Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.

Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.

Tämän määräyksen(MÄÄRÄYS 3/2024) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto

Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:

Sisäiset raportointitavoitteet:

• Johdolle päätöksentekoa tukevat raportit
• Raportoinnin tarkkuus ja yksityiskohdat ei taloudellisiin raportteihin liittyen

Vaatimuksien täyttötavoitteet:

• Lakien ja asetusten täyttyminen
• Alatavoitteiden asettaminen, jotta turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden kriteerit tukevat riittävää raportointia, organisaation toimintaa ja vaatimuksenmukaisuuden täyttymistä

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Organisaatio on ottanut käyttöön menettelyt sisäisten tarkastusten suorittamiseksi. Menettelyissä on kuvattava ainakin seuraavat seikat:

• kuinka usein auditointeja tehdään
• kuka voi suorittaa auditointeja (mukaan lukien auditointikriteerit).
• miten varsinainen auditointi suoritetaan
• miten auditoinnin tulokset dokumentoidaan ja kenelle niistä raportoidaan.
• tuloksista on ilmoitettava toimivaltaiselle viranomaiselle, jos sitä säännellään lainsäädännöllä.

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

• ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
• ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
• niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
• ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

• onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
• onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
• onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.

Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Tietoturvariskejä koskeva dokumentaatio on tarkistettava säännöllisesti tai jos ympäristössä on tapahtunut muutoksia tai muita tapahtumia, kuten haavoittuvuuksien paljastuminen. Tarkistukseen on sisällyttävä seuraavat seikat:

• Varmistetaan, että tietoturvariskianalyysi ja riskien käsittelyä koskeva dokumentaatio on ajantasainen ja kattava.
• tarvittaessa tietoturvariskien uudelleenarviointi.

Riskinarviointi ja sen menetelmät dokumentoidaan ja päivitetään säännöllisesti. Dokumentaatio sisältää ainakin seuraavat tiedot:

• kuvaus tunnistetuista uhkista, haavoittuvuuksista ja riskeistä.
• riskien arviointi
• valitut menetelmät
• ehdotetut riskinhallintatoimet ja niiden toteuttaminen
• Riskinarvioinnin ja riskinhallintatoimien toteuttamisesta vastaavat henkilöt.

Organisaatiolla on käytössä prosessi, jolla se toimittaa markkinavalvontaviranomaiselle tarvittavat tiedot ja asiakirjat viranomaisen helposti ymmärtämässä muodossa osoittaakseen, että tuote on olennaisten kyberturvallisuusvaatimusten mukainen (liite 1). Organisaatio tekee myös yhteistyötä viranomaisen kanssa toimenpiteistä, joita on toteutettu tuotteiden aiheuttamien kyberriskien poistamiseksi.

Valmistajien on nimettävä yksi yhteyspiste, jonka kautta käyttäjät voivat olla yhteydessä valmistajaan haavoittuvuuksista ilmoittamisen helpottamiseksi. Yhteyshenkilön on oltava käyttäjien helposti tunnistettavissa, ja sen yhteystiedot on sisällytettävä käyttäjäasiakirjoihin.

Organisaatio ylläpitää koordinoitua haavoittuvuuksien ilmoituspolitiikkaa, jossa kuvataan menettelyt ja odotukset sen tuotteissa havaittujen haavoittuvuuksien raportoinnille, erityisesti tuotteissa, joissa on digitaalisia elementtejä. Haavoittuvuuksien ilmoittamiskäytännössä olisi kuvattava menettely haavoittuvuuksien ilmoittamisen koordinoimiseksi ja niiden korjaamiseksi. Politiikassa olisi myös selitettävä, miten toimitaan, jos organisaatio ei halua jakaa tietoa haavoittuvuuksista, ja syyt tietojen jakamatta jättämiseen olisi dokumentoitava.

Jos organisaatio käyttää tekoälyjärjestelmiä, sen tulee varmistaa, että tekoälyyn liittyvät kyberturvallisuusvaatimukset otetaan huomioon ja niitä noudatetaan. Tähän sisältyy sen varmistaminen, että tekoälyjärjestelmiä ei käytetä tavalla, joka voi aiheuttaa tarpeettoman tietoturvariskin.

Tietoturvallisuuden muutoksenhallintamenettelyt on sisällytettävä nykyisiin prosessiturvallisuuden hallintamenettelyihin.

Jotta tietoturvavaatimukset voidaan täyttää jatkuvasti, organisaation on määriteltävä seuraukset niille, jotka eivät noudata vaatimuksia.

Organisaation tulisi kuvata selkeästi seuraavat:

• mikä on tietoturvan hallintajärjestelmän noudattamatta jättäminen
• mitkä ovat siihen liittyvät rangaistustoimenpiteet ja miten menetellään
• tutkitaan teon syyt, seuraukset ja tahallisuus

Tietoturvapolitiikkaan ja -menettelyihin on sisällyttävä vaatimustenmukaisuutta koskevat vaatimukset.

Organisaation on dokumentoitava tietoturvan hallintajärjestelmä ja organisaation toimintamalli niiden täyttämiseksi.

Dokumentoinnissa on myös kuvattava organisaation politiikka lakien, asetusten, standardien ja sopimusvelvoitteiden noudattamisen osalta.

Organisaatiolla on oltava politiikat ja menettelyt, joissa käsitellään sekä fyysistä että tietoturvallisuutta koskevia näkökohtia omaisuuden suojaamiseksi. Niitä käsitellään tarkemmin erillisissä tehtävissä.

Organisaation on laadittava luettelo laukaisevista tekijöistä, jotka johtavat tietoturvallisuuden hallintajärjestelmän tarkistamiseen.

Laukaiseviin tekijöihin olisi sisällyttävä ainakin seuraavat:

• vakavat tietoturvaloukkaukset,
• muutokset organisaation tietoturvallisuuden hallintajärjestelmän kannalta merkityksellisissä oikeudellisissa, sääntelyyn liittyvissä tai muissa vaatimuksissa,
• merkittävät muutokset riskitasoissa,
• merkittävät muutokset tietoturvallisuuden hallintajärjestelmässä.

Organisaation on määriteltävä kullekin laukaisevalle tekijälle kynnysarvot, jotka osoittavat uudelleentarkastelun tarpeen.

Kynnysarvojen on vastattava organisaation riskinsietokykyä.

Organisaatio tarkastelee säännöllisesti (esim. vuosittain) tietoturvallisuuden hallintajärjestelmiin liittyviä alan parhaita käytäntöjä (esim. ISO 27001, NIST Cyber Security Framework) ja muita asiaan liittyviä tietoturvallisuuden hallinnan parhaita käytäntöjä (esim. OWASP, SANS) arvioidakseen niiden merkitystä organisaatiolle ja varmistaakseen vahvistettujen tietoturvapolitiikoiden jatkuvan asianmukaisuuden.

Organisaation olisi otettava huomioon toimiala, jolla se toimii, valitessaan parasta käytäntöä.

Vastuu tiettyjen järjestelmien tarkastamisesta on määriteltävä organisaatiossa. Vastuu voi olla sisäisillä tai ulkoisilla tarkastajilla tai molemmilla. Tarkastuksesta vastaavalla henkilöllä on oltava tarvittava pätevyys ja riittävä riippumattomuus tehtävän suorittamiseksi. Jos auditoinnin suorittavat ulkopuoliset auditoijat, vastuu heidän pätevyytensä varmistamisesta on auditoinnin tilaavalla organisaatiolla.

