a formal notification that includes the findings of the risk assessment and details about the acquisition, disregarding any duty of confidentiality
• maintaining a record of the notification and all subsequent communications with the authority.

When a previously reported security-sensitive activity is discontinued, this must also be reported to the supervisory authority without delay. The purpose is to ensure that oversight responsibilities are adjusted and that security obligations are no longer applied unnecessarily.

The report should clearly state the date of termination and confirm that all related protective security responsibilities have been concluded or transferred. Documentation of the notification must be retained as proof of compliance.

When an activity that falls under the definition of security-sensitive operations is initiated, this must be reported to the appropriate supervisory authority without delay. This obligation applies regardless of the scale of the activity or the form of the organization.

The notification should include sufficient information to describe the nature of the activity, its connection to national security, and contact details for the responsible security officer. This reporting obligation ensures oversight and legal compliance from the beginning of the operation.

Organisaation olisi nimitettävä turvallisuussuojelupäällikkö, joka vastaa turvallisuussuojelutoimien hallinnoinnista ja koordinoinnista. Vastuuhenkilön asema, vastuualueet ja valtuudet on määriteltävä ja dokumentoitava virallisesti.

Tehtävänkuvauksessa olisi täsmennettävä, että turvallisuussuojeluvastaava:

• johtaa ja koordinoi organisaation turvasuojaustyötä.
• Varmistaa, että toimintaa harjoitetaan turvasuojelulain ja siihen liittyvien säännösten mukaisesti.
• Raportoi suoraan liiketoimintajohtajalle tai, jos sellaista ei ole, organisaation johtokunnalle.

Olisi myös dokumentoitava, että tätä kokonaisvastuuta ei voida siirtää toiselle henkilölle.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Koordinoi sitä, että asianomainen organisaatio noudattaa asiaankuuluvia säännöksiä ja lakeja.
• Varmistaa asianmukaisen huolellisuuden
• Hallinnoi viestintää kansallisen kyberturvallisuusviranomaisen kanssa
• Hänellä on käytettävissään tarvittavat resurssit tehtäviensä hoitamiseksi.

Organisaation on toimitettava raportti tieto- ja viestintätekniikan riskienhallintakehyksen uudelleentarkastelusta hakukelpoisessa sähköisessä muodossa. Sen on sisällettävä:

Johdanto:

Kuvaus rahoitusyksikön toimintaympäristöstä, mukaan lukien:

• Palvelujen, toimintojen ja operaatioiden luonne, laajuus ja monimutkaisuus.
• Organisaatiorakenne ja tunnistetut kriittiset toiminnot.
• Strategia ja tärkeimmät käynnissä olevat hankkeet tai toiminnot.
• Suhteet ja riippuvuus sisäisistä ja ulkoistetuista tieto- ja viestintätekniikkapalveluista.
• Tieto- ja viestintäteknisten järjestelmien täydellisen menetyksen tai vakavan heikkenemisen vaikutukset kriittisiin toimintoihin ja markkinoiden tehokkuuteen.

Johtotason tiivistelmä:

• Yhteenveto tunnistetuista nykyisistä ja lähitulevaisuuden tieto- ja viestintätekniikkariskeistä.
• Keskustelkaa uhkakuvasta ja valvonnan arvioidusta tehokkuudesta.
• Hahmotellaan rahoituslaitoksen tietoturvatilanne.

Raportoitua aluetta koskevat tiedot:

• Anna tarkat tiedot raportin painopisteestä.

Muutokset tieto- ja viestintätekniikan riskienhallintakehyksessä:

• Tiivistä edellisen raportin jälkeen tapahtuneet tärkeimmät muutokset.
• Kuvaile näiden muutosten vaikutusta yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen.

Hyväksymispäivä:

• Mainitse tarvittaessa päivämäärä, jolloin johtoelin hyväksyi raportin.

Tarkistuksen syy:

• Selitä, miksi uudelleentarkasteluun ryhdyttiin, mukaan lukien:
• Mahdolliset valvontaohjeet ja niihin liitetyt todisteet.
• Tieto- ja viestintätekniikkaan liittyvien vaaratilanteiden esiintyminen ja luettelo niistä sekä niiden syy-yhteysanalyysi.

