Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

• toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
• tiedon hyväksyttävän käytön säännöt
• tietoja käsittelevän henkilöstön salassapitovelvollisuus
• työnjako viranomaisvaatimusten täyttämisessä
• sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
• häiriöiden ilmoittaminen ja korjaaminen
• vaatimukset toimittajan alihankkijoiden käytölle
• lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
• sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
• toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Organisaation on perustettava pysyvä, ympäri vuorokauden käytettävissä oleva yhteyspiste, joka voi olla yksittäinen henkilö tai ryhmä ja joka vastaa kaikesta virallisesta viestinnästä toimivaltaisen kyberturvallisuusviranomaisen (CNCS) kanssa. Organisaation on ilmoitettava kaikista muutoksista välittömästi CNCS:lle.

Tämän yhteyshenkilön tiedot on virallisesti rekisteröitävä CNCS:ssä laissa säädetyissä määräajoissa, mikä tarkoittaa, että henkilön tai ryhmän nimi (nimet) sekä ensisijainen ja vaihtoehtoinen yhteystapa on määriteltävä ja ilmoitettava CNCS:lle 20 työpäivän kuluessa siitä, kun se on tullut tämän lain soveltamisalan piiriin. Ilmoituksen on noudatettava CNCS:n asiaa koskevassa asetuksessa määriteltyä muotoa.

Before engaging any sub-processors, the organization must implement a defined procedure to ensure that all new contracts maintain the same level of personal data protection as the primary processing agreement.

• Verify that the prospective sub-processor provides sufficient guarantees of compliance with data protection laws and organizational security requirements.
• Ensure contractual terms clearly preserve the required level of protection for the personal data being processed.
• Obtain prior written approval from the controller before entering into any sub-processing agreement, allowing the controller the opportunity to review and object within an agreed timeframe.

All sub-processor relationships must be documented and periodically reviewed to ensure ongoing compliance and accountability.

Kun organisaatio toimii henkilötietojen käsittelijänä, sen olisi luotava prosessi, jonka avulla tunnistetaan ja raportoidaan rekisterinpitäjän ohjeiden tai sovellettavien lakien rikkomisesta. Prosessilla olisi varmistettava, että rekisterinpitäjälle ilmoitetaan kirjallisesti ja ilman aiheetonta viivytystä rikkomuksen havaitsemisen jälkeen.

Organisaation olisi ylläpidettävä dokumentoitua menettelyä, jolla haetaan Tanskan energiaviraston hyväksyntää silloin, kun koordinoidun hätävalmiuden luominen muiden organisaatioiden kanssa katsotaan hyödylliseksi.

Jokaisen hakemuksen on sisällettävä vähintään seuraavat tiedot:

• Perustelut: Selvitys koordinoinnin tarpeesta ja osallistuvien yritysten ja alan molemminpuolisesta hyödystä.
• Konteksti: Kuvaus maantieteellisistä tekijöistä (kuten läheisyys tai yhteinen omaisuus) ja organisatorisista olosuhteista, mukaan lukien yritysten väliset olennaiset erot.
• Vaikutusanalyysi: Arvio koordinoidun valmiusmallin eduista, haitoista sekä käytännön ja teknisistä seurauksista.
• Toimintasuunnitelma: Yksityiskohtaiset tiedot rooleista, vastuualueista, toimivaltuuksista, viestintämenetelmistä ja tiedonjakoprotokollista yhteistä hätätilavalmiutta varten.

Täytetty hakemus toimitetaan kirjallisena Tanskan energiavirastolle tarkastettavaksi ja hyväksyttäväksi ennen koordinoidun hätävalmiuden aloittamista.