Organisaation on tarkistettava tietoturvapolitiikkansa ja -menettelynsä vähintään vuosittain ja päivitettävä ne tarvittaessa, jotta ne pysyvät ajan tasalla.

Uudelleentarkastelussa olisi arvioitava kriittisesti politiikan tai menettelyjen yleistä tehokkuutta ja sitä, pystytäänkö niillä edelleen vastaamaan tunnistettuihin riskeihin. Tarkistusprosessi ja tarvittavat muutokset olisi dokumentoitava.

Organisaation on suoritettava kattava liiketoimintavaikutusten analyysi (BIA) liiketoimintaprosessien, niitä tukevien tieto- ja viestintäteknisten järjestelmien, palveluiden ja omaisuuden kriittisyyden ja keskinäisten riippuvuuksien tunnistamiseksi ja arvioimiseksi sekä tieto- ja viestintäteknisten vaste- ja toipumissuunnitelmien kehittämisen ja validoinnin tukemiseksi.

BIA:n on:

• Tunnistettava ja luokiteltava kriittiset ja tärkeät toiminnot
• Määriteltävä suurimmat sallitut käyttökatkokset (MTD) sekä toipumisaikatavoitteet (RTO) ja toipumispistetavoitteet (RPO)
• Arvioitava tieto- ja viestintäteknisten palveluiden häiriöiden toiminnalliset, taloudelliset, oikeudelliset ja maineeseen liittyvät vaikutukset
• Kartoitettava riippuvuudet tieto- ja viestintäteknisistä järjestelmistä, tiedoista, infrastruktuurista ja kolmansien osapuolten palveluista
• Tarkistettava ja päivitettävä säännöllisesti (esim. vuosittain tai merkittävien muutosten jälkeen)

Integrointi tieto- ja viestintätekniseen toipumissuunnitteluun:

BIA:n tulosten on suoraan johdettava tieto- ja viestintäteknisten vaste- ja toipumissuunnitelmien rakennetta ja painopisteitä.

Elvytyssuunnitelmissa on otettava huomioon:

• Mitkä järjestelmät/palvelut vaativat nopeimman toipumisen
• Palautusjärjestys
• Hyväksyttävät tietojen menetyksen ja käyttökatkosten raja-arvot
• Suunnitelmien testauksen on perustuttava uskottaviin häiriöskenaarioihin, jotka kohdistuvat BIA:ssa yksilöityihin vaikutuksiltaan suuriin järjestelmiin/toimintoihin
• Elvytyssuunnitelmia on arvioitava suhteessa BIA:n odotuksiin häiriötilanneharjoitusten aikana ja päivitettävä sen mukaisesti

Organisaation on luotava ja ylläpidettävä omaisuudenhallintapolitiikka, joka kattaa vähintään seuraavat asiat:

• vaatimukset tieto- ja viestintäteknisten järjestelmien turvalliseen asennukseen, ylläpitoon, konfigurointiin ja poistamiseen
• vaatimukset tieto- ja viestintäteknisen omaisuuden hyödyntämien tieto-omaisuuserien hallintaan, mukaan lukien niiden käsittely ja jalostus sekä automaattisesti että manuaalisesti
• vaatimukset vanhojen ICT-järjestelmien tunnistamiseen ja hallintaan

Organisaation on luotava ja ylläpidettävä fyysistä ja ympäristön turvallisuutta koskeva politiikka. Politiikan tulee sisältää vähintään seuraavat asiat:

• viittaus politiikan osioon, joka käsittelee pääsynhallinnan valvontaa
• toimenpiteet hyökkäyksiltä, onnettomuuksilta sekä ympäristöuhkilta ja -vaaroilta suojautumiseksi
• yksilöidyt tilat, tietokeskukset ja arkaluonteiset nimetyt alueet
• toimenpiteet tieto- ja viestintäteknisten omaisuuserien suojaamiseksi sekä tiloissa että niiden ulkopuolella
• toimenpiteet tieto- ja viestintäteknisen omaisuuden, tieto-omaisuuden ja fyysisten kulunvalvontalaitteiden saatavuuden, aitouden, eheyden ja luottamuksellisuuden varmistamiseksi
• toimenpiteet tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämiseksi, mukaan lukien

Organisaation on laadittava ja ylläpidettävä raportti tieto- ja viestintäteknisten riskienhallintakehyksen tarkistamisesta. Se sisältää:

• Johdanto
• raportin hyväksymispäivämäärä
• kuvaus tarkistamisen syystä
• tarkistusjakson alkamispäivämäärä ja päättymispäivämäärä
• tarkistuksesta vastaavan toiminnon ilmoitus
• kuvaus tieto- ja viestintäteknisten riskienhallintakehykseen tehdyistä merkittävistä muutoksista ja parannuksista
• yhteenveto tarkistuksen havainnoista sekä yksityiskohtainen analyysi ja arvio heikkouksien, puutteiden ja aukkojen vakavuudesta
• kuvaus toimenpiteistä havaittujen heikkouksien, puutteiden ja aukkojen korjaamiseksi
• tiedot suunnitelluista jatkotoimista
• tarkistuksen perusteella tehdyt johtopäätökset
• tiedot aiemmista tarkistuksista
• raportin valmistelussa käytetyt tietolähteet, mukaan lukien kaikki seuraavat

Täydellinen luettelo artiklan vaatimuksista.

Organisaation on laadittava ja ylläpidettävä kattava tieto- ja viestintäteknologia (TVT) -projektinhallintapolitiikka, jossa määritellään puitteet TVT-projektien käynnistämiselle, hallinnoinnille ja käyttöönotolle katetussa yksikössä. Politiikkaan on sisällyttävä seuraavat osatekijät:

• TVT-projektin tavoitteet
• TVT-projektin hallinto, mukaan lukien roolit ja vastuut
• TVT-projektin suunnittelu, aikataulu ja vaiheet
• TVT-projektin riskinarviointi
• asiaankuuluvat välitavoitteet
• muutoksenhallinnan vaatimukset
• kaikkien vaatimusten, myös tietoturvavaatimusten, testaaminen ja hyväksymisprosessi, kun TVT-järjestelmä otetaan käyttöön tuotantoympäristössä

Organisaation on varmistettava, että tieto- ja viestintätekniikan tietoturvapolitiikat:

• ovat linjassa organisaation turvallisuustavoitteiden kanssa, jotka sisältyvät digitaalisen toiminnan häiriönsietokykyä koskevaan strategiaan.
• Ilmoitetaan päivämäärä, jolloin johtoelin on hyväksynyt ne.

Politiikkojen olisi sisällettävä:

• Indikaattorit ja toimenpiteet täytäntöönpanon seurantaa varten (menettelyt, protokolla ja työkalut).
• kirjaus täytäntöönpanon poikkeuksista
• Miten digitaalinen toimintavarmuus varmistetaan poikkeustapauksissa.