Tarkistusta koskevat tiedot:

• Sisällytä tarkastelujakson alku- ja loppupäivä.
• Ilmoittakaa tarkastelun suorittamisesta vastaava henkilö.
• Yhteenveto ja itsearviointi tieto- ja viestintätekniikan riskinhallintajärjestelmän heikkouksista, puutteista ja puutteista.
• Sisällytä yksityiskohtainen analyysi näistä havainnoista.

Korjaavat toimenpiteet:

• Luettele toimenpiteet, jotka on yksilöity heikkouksien, puutteiden ja puutteiden korjaamiseksi.
• Sisällytä toimenpiteiden täytäntöönpanon odotetut päivämäärät.
• Seuraa aiempien raporttien ratkaisemattomia kysymyksiä.

Arvioinnin päättäminen, mukaan lukien tieto- ja viestintätekniikan riskinhallinnan suunniteltu jatkokehitys.

Organisaation on kehitettävä, dokumentoitava ja otettava käyttöön tieto- ja viestintätekniikan projektinhallintamenettely. Siinä on otettava huomioon:

• se kattaa projektin kaikki vaiheet sen käynnistämisestä sen päättämiseen.
• Tieto- ja viestintätekniikkahankkeiden toteuttamiseen osallistuvien henkilöiden roolit ja vastuut on määriteltävä ja dokumentoitava selkeästi.
• Dokumentoida koko projektinhallintamenettely johdonmukaisuuden ja vastuullisuuden varmistamiseksi.
• Dokumentoitu projektinhallintamenettely toteutetaan johdonmukaisesti kaikissa ICT-projekteissa.
• Seurataan ja tarkastellaan menettelyn tehokkuutta ja tehdään tarvittaessa muutoksia projektin tulosten parantamiseksi.

Organisaation on varmistettava, että sisäinen auditointi on riittävästi erotettu ja riippumaton valvontatoiminnoista.

Yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen sovelletaan sisäistä auditointia organisaation tarkastussuunnitelmien mukaisesti. Tarkastajalla on oltava riittävä pätevyys ja riippumattomuus. Auditointien tiheyden ja laajuuden olisi perustuttava organisaation tieto- ja viestintätekniikkariskiin.

Auditointien tulosten perusteella organisaation on varmistettava, että kriittiset auditointihavainnot tarkastetaan ja korjataan ajoissa.

Organisaatiolla on oltava sisäinen hallinto- ja valvontakehys, jolla varmistetaan tieto- ja viestintätekniikkariskien tehokas hallinta ja saavutetaan korkea digitaalisen toiminnan häiriönsietokyvyn taso.

Johtoelimen on:

• kannettava kokonaisvastuu ja varmistettava, että yksinkertaistettu tieto- ja viestintätekniikan riskienhallintakehys mahdollistaa liiketoimintastrategian saavuttamisen organisaation riskinottohalukkuuden mukaisesti.
• määriteltävä selkeät roolit ja vastuualueet kaikille tieto- ja viestintätekniikkaan liittyville tehtäville.
• asetettava tietoturvatavoitteet ja tieto- ja viestintätekniikkavaatimukset
• hyväksyttävä, valvottava ja säännöllisesti tarkistettava asetuksen 30 artiklan 1 kohdassa tarkoitettu tietovarallisuuden luokittelu.
• hyväksyy, valvoo ja tarkistaa säännöllisesti luettelon tärkeimmistä tunnistetuista riskeistä, niiden vaikutuksista liiketoimintaan ja niihin liittyvistä toimintalinjoista.
• myöntää ja tarkistaa vuosittain budjetin, joka on tarpeen digitaalisen toimintakyvyn saavuttamiseen liittyvien tarpeiden täyttämiseksi. Tässä on otettava huomioon kaikki mahdolliset tarvittavat resurssit.
• Määritellään ja pannaan täytäntöön I, II ja III luvussa mainitut toimintatavat ja toimenpiteet.
• Määritellään ja otetaan käyttöön menettelyt, välineet ja protokollat kaikkien tietojen ja tieto- ja viestintäteknisten resurssien suojaamiseksi.
• Varmistetaan organisaation henkilöstön riittävät tiedot ja taidot ICT-riskien ymmärtämiseksi ja arvioimiseksi.
• vahvistaa raportointijärjestelyt, kuten raportointitiheyden, -muodon ja -sisällön.

Organisaatioiden olisi pyydettäessä tai vapaaehtoisesti tehtävä yhteistyötä keskitetyn yhteyspisteen ja toimivaltaisten CSIRT-ryhmien kanssa, kun tapahtuu merkittävä tapahtuma, jolla on rajatylittäviä ja monialaisia vaikutuksia.