Toimittajasopimuksiin on sisällytettävä suorille toimittajille ja palveluntarjoajille suunnattuja vaatimuksia organisaation valmiuden, fyysisen turvallisuuden ja kyberturvallisuuden varmistamiseksi. Tavoitteena on varmistaa, että toimittajat ryhtyvät asianmukaisiin toimenpiteisiin riskien hallitsemiseksi ja toimitusvarmuuteen sekä yrityksen verkko- ja tietojärjestelmiin vaikuttavien vaaratilanteiden käsittelemiseksi.

Organisaation tulisi sisällyttää toimittajasopimukseen tarpeen mukaan:

• menettelyt, jotka koskevat turvallista etäkäyttöä toimituskriittisiin verkkoihin ja järjestelmiin.
• vaatimukset merkittävien tietoturvaloukkausten hallinnasta ja raportoinnista
• tarvittaessa osallistuminen yrityksen valmiusharjoituksiin.
• merkittävien palvelujen alihankkijoiden hyväksyntä ja valvonta.
• välttämättömien ja luottamuksellisten tietojen omistusoikeuden säilyttäminen yrityksellä.
• toimittajan velvollisuus osoittaa näiden vaatimusten noudattaminen.

Organisaation olisi tehtävä virallinen sopimus kyberturvallisuuspalvelujen tarjoajan kanssa. Sopimuksessa on edellytettävä, että palveluntarjoaja ilmoittaa organisaatiolle viipymättä asiaankuuluvista uhkista ja haavoittuvuuksista ja antaa neuvoja lieventämistoimenpiteistä. Tämä voidaan toteuttaa esimerkiksi tietoturvaoperaatiokeskuksen (Security Operations Center, SOC), hallinnoidun tietoturvapalvelun tarjoajan (Managed Security Service Provider, MSSP) tai kyberuhkatiedustelupalvelun avulla, joka antaa oikea-aikaisia hälytyksiä ja toimintaohjeita.

Keskeisiin sopimusehtoihin olisi sisällyttävä:

• Uhka- ja haavoittuvuusilmoitusten erityiset aikataulut.
• Organisaation vastuu toimittaa palvelulle tarvittavat järjestelmätiedot.
• Prosessi, jolla varmistetaan, että hälytykset vastaanottaa ja käsittelee pätevä henkilöstö.

Jos useampi yritys tekee yhteisen sopimuksen, kaikki tilaajayritykset on mainittava sopimuksessa. Kaikkien osallistuvien yritysten on myös säilytettävä jäljennös sopimuksesta.

The organization must implement and enforce policies that prevent involvement in activities endangering cybersecurity, including:

• Prohibiting the creation of websites, communication groups, or the disclosure of information related to illegal or criminal activities, such as fraud, crime methods, or the production and sale of prohibited or controlled goods.
• Prohibiting the development, distribution, or use of tools intended for unauthorized access, network disruption, or data theft.
• Ensuring the organization does not provide technical, financial, advertising, or other support to individuals or entities engaged in malicious cyber activities.
• Maintaining and communicating a zero-tolerance stance on cybercrime to all personnel and stakeholders.
• Providing regular training so staff understand their responsibilities, can recognize misuse, and know how to report concerns.

Organisaation olisi määriteltävä ja dokumentoitava selkeästi tuotteidensa ja palveluidensa turvallisuuden ylläpitojaksot asiakassopimuksissa. Tällä sitoumuksella varmistetaan, että asiakkaat ovat tietoisia tuen kestosta ja että organisaatio täyttää velvollisuutensa olla lopettamatta tietoturvan ylläpitoa ennen sovittua aikaa. Sopimuksessa olisi määriteltävä ylläpidon laajuus, kuten tietoturvakorjausten ja -päivitysten toimittaminen.

Liikekumppaneiden kanssa tehtävien sopimusten ja järjestelyjen on täytettävä suojattuja terveystietoja (PHI) ja HIPAA:a koskevat vaatimukset. Niissä on määriteltävä liikekumppanin suorittamien PHI-tietojen sallitut ja vaaditut käyttötarkoitukset.
Samaa sääntöä on sovellettava liikekumppanin tekemiin alihankintasopimuksiin. Sopimuksessa on valvottava, miten alihankkija käyttää PHI:tä.