Politiikoiden olisi myös sisällettävä seuraavat seikat:

• Määriteltävä henkilöstön vastuu kaikilla tasoilla tieto- ja viestintätekniikan turvallisuuden osalta.
• Määritellään seuraukset, joita aiheutuu, jos henkilöstö ei noudata sääntöjä.
• Luettelo asiaan liittyvistä asiakirjoista, joita on säilytettävä.
• määriteltävä tehtävien erottelu eturistiriitojen välttämiseksi.
• Otetaan huomioon johtajien käytännöt ja standardit soveltuvin osin.
• määritetään roolit ja vastuut politiikoiden, menettelyjen, pöytäkirjojen ja välineiden kehittämisessä, täytäntöönpanossa ja ylläpidossa.
• Tarkistetaan asetuksen (EU) 2022/2554 6 artiklan 5 kohdan mukaisesti.
• Otetaan huomioon organisaatiossa tapahtuneet olennaiset muutokset, jotka voivat vaikuttaa politiikoihin.

Organisaation on otettava huomioon seuraavat seikat luodessaan ja soveltaessaan tieto- ja viestintätekniikan turvallisuuspolitiikkoja, -menettelyjä ja riskienhallintatyökaluja: organisaation koko, riskitaso ja monimutkaisuus. Erityisesti on otettava huomioon:

• salauksen ja kryptografian käyttö
• ICT-toimintojen turvatoimenpiteet
• verkkoturvallisuus
• ICT-projektien ja muutosten hallintaprosessit
• Miten ICT-riskit voivat vaikuttaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen.

Organisaation olisi otettava käyttöön asianmukaiset hallinnolliset, tekniset ja fyysiset suojatoimet, jotka on suunniteltu suojaamaan suojattujen terveystietojen (PHI) yksityisyyttä, ja varmistettava, että nämä toimenpiteet estävät aktiivisesti yksityisyyden suojaa koskevien säännösten rikkomisen ja rajoittavat tehokkaasti satunnaisia luovutuksia.

Organisaation olisi nimitettävä tietoturvavastaava, joka vastaa HIPAA:ssa määriteltyjen politiikoiden ja menettelyjen kehittämisestä ja täytäntöönpanosta sekä suojattujen terveystietojen (PHI) turvatoimista.

Organisaation on suoritettava säännöllisesti teknisiä ja ei-teknisiä arviointeja sekä auditointeja, jotka perustuvat aluksi toteutettuihin standardeihin ja myöhemmin ympäristö- tai toimintaympäristön muutoksiin, sen määrittämiseksi, täyttävätkö sen tietoturvapolitiikat ja -menettelyt suojattuja terveystietoja koskevat vaatimukset ja ovatko ne HIPAA:n mukaisia.

Organisaation olisi kehitettävä, toteutettava ja jatkuvasti ylläpidettävä kattavaa tietoturvaohjelmaa, joka määrittää hallinnolliset, fyysiset ja tekniset suojatoimet kaikkien sähköisten suojattujen terveystietojen (PHI) luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi, suojataan aktiivisesti kohtuullisesti ennakoitavissa olevilta uhkilta sekä kielletyiltä luovutuksilta, ja varmistetaan, että henkilöstö noudattaa jatkuvasti kaikkia tietoturvakäytäntöjä.

Organisaation on varmistettava, ettei se voi pelotella, uhkailla tai rangaista ketään, joka käyttää HIPAA-oikeuksiaan tai tekee valituksen. Tämä suojaa ihmisiä, jotta he voivat turvallisesti käyttää oikeuksiaan ilman pelkoa. Organisaation on kohdeltava kaikkia oikeudenmukaisesti eikä se saa ryhtyä kielteisiin toimiin ketään kohtaan vain siksi, että tämä puolustaa yksityisyyden suojaa koskevia oikeuksiaan.

Organisaation on varmistettava, ettei se voi vaatia henkilöitä luopumaan HIPAA-oikeuksistaan ehtona hoidon saamiselle, maksujen suorittamiselle, terveydenhuoltosuunnitelmaan liittymiselle tai etuuksien saamiselle. Toisin sanoen ihmisiä ei saa pakottaa luopumaan yksityisyydensuojaa koskevista oikeuksistaan saadakseen terveydenhuoltopalveluja tai vakuutuksen.

Organisaation on kehitettävä ja pantava täytäntöön kirjalliset politiikat ja menettelyt, joilla varmistetaan HIPAA-standardien noudattaminen suojattujen terveystietojen (PHI) suojaamisessa. Nämä käytännöt on suunniteltava kohtuullisesti organisaation koon ja sen PHI-tietoihin liittyvien toimintojen luonteen perusteella. Tavoitteena on varmistaa, että kaikki käytännöt ovat HIPAA-vaatimusten mukaisia, mukaan lukien mahdolliset standardit, täytäntöönpanomäärittelyt ja muut oikeudelliset velvoitteet. Tämä vaatimus ei salli toimia, jotka rikkovat muita HIPAA-säännöksiä.

Covered entities are required to develop and implement written policies and procedures that ensure compliance with HIPAA standards for protecting Protected Health Information (PHI). These policies must be reasonably designed based on the size of the organization and the nature of its PHI-related activities. The goal is to ensure that all practices align with HIPAA requirements, including any standards, implementation specifications, and other legal obligations.

The organization shall appoint a qualified auditor for the verification of its cybersecurity risk management measures. The auditor shall meet the necessary qualification requirements as defined by the relevant regulations.

To be considered qualified, the auditor must provide documented evidence of one or more of the following:

For essential entities, the auditor must meet all three requirements.

The organization shall ensure that the auditor's appointment is approved by the CIP Department or, where applicable, the designated competent authority. The appointment can only be made after the auditor has submitted a motivated request and supporting documents to the approving authority and official approval has been granted.

The audit shall confirm that the organization's cybersecurity risk management measures comply with the applicable legal, regulatory, and technical standards.

Organizations are required to assign responsibility for information security to a specific person, a dedicated team, or a committee. This designated individual or group will serve as the main point of contact and will handle all technical communication and coordination with supervisory authorities and the national Computer Security Incident Response Teams (CSIRTs).

If the responsibility is given to a team or committee rather than a single person, it is necessary to appoint one individual as the official representative. Additionally, a backup person should be assigned to take over these duties whenever the primary representative is unavailable due to absence, vacancy, or illness. This ensures that there is always someone accountable and able to respond promptly to security matters.

The organization must inform the relevant supervisory authorities when they appoint an Information Security Officer. This notification must be made within three months after the appointment is made. If there are any later changes, such as a new appointment or the termination (resignation, dismissal, etc.) of the current Information Security Officer, these changes must be reported within one month of when they happen.

The organization shall ensure that the information security officer has the necessary resources (e.g., budget, personnel, tools, time) to effectively carry out their duties. The officer's position within the organization should facilitate their work, ensuring appropriate participation in all relevant security matters. Furthermore, a direct and effective communication channel with the board of directors or top management should be established and maintained to ensure strategic alignment and oversight of cyber security. The information security officer should also operate with due independence from those responsible for the technical implementation and management of networks and information systems, avoiding conflicts of interest.

Essential or important organizations must apply cybersecurity measures to all systems and equipment they use to deliver their services or run their operations. These applied security measures must be documented in a file called the “Statement of Applicability of Systems.” This document should: List which systems are in use Explain which security measures apply to each system Be signed by the Information Security Officer, who is responsible for overseeing cybersecurity in the organization This document must be sent to the appropriate supervisory authority within six months after the organization is officially classified as an essential or important entity.