Organisaatioiden olisi suoritettava ulkoinen auditointi vähintään kerran kahdessa vuodessa tai aina kun toimivaltainen viranomainen sitä pyytää sovellettavien lakien ja asetusten mukaisesti.

Auditointeja suorittavat kyberturvallisuustarkastajat, joiden tehtävänä on laatia raportti tarkastuksen havainnoista. Organisaatioiden on syytä huomioida, että joissakin laeissa ja asetuksissa saatetaan vaatia auditoijilta erityisiä sertifikaatteja, esimerkiksi kansallinen kyberturvallisuustarkastuksen turvallisuustodistus, tai auditoinnin on oltava tietyn viranomaisen tekemä.

Organisaatioiden on toimitettava raportti kyberturvallisuusvaatimusten täytäntöönpanosta vastaavalle toimivaltaiselle viranomaiselle välittömästi sen saatuaan, jos lait ja asetukset niin määräävät.

Organisaatioiden johto- ja hallintoelimille on tiedotettava säännöllisesti tai tarvittaessa viipymättä häiriöistä ja ilmoituksista.

Organisaatio nimittää tietoturvavastaavan, joka vastaa tiettyjen verkkojen ja järjestelmien vaatimustenmukaisuudesta.

• Varmistetaan, että ehdokas täyttää samat pätevyysvaatimukset kuin tietoturvapäällikkö.
• Annetaan tietoturvavastaavalle mahdollisuus valvoa tarvittaessa useita järjestelmiä.
• Vaihtoehtoisesti ulkoistetaan tämä tehtävä palveluntarjoajalle tai nimitetään CISO huolehtimaan tehtävistä.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Varmistetaan, että henkilö on suoraan vastuussa yhteisön johtajalle.
• Varmistetaan, että ehdokas täyttää kelpoisuusvaatimukset: moitteeton maine, ei viimeaikaisia rangaistuksia ja asiaankuuluva kokemus tai sertifiointi.
• Määritellään hänen vastuualueensa kyberturvallisuusriskien hallintatoimenpiteiden ja vaatimustenmukaisuuden osalta.
• Vaihtoehtoisesti tehtävä voidaan yhdistää tietoturvavastaavan tehtävään tai ulkoistaa.

Organisaatio tekee tietoturva-auditointeja kansallisen kyberturvallisuuskeskuksen menettelyjen mukaisesti.

• Tietoturva-auditointi on suoritettava vähintään joka kolmas vuosi.
• Tarkastuksissa on noudatettava kansallisen kyberturvallisuuskeskuksen hyväksymiä menetelmiä.
• Auditoijalla on oltava kansallisen kyberturvallisuuskeskuksen menettelyjen mukainen sertifiointi, koulutus ja pätevyys.
• Tarkastajan on täytettävä kansallisen kyberturvallisuuskeskuksen riippumattomuutta, puolueettomuutta ja mainetta koskevat vaatimukset. Auditoijat eivät voi arvioida työnantajansa hallinnoimia verkkoja tai järjestelmiä.

Kansallinen kyberturvallisuuskeskus asentaa ja hallinnoi teknisiä kyberturvallisuustoimenpiteitä kyberuhkien ja -välikohtausten seuraamiseksi ja käsittelemiseksi. important-luokitellut organisaatiot voivat pyytää ja essential-luokiteltujen on mahdollistettava näiden toimenpiteiden toteuttamista ja hallinnointia järjestelmissään. Puolustusministeriö määrittelee menettelyt ja hyväksyy asennussuunnitelman, jossa määritellään toimenpiteet ja käsiteltävät tiedot. Kansallinen kyberturvallisuuskeskus kattaa näiden tietoturvatoimenpiteiden asennus-, ylläpito- ja korjauskustannukset.

Valtiollisten ja kunnallisten organisaatioiden tai muiden turvallisten verkkojen luettelossa lueteltujen laitosten on säilytettävä valtion tietovarantoja valtion palvelinkeskuksissa tai Liettuassa, EU:n, ETA:n tai Naton jäsenvaltioissa sijaitsevissa palvelinkeskuksissa. Valtion tietovarantojen tallennuskustannukset rahoitetaan laitoksille myönnetyistä valtionvaroista.