Kun organisaatio on osa organisoitua terveydenhuollon järjestelyä (OHCA) ja päättää käyttää yhteistä tietosuojailmoitusta, sen on varmistettava, että kaikkien muiden osallistuvien suojattujen yhteisöjen kanssa on tehty virallinen sopimus. Kaikkien osapuolten on nimenomaisesti hyväksyttävä yhteisessä ilmoituksessa esitetyt tietojen jakamista koskevat ehdot. Sopimuksessa on vahvistettava, että kaikki osapuolet noudattavat yhteisen ilmoituksen ehtoja kaikista organisoituun terveydenhuollon järjestelyyn liittyvän toiminnan aikana luoduista tai vastaanotetuista suojatuista terveystiedoista.

Organisaation on varmistettava, että yhteisessä ilmoituksessa yksilöidään selkeästi ja nimenomaisesti kaikki ilmoitukseen kuuluvat suojatut yhteisöt tai yhteisöluokat sekä kuvattava, miten tietoja jaetaan kyseisten yhteisöjen kesken.

Organisaation ja sen liikekumppaneiden välisessä tietojenkäsittelysopimuksessa on nimenomaisesti valtuutettava liikekumppani luomaan, vastaanottamaan, ylläpitämään tai siirtämään suojattuja terveystietoja (PHI) organisaation puolesta, ja sopimukseen on sisällyttävä dokumentoidut tekniset, hallinnolliset ja fyysiset suojatoimet näiden tietojen suojaamiseksi.

Vastaavasti liikekumppaneiden ja heidän alihankkijoidensa välisissä sopimuksissa on oltava sama valtuutus suojattujen terveystietojen käsittelyyn sekä yksityiskohtainen dokumentaatio kaikista vaadituista suojatoimista.

Organisaation on laadittava ja dokumentoitava virallinen menettely jatkuvaa yhteistyötä ja tiedonvaihtoa varten ulkopuolisten turvallisuuselinten, kuten alakohtaisen viranomaisen, kriisinhallintakeskuksen (DGCC), uhka-analyysin koordinointiyksikön (OCAM) ja poliisiviranomaisten kanssa.

Menettelyssä olisi määriteltävä erityyppiset turvallisuustiedot, jotka on jaettava, nimetyt viestintäkanavat, yhteyspisteet ja tietojenvaihdon vastuualueet.

Jatkuvan turvallisuusyhteistyön ja -tiedonvaihdon virallistamisen ja toteuttamisen tärkeimpiä vaiheita ovat seuraavat:

• Luettelo kaikista asiaankuuluvista ulkoisista turvallisuuselimistä (esim. alakohtainen viranomainen, DGCC, OCAM, poliisiviranomaiset) ja niiden erityistehtävistä elintärkeiden infrastruktuurien turvallisuuden osalta.
• Määritellään jaettavat turvallisuustiedot (esim. uhkatiedot, vaaratilanneraportit, haavoittuvuusilmoitukset), niiden jakamistiheys ja turvaluokitustasot.

Organisaation on laadittava ja pantava täytäntöön selkeä politiikka henkilötietojen seurantaa varten, jotta voidaan varmistaa, että kaikki toimet ovat laillisia ja tarpeellisia. Politiikassa on kuvattava:

• seurannan laillinen tarkoitus
• seurantavälineiden ja -menetelmien tarpeellisuus ja oikeasuhteisuus.
• selkeiden sääntöjen laatiminen, joilla kielletään pääsy tallennettuihin seurantatietoihin tai niiden käyttö muuhun tarkoitukseen kuin alkuperäisen tarkoituksen täyttämiseen.
• teknisen ja hallinnollisen valvonnan toteuttaminen näiden sääntöjen noudattamisen valvomiseksi.
• tallennettujen tietojen enimmäissäilytysaika, joka saa olla enintään viisi vuotta.