Essential and important organizations must prove that they are meeting the cybersecurity requirements described in this article. Essential entities (such as critical infrastructure providers) must show compliance by getting a certified approval from an authorized body — and they must keep this certification up to date. Important entities have two options: they can either get the same official certification or they can carry out a self-assessment to evaluate their own cybersecurity practices. If any essential or important organization is specifically covered by Royal Decree 311/2022 (dated May 3), then they must follow the rules in that decree for getting certified according to the National Security Scheme (ENS). The National Cybersecurity Center will define how this certification process should work. It will ensure the process is: -Necessary -Proportionate -Efficient Finally, the certification process will be designed so that it proves the organization follows both national cybersecurity rules and relevant international standards, based on the level required.

The organization must formally adopt, document, and implement a comprehensive set of security measures based on the findings from its continuous monitoring process. There must be a clear procedure for translating the requirements from external standards and good practices into the organization's internal security policies, procedures, and technical controls.

All cybersecurity measures must be selected and implemented based on the results of the organization's risk analysis. There must be a clear, documented link between each identified risk and the corresponding measure(s) chosen to mitigate it, ensuring the measures are appropriate and proportionate. This process should be documented in a Statement of Applicability (SoA) or a similar risk treatment plan. This document justifies the inclusion of specific controls and provides a rationale for any controls that are deemed not applicable.

The organization should establish a documented process to create a comprehensive Security Plan within one year of being designated as a critical infrastructure.

This process must also ensure that all internal security measures specified in the plan are fully implemented within the same one-year timeframe.

A project plan should be created to manage the development and implementation, including key milestones and responsibilities to meet the deadline.

The organization, as a critical infrastructure operator, should designate a security contact point.

The security contact point acts as a central liaison for all security and infrastructure protection matters with these authorities. It is crucial that the security contact point is available at all times to respond to security-related communications and incidents.

If an existing security contact point already fulfills these responsibilities under other national or international provisions, their contact details should be communicated to the sectoral authority accordingly.

The organization, as an operator of critical infrastructure, must develop and maintain a comprehensive Operator Security Plan (O.S.P.). This plan should systematically address the risks of disruption or destruction to the critical infrastructure.

The O.S.P. must detail both organizational and material measures designed to prevent, mitigate, and neutralize identified risks. The plan should be regularly reviewed and updated to reflect changes in the risk landscape, critical infrastructure, or the overall security environment.

The organization must notify the Cybersecurity Authority of any planned cybersecurity audits as required under paragraphs 2 and 3 of the regulation. The notification must be submitted at least one month in advance and must include an audit plan that meets the format and content requirements defined by the Cybersecurity Authority. The purpose of this task is to ensure transparency and allow the authority to oversee upcoming audit activities in line with regulatory expectations.

The organization is required to demonstrate their compliance with cybersecurity risk management obligations. Upon receiving a request from the cybersecurity authority, the organization must submit a self-declaration that lists all implemented risk management measures in accordance with Section 32 of the national cybersecurity law. This declaration must follow a structured format defined by the authority and be submitted within six months of the request. The purpose of the self-declaration is to provide transparency and assurance that the organization has taken appropriate technical, operational, and organizational measures to manage cybersecurity risks.

Operators of critical infrastructure are required to demonstrate to the Federal Office for Information Security (BSI) that they have implemented the necessary cybersecurity measures as outlined in Section 30(1) in connection with Section 31(1) and (2).

• No earlier than three years after the organization is first designated as a critical infrastructure operator
• No later than three years after being designated again (if the status was lost and regained)
• Every three years thereafter

Compliance must be demonstrated through security audits, inspections, or certifications. The results of these assessments, including any identified security weaknesses, must be submitted to the BSI.

The BSI may also request the underlying documentation used in these assessments. If security deficiencies are found, the BSI may require the operator to submit an appropriate remediation plan. In coordination with the relevant supervisory authority, BSI may also demand that the deficiencies be resolved and request suitable evidence confirming that the remediation has been completed.

Organisaation olisi vuosittain suoritettava itsearviointi tietoturvariskien hallinnan kypsyydestä. Arvioinnissa olisi noudatettava kansallisen kyberturvallisuusviranomaisen tai asiaankuuluvien kansallisten säännösten määrittämiä ohjeita ja menetelmiä. Organisaation johdon on tarkasteltava ja hyväksyttävä itsearvioinnin tulokset ennen niiden toimittamista nimetylle viranomaiselle määritellyssä määräajassa.

Organisaation olisi nimettävä turvallisuusvastaava, joka vastaa verkko- ja tietojärjestelmien turvallisuudesta. Tällä vastuuhenkilöllä on oltava johtovalta ja hänen on raportoitava suoraan organisaation ylimmälle johdolle. Objektiivisuuden ja tehokkuuden varmistamiseksi turvallisuusvastaavan on toimittava riippumattomana tietotekniikka- ja operatiivisesta teknologiaosastosta. Lisäksi organisaation olisi varmistettava, että turvallisuusvastaavalla on käytettävissään kaikki tarvittavat resurssit, kuten henkilöstö, budjetti ja tiedot, jotta hän voi tehokkaasti valvoa ja panna täytäntöön tietoturvariskien hallintatoimenpiteitä.

Organisaation olisi määriteltävä prosessi, jolla rekisteröidytään vaadittuihin virallisiin viestintäjärjestelmiin. Prosessin avulla olisi varmistettava, että kaikki tarvittavat tiedot, kuten yrityksen nimi, osoite ja nimetty yhteyshenkilö, annetaan täsmällisesti. Olisi nimettävä vastuullinen henkilö, joka pitää nämä rekisteröintitiedot ajan tasalla ja ilmoittaa viipymättä kaikista muutoksista.

Organisaation olisi luotava prosessi, jonka avulla se toimittaa liittovaltion kyberturvallisuusvirastolle (BACS) kaikki tarvittavat asiakirjat sen määrittämiseksi, kuuluuko se ilmoitusvelvollisuuden piiriin. Prosessissa olisi määriteltävä vastuuhenkilöt, jotka vastaavat asiakirjojen keräämisestä ja toimittamisesta, ja varmistettava, että kaikki viestintä BACS:n kanssa kirjataan asianmukaisesti.

Organisaatiolla olisi oltava vakiintuneet menettelyt ja sisäiset ohjeet, joilla varmistetaan täysipainoinen yhteistyö valvontaviranomaisten kanssa. Tähän kuuluu kaikkien tarvittavien tietojen toimittaminen viipymättä, pääsyn myöntäminen organisaation tiloihin ja laitteisiin, kun se on tarpeen tutkimuksia varten, ja tarvittavan avun tarjoaminen viranomaisen tehtävien helpottamiseksi. Organisaation olisi varmistettava, että näissä menettelyissä otetaan huomioon viranomaisen oikeus saada tietoja ja tutustua niihin, vaikka lakisääteinen salassapitovelvollisuus olisikin olemassa.

The organisation must establish, implement and maintain measures to ensure the integrity of critical national information. This can be achieved through actionable steps, including but not limited to:

• Enforce a least privilege policy
• Use technical controls such as file integrity monitoring (FIM), digital checksums, or digital signatures
• Enable and protect detailed audit logs that securely record all access, modification, and deletion events related to critical national information
• Implement a backup schedule for all critical national information

• identifying the correct external authority or ministry to notify
• preparing and submitting a formal notification that includes the findings of the risk assessment and details about the acquisition, disregarding any duty of confidentiality
• maintaining a record of the notification and all subsequent communications with the authority.