Valtiollisten ja kunnallisten organisaatioiden tai muiden laitosten, jotka käsittelevät valtion tietoja tai täyttävät kriteerit, on käytettävä sähköisessä viestinnässä puolustusministeriön valvomaa turvallista valtion tiedonsiirtoverkkoa ja oltava yhteydessä julkisiin verkkoihin ainoastaan sen kautta, lukuun ottamatta hallituksen määrittelemiä poikkeuksia.

Turvallisen verkon käytön ehdot:

• Ainoastaan hallituksen hyväksymässä käyttäjäluettelossa olevat organisaatiot saavat käyttää suojattua verkkoa.
• Laitosten on noudatettava hallituksen vahvistamia suunnitelmia ja aikatauluja liittyessään suojattuun verkkoon tai irrottautuessaan siitä.
• Sisältää tiedonsiirron, julkisen verkon käytön, kollektiivisen kyberturvallisuuden ja vuorovaikutuksen EU:n ja Naton resurssien kanssa, ja se on maksuton ja valtion rahoittama.
• Tarjotaan käyttäjäkohtaisilla tasoilla todelliset kustannukset kattavaa maksua vastaan, jonka auditoijat tarkistavat vuosittain.

Kansalliset kyberturvallisuusviranomaiset ylläpitävät Kyberturvallisuuden tietojärjestelmää, jonka avulla hallitaan velvollisia organisaatioita, vaaratilanteita ja riskinhallintatoimenpiteitä koskevia tietoja. Kyberturvallisuustietojärjestelmää koskevissa säännöksissä määriteltyihin vaatimuksiin perustuvan organisaation on rekisteröidyttävä tähän järjestelmään, ja sillä on oikeus tulla toimittamiensa tietojen käyttäjäksi.

Keskeisiä vaatimuksia ovat mm:

• Rekisteröityminen järjestelmän käyttäjäksi ja keskinäisten tiedonjakosopimusten toteuttaminen, myös ajantasaisten tietojen ylläpitäminen.
• Ilmoittaa kansalliselle kyberturvallisuuskeskukselle keskinäisistä sopimuksista tai irtisanomisista 20 työpäivän kuluessa.
• Ilmoittamaan kyberuhkatilanteista, läheltä piti -tilanteista ja uhkista kyberturvallisuustietojärjestelmään.
• Varmistetaan kansallisten kyberturvallisuuslakien noudattaminen ja vältetään operatiiviset riskit.

Kyberturvallisuuden tietojärjestelmän käytön hyödyt organisaatiolle:

• Pääsy ja käyttö kyberturvallisuustietojärjestelmän tietoihin, jotka liittyvät organisaation hallinnoituun verkkoon ja järjestelmiin
• Yhteistyö kansallisen kyberturvallisuuskeskuksen ja laitosten kanssa äärimmäisissä kyberuhkatilanteissa
• Saada reaaliaikaista tietoa vaaratilanteiden hallinnan ja varautumisen parantamiseksi.
• Vahvistaa organisaation riskienhallintaa järjestelmän tarjoamien työkalujen, palvelujen ja tietojen avulla.

Organisaation on ilmoitettava toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa, tietoturvapäällikön nimittämisestä. Ilmoituksessa on mainittava tietoturvapäällikön nimi, sukunimi, henkilötunnus, asema, sähköpostiosoite ja puhelinnumero. Organisaation on ilmoitettava kaikista muutoksista toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa.

Organisaation tietoturvanhallinnasta vastaa organisaation johto ja se varmistetaan. Kunkin yksikön johtaja määrittää vastuuhenkilön, joka toteuttaa ja valvoo kyberturvallisuustoimenpiteiden toteuttamista kyseisessä yksikössä. Valtioneuvosto määrittelee tietoturvapäällikölle asetettavat vaatimukset.

Tietoturvapäällikkö huolehtii seuraavista tehtävistä:

• Järjestää toimielimen tieto- ja viestintätekniikan infrastruktuurin turvatoimet.
• Suorittaa vähintään kerran vuodessa tieto- ja viestintätekniikan turvallisuustarkastus ja järjestää sen tulosten perusteella havaittujen puutteiden poistaminen.
• Osallistuu vähintään kerran vuodessa verkkoturvallisuuskoulutukseen, jonka järjestää verkkovahinkojen torjuntalaitos.
• Vähintään kerran vuodessa varmistaa, että laitoksen työntekijät saavat tiedotuksen aiheen ajankohtaisista kyberriskeistä ja kyberturvallisuudesta.