Organisaatiolla on oltava prosessi tai dokumentaatio, jonka avulla organisaation johtaja nimetään valtuutusviranomaiseksi. Tämä rooli on nimenomaisesti vastuussa kaikkien valtuutuksen saaneiden henkilöiden turvallisuuden hallinnasta ja jatkuvasta valvonnasta.

Organisaation on varmistettava, että kaikille valvottujen tietojärjestelmien valtuutetuille käyttäjille tiedotetaan selkeästi valvonnan luonteesta ja tarkoituksesta. Tähän sisältyy nimenomainen tiedottaminen:

• miksi heidän henkilötietojaan käsitellään seurannan avulla
• valvontatoimenpiteet, jotka on toteutettu heidän käyttämissään tietojärjestelmissä.
• luovutetaanko heidän seurannan avulla kerättyjä henkilötietoja muille osapuolille, ja jos luovutetaan, niin ketkä ovat vastaanottajia.

Varmista, että erityinen turvallisuussuojeluarviointi on tehty ennen kuin aloitat kaikki sellaiset menettelyt, jotka edellyttävät turvallisuussopimuksen tekemistä. Tämä tarkoittaa sen määrittämistä, mihin turvaluokiteltuihin tietoihin tai muihin turvallisuuden kannalta arkaluonteisiin toimintoihin yhteistyöhön osallistuva osapuoli saattaa päästä käsiksi. Arvioinnissa olisi keskityttävä siihen, aiheuttaako suunniteltu yhteistyö riskin turvallisuussuojan näkökulmasta. Tavoitteena on varmistaa, ettei arkaluonteisia tietoja tai toimintoja altisteta tarpeettomille uhkille.

Dokumentoi arvioinnin tulokset selkeästi, mukaan lukien arkaluonteisiksi todetut tiedot ja toteutettavat suojatoimenpiteet. Jos arvioinnissa päädytään siihen, että yhteistyö ei sovellu turvallisuuden kannalta, menettelyä ei saa jatkaa.

Kun organisaatio aikoo siirtää turvallisuuden kannalta arkaluonteisen toiminnan tai sen osan toiselle yhteisölle (hankkija), organisaation olisi varmistettava, että hankkijalle ilmoitetaan nimenomaisesti, että siirrettävään toimintaan sovelletaan turvallisuussuojalakia.

Tässä tiedottamisessa olisi myös esitettävä kattavasti yksityiskohtaisesti ne erityiset turvallisuusvelvoitteet, joita toimijaan sovelletaan turvallisuussuojalain 2 luvun 1 §:n nojalla.

Tällä menettelyllä varmistetaan, että hankkija on täysin tietoinen turvallisuussuojaan liittyvistä oikeudellisista velvollisuuksistaan siirron alusta alkaen.

Organisaation olisi säännöllisesti tarkistettava vastapuolten kanssa tehdyt turvasuojaussopimukset varmistaakseen, että ne pysyvät riittävinä muuttuneiden olosuhteiden, kuten uusien uhkien, teknologisen kehityksen tai sääntelyn muutosten, valossa.

Jos vastapuoli ei noudata turvasuojasopimusta, organisaation on ryhdyttävä asianmukaisiin toimenpiteisiin varmistaakseen, että sen omat turvasuojavaatimukset täyttyvät edelleen. Näihin toimenpiteisiin voi kuulua korvaavien valvontatoimien toteuttaminen, asian eskalointi tai kumppanuuden uudelleenarviointi.

The organization should establish and document a formal process for consulting with the supervisory authority. This process is initiated after a suitability assessment has concluded that a planned procedure involving another actor is not inappropriate, but before the procedure itself begins.

The process must clearly define the triggers for consultation, which include any procedure where another actor may gain access to:

• Security-classified information in the security protection class confidential or higher.