When a previously reported security-sensitive activity is discontinued, this must also be reported to the supervisory authority without delay. The purpose is to ensure that oversight responsibilities are adjusted and that security obligations are no longer applied unnecessarily.

The report should clearly state the date of termination and confirm that all related protective security responsibilities have been concluded or transferred. Documentation of the notification must be retained as proof of compliance.

When an activity that falls under the definition of security-sensitive operations is initiated, this must be reported to the appropriate supervisory authority without delay. This obligation applies regardless of the scale of the activity or the form of the organization.

The notification should include sufficient information to describe the nature of the activity, its connection to national security, and contact details for the responsible security officer. This reporting obligation ensures oversight and legal compliance from the beginning of the operation.

Organisaation olisi nimitettävä turvallisuussuojelupäällikkö, joka vastaa turvallisuussuojelutoimien hallinnoinnista ja koordinoinnista. Vastuuhenkilön asema, vastuualueet ja valtuudet on määriteltävä ja dokumentoitava virallisesti.

Tehtävänkuvauksessa olisi täsmennettävä, että turvallisuussuojeluvastaava:

• johtaa ja koordinoi organisaation turvasuojaustyötä.
• Varmistaa, että toimintaa harjoitetaan turvasuojelulain ja siihen liittyvien säännösten mukaisesti.
• Raportoi suoraan liiketoimintajohtajalle tai, jos sellaista ei ole, organisaation johtokunnalle.

Olisi myös dokumentoitava, että tätä kokonaisvastuuta ei voida siirtää toiselle henkilölle.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Koordinoi sitä, että asianomainen organisaatio noudattaa asiaankuuluvia säännöksiä ja lakeja.
• Varmistaa asianmukaisen huolellisuuden
• Hallinnoi viestintää kansallisen kyberturvallisuusviranomaisen kanssa
• Hänellä on käytettävissään tarvittavat resurssit tehtäviensä hoitamiseksi.

Organisaation on toimitettava raportti tieto- ja viestintätekniikan riskienhallintakehyksen uudelleentarkastelusta hakukelpoisessa sähköisessä muodossa. Sen on sisällettävä:

Johdanto:

Kuvaus rahoitusyksikön toimintaympäristöstä, mukaan lukien:

• Palvelujen, toimintojen ja operaatioiden luonne, laajuus ja monimutkaisuus.
• Organisaatiorakenne ja tunnistetut kriittiset toiminnot.
• Strategia ja tärkeimmät käynnissä olevat hankkeet tai toiminnot.
• Suhteet ja riippuvuus sisäisistä ja ulkoistetuista tieto- ja viestintätekniikkapalveluista.
• Tieto- ja viestintäteknisten järjestelmien täydellisen menetyksen tai vakavan heikkenemisen vaikutukset kriittisiin toimintoihin ja markkinoiden tehokkuuteen.

Johtotason tiivistelmä:

• Yhteenveto tunnistetuista nykyisistä ja lähitulevaisuuden tieto- ja viestintätekniikkariskeistä.
• Keskustelkaa uhkakuvasta ja valvonnan arvioidusta tehokkuudesta.
• Hahmotellaan rahoituslaitoksen tietoturvatilanne.

Raportoitua aluetta koskevat tiedot:

• Anna tarkat tiedot raportin painopisteestä.

Muutokset tieto- ja viestintätekniikan riskienhallintakehyksessä:

• Tiivistä edellisen raportin jälkeen tapahtuneet tärkeimmät muutokset.
• Kuvaile näiden muutosten vaikutusta yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen.

Hyväksymispäivä:

• Mainitse tarvittaessa päivämäärä, jolloin johtoelin hyväksyi raportin.

Tarkistuksen syy:

• Selitä, miksi uudelleentarkasteluun ryhdyttiin, mukaan lukien:
• Mahdolliset valvontaohjeet ja niihin liitetyt todisteet.
• Tieto- ja viestintätekniikkaan liittyvien vaaratilanteiden esiintyminen ja luettelo niistä sekä niiden syy-yhteysanalyysi.

Tarkistusta koskevat tiedot:

• Sisällytä tarkastelujakson alku- ja loppupäivä.
• Ilmoittakaa tarkastelun suorittamisesta vastaava henkilö.
• Yhteenveto ja itsearviointi tieto- ja viestintätekniikan riskinhallintajärjestelmän heikkouksista, puutteista ja puutteista.
• Sisällytä yksityiskohtainen analyysi näistä havainnoista.

Korjaavat toimenpiteet:

• Luettele toimenpiteet, jotka on yksilöity heikkouksien, puutteiden ja puutteiden korjaamiseksi.
• Sisällytä toimenpiteiden täytäntöönpanon odotetut päivämäärät.
• Seuraa aiempien raporttien ratkaisemattomia kysymyksiä.

Arvioinnin päättäminen, mukaan lukien tieto- ja viestintätekniikan riskinhallinnan suunniteltu jatkokehitys.

Organisaation on kehitettävä, dokumentoitava ja otettava käyttöön tieto- ja viestintätekniikan projektinhallintamenettely. Siinä on otettava huomioon:

• se kattaa projektin kaikki vaiheet sen käynnistämisestä sen päättämiseen.
• Tieto- ja viestintätekniikkahankkeiden toteuttamiseen osallistuvien henkilöiden roolit ja vastuut on määriteltävä ja dokumentoitava selkeästi.
• Dokumentoida koko projektinhallintamenettely johdonmukaisuuden ja vastuullisuuden varmistamiseksi.
• Dokumentoitu projektinhallintamenettely toteutetaan johdonmukaisesti kaikissa ICT-projekteissa.
• Seurataan ja tarkastellaan menettelyn tehokkuutta ja tehdään tarvittaessa muutoksia projektin tulosten parantamiseksi.

Organisaation on varmistettava, että sisäinen auditointi on riittävästi erotettu ja riippumaton valvontatoiminnoista.

Yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen sovelletaan sisäistä auditointia organisaation tarkastussuunnitelmien mukaisesti. Tarkastajalla on oltava riittävä pätevyys ja riippumattomuus. Auditointien tiheyden ja laajuuden olisi perustuttava organisaation tieto- ja viestintätekniikkariskiin.

Auditointien tulosten perusteella organisaation on varmistettava, että kriittiset auditointihavainnot tarkastetaan ja korjataan ajoissa.

Organisaatiolla on oltava sisäinen hallinto- ja valvontakehys, jolla varmistetaan tieto- ja viestintätekniikkariskien tehokas hallinta ja saavutetaan korkea digitaalisen toiminnan häiriönsietokyvyn taso.

Johtoelimen on:

• kannettava kokonaisvastuu ja varmistettava, että yksinkertaistettu tieto- ja viestintätekniikan riskienhallintakehys mahdollistaa liiketoimintastrategian saavuttamisen organisaation riskinottohalukkuuden mukaisesti.
• määriteltävä selkeät roolit ja vastuualueet kaikille tieto- ja viestintätekniikkaan liittyville tehtäville.
• asetettava tietoturvatavoitteet ja tieto- ja viestintätekniikkavaatimukset
• hyväksyttävä, valvottava ja säännöllisesti tarkistettava asetuksen 30 artiklan 1 kohdassa tarkoitettu tietovarallisuuden luokittelu.
• hyväksyy, valvoo ja tarkistaa säännöllisesti luettelon tärkeimmistä tunnistetuista riskeistä, niiden vaikutuksista liiketoimintaan ja niihin liittyvistä toimintalinjoista.
• myöntää ja tarkistaa vuosittain budjetin, joka on tarpeen digitaalisen toimintakyvyn saavuttamiseen liittyvien tarpeiden täyttämiseksi. Tässä on otettava huomioon kaikki mahdolliset tarvittavat resurssit.
• Määritellään ja pannaan täytäntöön I, II ja III luvussa mainitut toimintatavat ja toimenpiteet.
• Määritellään ja otetaan käyttöön menettelyt, välineet ja protokollat kaikkien tietojen ja tieto- ja viestintäteknisten resurssien suojaamiseksi.
• Varmistetaan organisaation henkilöstön riittävät tiedot ja taidot ICT-riskien ymmärtämiseksi ja arvioimiseksi.
• vahvistaa raportointijärjestelyt, kuten raportointitiheyden, -muodon ja -sisällön.

Organisaatioiden olisi pyydettäessä tai vapaaehtoisesti tehtävä yhteistyötä keskitetyn yhteyspisteen ja toimivaltaisten CSIRT-ryhmien kanssa, kun tapahtuu merkittävä tapahtuma, jolla on rajatylittäviä ja monialaisia vaikutuksia.

Organisaatioiden olisi suoritettava ulkoinen auditointi vähintään kerran kahdessa vuodessa tai aina kun toimivaltainen viranomainen sitä pyytää sovellettavien lakien ja asetusten mukaisesti.

Auditointeja suorittavat kyberturvallisuustarkastajat, joiden tehtävänä on laatia raportti tarkastuksen havainnoista. Organisaatioiden on syytä huomioida, että joissakin laeissa ja asetuksissa saatetaan vaatia auditoijilta erityisiä sertifikaatteja, esimerkiksi kansallinen kyberturvallisuustarkastuksen turvallisuustodistus, tai auditoinnin on oltava tietyn viranomaisen tekemä.

Organisaatioiden on toimitettava raportti kyberturvallisuusvaatimusten täytäntöönpanosta vastaavalle toimivaltaiselle viranomaiselle välittömästi sen saatuaan, jos lait ja asetukset niin määräävät.

Organisaatioiden johto- ja hallintoelimille on tiedotettava säännöllisesti tai tarvittaessa viipymättä häiriöistä ja ilmoituksista.

Organisaatio nimittää tietoturvavastaavan, joka vastaa tiettyjen verkkojen ja järjestelmien vaatimustenmukaisuudesta.

• Varmistetaan, että ehdokas täyttää samat pätevyysvaatimukset kuin tietoturvapäällikkö.
• Annetaan tietoturvavastaavalle mahdollisuus valvoa tarvittaessa useita järjestelmiä.
• Vaihtoehtoisesti ulkoistetaan tämä tehtävä palveluntarjoajalle tai nimitetään CISO huolehtimaan tehtävistä.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Varmistetaan, että henkilö on suoraan vastuussa yhteisön johtajalle.
• Varmistetaan, että ehdokas täyttää kelpoisuusvaatimukset: moitteeton maine, ei viimeaikaisia rangaistuksia ja asiaankuuluva kokemus tai sertifiointi.
• Määritellään hänen vastuualueensa kyberturvallisuusriskien hallintatoimenpiteiden ja vaatimustenmukaisuuden osalta.
• Vaihtoehtoisesti tehtävä voidaan yhdistää tietoturvavastaavan tehtävään tai ulkoistaa.

Organisaatio tekee tietoturva-auditointeja kansallisen kyberturvallisuuskeskuksen menettelyjen mukaisesti.

• Tietoturva-auditointi on suoritettava vähintään joka kolmas vuosi.
• Tarkastuksissa on noudatettava kansallisen kyberturvallisuuskeskuksen hyväksymiä menetelmiä.
• Auditoijalla on oltava kansallisen kyberturvallisuuskeskuksen menettelyjen mukainen sertifiointi, koulutus ja pätevyys.
• Tarkastajan on täytettävä kansallisen kyberturvallisuuskeskuksen riippumattomuutta, puolueettomuutta ja mainetta koskevat vaatimukset. Auditoijat eivät voi arvioida työnantajansa hallinnoimia verkkoja tai järjestelmiä.

Kansallinen kyberturvallisuuskeskus asentaa ja hallinnoi teknisiä kyberturvallisuustoimenpiteitä kyberuhkien ja -välikohtausten seuraamiseksi ja käsittelemiseksi. important-luokitellut organisaatiot voivat pyytää ja essential-luokiteltujen on mahdollistettava näiden toimenpiteiden toteuttamista ja hallinnointia järjestelmissään. Puolustusministeriö määrittelee menettelyt ja hyväksyy asennussuunnitelman, jossa määritellään toimenpiteet ja käsiteltävät tiedot. Kansallinen kyberturvallisuuskeskus kattaa näiden tietoturvatoimenpiteiden asennus-, ylläpito- ja korjauskustannukset.

Valtiollisten ja kunnallisten organisaatioiden tai muiden turvallisten verkkojen luettelossa lueteltujen laitosten on säilytettävä valtion tietovarantoja valtion palvelinkeskuksissa tai Liettuassa, EU:n, ETA:n tai Naton jäsenvaltioissa sijaitsevissa palvelinkeskuksissa. Valtion tietovarantojen tallennuskustannukset rahoitetaan laitoksille myönnetyistä valtionvaroista.

Valtiollisten ja kunnallisten organisaatioiden tai muiden laitosten, jotka käsittelevät valtion tietoja tai täyttävät kriteerit, on käytettävä sähköisessä viestinnässä puolustusministeriön valvomaa turvallista valtion tiedonsiirtoverkkoa ja oltava yhteydessä julkisiin verkkoihin ainoastaan sen kautta, lukuun ottamatta hallituksen määrittelemiä poikkeuksia.

Turvallisen verkon käytön ehdot:

• Ainoastaan hallituksen hyväksymässä käyttäjäluettelossa olevat organisaatiot saavat käyttää suojattua verkkoa.
• Laitosten on noudatettava hallituksen vahvistamia suunnitelmia ja aikatauluja liittyessään suojattuun verkkoon tai irrottautuessaan siitä.
• Sisältää tiedonsiirron, julkisen verkon käytön, kollektiivisen kyberturvallisuuden ja vuorovaikutuksen EU:n ja Naton resurssien kanssa, ja se on maksuton ja valtion rahoittama.
• Tarjotaan käyttäjäkohtaisilla tasoilla todelliset kustannukset kattavaa maksua vastaan, jonka auditoijat tarkistavat vuosittain.

Kansalliset kyberturvallisuusviranomaiset ylläpitävät Kyberturvallisuuden tietojärjestelmää, jonka avulla hallitaan velvollisia organisaatioita, vaaratilanteita ja riskinhallintatoimenpiteitä koskevia tietoja. Kyberturvallisuustietojärjestelmää koskevissa säännöksissä määriteltyihin vaatimuksiin perustuvan organisaation on rekisteröidyttävä tähän järjestelmään, ja sillä on oikeus tulla toimittamiensa tietojen käyttäjäksi.

Keskeisiä vaatimuksia ovat mm:

• Rekisteröityminen järjestelmän käyttäjäksi ja keskinäisten tiedonjakosopimusten toteuttaminen, myös ajantasaisten tietojen ylläpitäminen.
• Ilmoittaa kansalliselle kyberturvallisuuskeskukselle keskinäisistä sopimuksista tai irtisanomisista 20 työpäivän kuluessa.
• Ilmoittamaan kyberuhkatilanteista, läheltä piti -tilanteista ja uhkista kyberturvallisuustietojärjestelmään.
• Varmistetaan kansallisten kyberturvallisuuslakien noudattaminen ja vältetään operatiiviset riskit.

Kyberturvallisuuden tietojärjestelmän käytön hyödyt organisaatiolle:

• Pääsy ja käyttö kyberturvallisuustietojärjestelmän tietoihin, jotka liittyvät organisaation hallinnoituun verkkoon ja järjestelmiin
• Yhteistyö kansallisen kyberturvallisuuskeskuksen ja laitosten kanssa äärimmäisissä kyberuhkatilanteissa
• Saada reaaliaikaista tietoa vaaratilanteiden hallinnan ja varautumisen parantamiseksi.
• Vahvistaa organisaation riskienhallintaa järjestelmän tarjoamien työkalujen, palvelujen ja tietojen avulla.

Organisaation on ilmoitettava toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa, tietoturvapäällikön nimittämisestä. Ilmoituksessa on mainittava tietoturvapäällikön nimi, sukunimi, henkilötunnus, asema, sähköpostiosoite ja puhelinnumero. Organisaation on ilmoitettava kaikista muutoksista toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa.

Organisaation tietoturvanhallinnasta vastaa organisaation johto ja se varmistetaan. Kunkin yksikön johtaja määrittää vastuuhenkilön, joka toteuttaa ja valvoo kyberturvallisuustoimenpiteiden toteuttamista kyseisessä yksikössä. Valtioneuvosto määrittelee tietoturvapäällikölle asetettavat vaatimukset.

Tietoturvapäällikkö huolehtii seuraavista tehtävistä:

• Järjestää toimielimen tieto- ja viestintätekniikan infrastruktuurin turvatoimet.
• Suorittaa vähintään kerran vuodessa tieto- ja viestintätekniikan turvallisuustarkastus ja järjestää sen tulosten perusteella havaittujen puutteiden poistaminen.
• Osallistuu vähintään kerran vuodessa verkkoturvallisuuskoulutukseen, jonka järjestää verkkovahinkojen torjuntalaitos.
• Vähintään kerran vuodessa varmistaa, että laitoksen työntekijät saavat tiedotuksen aiheen ajankohtaisista kyberriskeistä ja kyberturvallisuudesta.

Organisaation vaatimustenmukaisuus varmistetaan läpäisemällä pakollinen säännöllinen vaatimustenmukaisuuden arviointi. Arvioinnin suorittamiseksi organisaatio voi valita kolmesta vaihtoehdosta:

• CyberFundamentals (CyFun®) -sertifiointi (taso essential) tai todentaminen (taso important tai basic) asiaankuuluvalla laajuudella, jonka myöntää CCB:n hyväksymä vaatimustenmukaisuuden arviointilaitos (CAB) BELACin akkreditoinnin jälkeen.
• ISO/IEC 27001 -sertifikaatti, jolla on asianmukainen soveltamisala ja jonka on myöntänyt akkreditointielin, joka on allekirjoittanut ISO 27001 -standardia koskevan vastavuoroista tunnustamista koskevan sopimuksen (MLA) eurooppalaisen akkreditointiyhteistyön (EA) tai kansainvälisen akkreditointifoorumin (IAF) puitteissa.
• CCB:n tarkastusyksikön (tai alakohtaisen tarkastusyksikön) tekemä tarkastus.

Vaatimustenmukaisuuden arviointilausunto, jonka organisaatio saa valitsemiensa puitteiden vaatimustenmukaisuuden arvioinnin jälkeen, antaa sille mahdollisuuden hyötyä vaatimustenmukaisuusolettamasta. Kunnes toisin todistetaan, sen oletetaan noudattaneen velvoitteitaan.

Riippuvuudet ulkoisista palveluista saattavat vaikuttaa organisaation riskienhallintaan ja kriittisiin valmiuksiin. Organisaation on tunnistettava ja ylläpidettävä luetteloa organisaation ulkoisista riippuvuuksista, mukaan lukien toimitilat, pilvipalvelujen tarjoajat ja mahdolliset kolmannen osapuolen palvelut.

Dokumentaation tulisi myös sisältää:

• Riippuvuuksien ja organisaation keskeisten omaisuuserien ja liiketoimintojen väliset suhteet
• Riippuvuudet, jotka muodostavat mahdollisia vikapisteitä kriittisille palveluille.

Varmistetaan, että asiaankuuluvalle henkilöstölle tiedotetaan näistä riippuvuuksista ja niihin liittyvistä riskeistä.

Organisaatio määrittelee strategiset lähestymistavat riskeihin vastaamiseksi riskityyppien sekä organisaation riskinsietokyvyn ja -alttiuden perusteella. Näihin strategioihin voi kuulua esimerkiksi

• Määritellään kriteerit kyberturvallisuusriskien hyväksymiselle tai välttämiselle eri tietoluokitusten osalta.
• Määritetään kyberturvavakuutuksen tarve organisaation riskinsietokyvyn ja altistumisen perusteella.
• Dokumentoidaan ehdot, joiden mukaisesti jaetun vastuun mallit (esim. kyberturvallisuuden ulkoistaminen, kolmannen osapuolen liiketoimet tai julkiset pilvipalvelut) ovat organisaation kannalta hyväksyttäviä.

Tunnista ja dokumentoi organisaation strategia ja prioriteetit, joilla voi olla vaikutusta tietojärjestelmien turvallisuuteen.

On tärkeää huomata, että tämä dokumentaatio olisi tarkistettava aina, kun organisaation strategia ja prioriteetit muuttuvat.

Organisaatio kehittää ja toteuttaa kriisitoimintastrategian, jolla suojellaan organisaatiota kriisin kielteisiltä seurauksilta ja maineen vahingoittumiselta. Strategian olisi sisällettävä ennalta määriteltyjä toimia, joilla hallitaan julkista kuvaa ja narratiivia sekä lievennetään kriisin vaikutusta organisaatioon.

Organisaation on määriteltävä, mitä työaloja ja tiettyjä työtehtäviä pidetään arkaluonteisina (esim. käsiteltyjen tietojen ja työntekijän käyttöoikeuksien perusteella).

&Arkaluonteiset työalat riippuvat organisaation toiminnan luonteesta, mutta niihin voi kuulua esimerkiksi tietoturva, tietotekniikka ja järjestelmähallinto, taloushallinto, henkilöstöhallinto, lakiasiainhallinto, tutkimus ja kehitys, asiakastuki, analytiikka, johto ja monet muut.

Organisaation olisi määriteltävä ja dokumentoitava tietoturvarakenne, jossa määritellään selkeät roolit, vastuualueet ja raportointilinjat. Tähän rakenteeseen on kuuluttava tietoturvahenkilöstön lisäksi myös muita asiaankuuluvia turvallisuusrooleja (esim. fyysinen turvallisuus, turvallisuus, vaatimustenmukaisuus), jotta varmistetaan koordinoitu riskienhallinta.

Johdon johdolla olisi perustettava tai nimettävä virallinen organisaatio, rakenne tai sidosryhmien verkosto, joka huolehtii tietoturvaan liittyvien toimien strategisesta ohjauksesta, valvonnasta ja vastuullisuudesta. Tämä johtajuuteen perustuva lähestymistapa varmistaa, että tietoturva saa tarvittavan näkyvyyden ja tuen koko organisaatiossa ja että se on linjassa laajempien liiketoiminta- ja riskienhallintatavoitteiden kanssa.

Organisaation tulee seurata digitaalisen häiriönsietokykystrategiansa tehokkuutta. Tämän pitäisi sisältää ainakin:

• ICT-riskien arvioinnin kartoitus ajan mittaan
• Analysoi tapahtumien tiheys, tyyppi, laajuus ja kehitys
• Erityistä huomiota tulisi kiinnittää kyberhyökkäysten malleihin

Tämän pitäisi lisätä tietoisuutta kyberhyökkäykseen liittyville riskeille altistumisesta erityisesti tärkeiden ja kriittisten toimintojen ja kyberhyökkäyksiä vastaan varautumiseen liittyen.

Organisaatiolla tulee olla prosessi, jonka avulla voidaan analysoida ja oppia digitaalisen häriönsietokyvyn testauksen tuloksista, todellisista kyberturvallisuushäiriöistä ja jatkuvuussuunnitelmien aktivointikokemuksista. Asiaankuuluvia tietoja ja kokemuksia tulisi vaihtaa kumppanien kanssa.

Opitut opetukset tulisi sisällyttää kyberriskien hallintaprosessiin.

Organisaation ylimmällä johdolla tulisi olla vuosittain raportti vanhempien ICT-henkilöstön opetuksista sekä parannussuositukset.

Organisaation johto vastaa, että:

• organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan
• turvallisuusperiaatteet ovat turvallisuusluokiteltujen tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset
• turvallisuusperiaatteet ohjaavat tietoturvallisuustoimenpiteitä
• organisaatiossa on järjestetty riittävä valvonta turvallisuusluokiteltujen tietojen tiedonhallintaan liittyvien velvoitteiden ja ohjeiden noudattamisesta.

Organisaatiolla on oltava strategia kyberturvallisuusarkkitehtuurin kehittämiselle ja ylläpidolle.

Strategian on sovittava yhteen organisaation kyberturvallisuusohjelman ja organisaation arkkitehtuurin kanssa.

Arkkitehtuuriin on sisällytettävä:

• Tietoverkkojen turvallisuustoimet
• Tieto-omaisuuden suojaaminen
• Sovellusturvallisuus
• Tietosuojan toteuttaminen

Organisaation on luotava ja ylläpidettävä strategiaa kyberturvallisuusohjelmalle. Kyberturvallisuusohjelma määrittelee tavoitteet organisaation kyberturvallisuustoimenpiteille.

Organisaation on perustettava ja ylläpidettävä kyberturvallisuusohjelmaa. Ohjelmalla tulee olla korkeimman johdon tuki.

Ohjelma tulee perustaa:

• Kyberturvallisuusohjelmastrategian mukaisesti
• Korkeimman johdon tuki on aktiivista ja tukee ohjelman kehitystä ja ylläpitoa
• Ohjelma on vastuutettu roolille, jolla on riittävä toimivalta sen täyteenpanoon

Organisaation on määriteltävä toimintansa sekä etenkin tietoturvallisuuden toteuttamisen kannalta relevantit yksiköt.

Yksiköille määritellyille omistajille voidaan jalkauttaa vastuita eri tehtävien yksikkökohtaisesta toteuttamisesta.

Organisaation tietoturvatavoitteita asettaessa täytyy ottaa huomioon ulkoiset tavoitteet. Tämä tarkoittaa esimerkiksi:

• Ulkoisesti asetettujen vaatimuskehikkojen, kuten lait ja asetukset tai muiden ulkoisten sidosryhmien asettamat vaatimukset
• Raportoinnissa otetaan huomioon raporttien yksityiskohtaisuuden riittävä määrä ulkoisten vaatimusten täyttämisen osoittamiseksi

Organisaatiossa täytyy:

• tunnistaa yhteydet teknologian ja liiketoimintojen pyörittämisen välillä
• Rakentaa tarvittava infrastruktuuri tarvittavan teknologian ylläpitämiseen, jotta niiden saatavuus ja toimintavarmuus voidaan taata

Organisaation tulee määritellä, mitä teknologiaa tarvitaan, jotta tietoturvatavoitteet saavutetaan? Ja, mitä teknologiaa täytyy hankkia / kehittää, jotta tietoturvatavoitteet saavutetaan?

Johdosta erillinen hallitus toteuttaa valvontaa sisäisten tietoturvatoimien kehitykselle ja toteuttamiselle.

Hallituksen tehtäviin kuuluu erityisesti:

• Vastuuttaa toiminnan tarkemman toteutuksen ja valvonnan
• Hyödyntää tietoturva-alan asiantuntijoita ja arvioi tarvetta asiantuntijuuden lisäämisestä hallitukseen
• Toimii itsenäisesti ja on objektiivinen arvioissa ja päätöksenteossa
• Täydentää asiantuntijuuttaan tarvittaessa esimerkiksi konsulteilla

Organisaation tietojärjestelmät keräävät dataa sisäisistä ja ulkoisista lähteistä ja jalostavat olennaisen datan tiedoksi. Tiedolla tuetaan sisäisen valvonnan komponentteja

Tiedon tulee olla:

• Ajantasaista
• Tarkkaa
• Kokonaista
• Suojattua
• Varmistettua

Organisaatio on määritellyt, mikä on tärkeää turvallisuuteen liittyvää dokumentaatiota ja ohjeistusta (esim. raporttiasiakirjat tai kaikki tehtävien/ohjeiden sisältö), jotka tulee turvallisesti arkistoida sen jälkeen, kun ne on vaihdettu tai muuten vanhentuneet.

Nämä tiedot tulee säilyttää mahdollisia vanhojen käytäntöjen tai ohjeiden tarkistamista varten, jotka voivat olla tärkeitä esim. asiakasriidan tai tietosuojaviranomaisen suorittaman tutkimuksen yhteydessä.

Jos erityisessä laissa tai sopimuksessa ei määrätä säilytysaikaa, tietoja tulee säilyttää vähintään viisi vuotta.

Organisaatio on asettanut prioriteetit sen toiminnalle ja tavoitteille. Näiden prioriteettien pohjalta täytyy pystyä määrittämään tietoturvaroolit, -vastuut ja -tavoitteet.

Organisaation tietoturvallisuusvaatimukset muodostuvat esimerkiksi lainsäädännössä ja sopimuksissa määritellyistä vähimmäisvaatimuksista sekä muista tunnistetuista tai itse tavoitelluiksi valituista vaatimuksista.

Organisaation on seurattava tietoturvallisuusvaatimusten muutoksia ja tehtävä tarvittavat toimenpiteet niihin reagoimiseksi.

Tietoturvallisuuteen liittyvä dokumentaatio on ajantasaista.

• Organisaatiolla on prosessi, jonka avulla seurataan dokumentaation kattavuutta ja ajantasaisuutta
• Dokumentaation puutteisiin reagoidaan

Valtionhallinnon viranomaisen on pidettävä luetteloa henkilöistä, joilla on oikeus käsitellä turvallisuusluokan I, II tai III asiakirjoja. Luettelossa on mainittava henkilön tehtävä, johon turvallisuusluokitellun tiedon käsittelytarve perustuu.