• Other security-sensitive activities of corresponding importance to national security.

The process should also specify who is responsible for initiating the consultation, what documentation is required for the authority, and how to handle and implement any measures ordered by the authority as a result of the consultation.

• All or part of a security-sensitive activity, or

• Property important to Sweden’s security or related to international commitments.

The operator must:

• Conduct a specific security assessment to identify sensitive information or activities that could be accessed.

• Perform a suitability assessment to determine whether the transfer is appropriate from a security perspective.

• Document both assessments.If the suitability assessment shows the transfer is not appropriate, the transfer must not be carried out.

Sen lisäksi, että organisaatiot tunnistavat riskit erityisessä turvallisuussuoja-arvioinnissa, ne myös arvioivat, onko suunniteltu yhteistyö tarkoituksenmukaista. Otetaan huomioon sekä suunnitellun toiminnan erityisluonne että siihen liittyvien tietojen arkaluonteisuus. Näin voidaan varmistaa, että ulkopuoliset osapuolet eivät saa pääsyä tietoihin tai järjestelmiin yli sen, mikä on turvallista tai tarpeellista.

Soveltuvuusarvioinnin tulos olisi myös dokumentoitava. Jos yhteistyö todetaan turvallisuusriskien vuoksi sopimattomaksi, se olisi lopetettava tai järjestettävä uudelleen näiden riskien poistamiseksi.

Organisaation on toteutettava tietoturvatoimenpiteet 12 kuukauden kuluessa siitä, kun se on rekisteröitynyt kyberturvallisuuden tietojärjestelmään, tai hallituksen asettamassa määräajassa. Tiedot kyberturvallisuusriskien hallintatoimenpiteiden toteuttamisesta on toimitettava kansalliselle kyberturvallisuuskeskukselle kyberturvallisuuden tietojärjestelmää koskevissa säännöissä vahvistetun menettelyn mukaisesti.

Organisaatio ottaa käyttöön prosessit ja keinot haavoittuvuusilmoitusten käsittelemiseksi ja jakamiseksi, kuten:

• Prosessit, joilla vastaanotetaan, analysoidaan ja vastataan toimittajilta, asiakkailta, kumppaneilta ja valtion kyberturvallisuusorganisaatioilta saatuihin haavoittuvuusilmoituksiin.
• Haavoittuvuustietojen jakaminen organisaation ja toimittajien välillä sopimussääntöjen ja -käytäntöjen mukaisesti.
• Vastuun jakaminen asianomaiselle henkilöstölle ilmoitettujen kyberturvallisuusuhkien, haavoittuvuuksien tai vaaratilanteiden käsittelyn ja vaikutusten analysoinnin osalta.

Organisaation olisi tehtävä sopimuksia asiaankuuluvien kolmansien osapuolten kanssa, jotta ne voivat tarvittaessa tarjota konsultointia poikkeamien aikana.

Tällaisia kolmansia osapuolia voivat olla esimerkiksi CERT-ryhmät (Computer Emergency Response Teams), eri alojen tietotekniikka-asiantuntijat sekä laitteiden tai ohjelmistojen toimittajat.

Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

• Ulkoisista IT-palveluista on saatavilla riskinarviointi.
• Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

• Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
• Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:

• Yksityiskohtaiset palvelutason kuvaukset ja selkeät suorituskykytavoitteet tehokkaan valvonnan ja korjaavien toimenpiteiden varmistamiseksi.
• Ilmoitusajat ja raportointivelvoitteet palvelun tarjontaan vaikuttavista muutoksista.
• Varasuunnitelmat, turvatoimenpiteet ja käytännöt liiketoiminnan jatkuvuuden ja säännösten noudattamisen varmistamiseksi.
• Osallistuminen rahoitusyksikön TLPT:hen (uhkalähtöinen penetraatriotestaus).
• Oikeudet seurata suorituskykyä pääsyn, tarkastusten ja auditointien avulla, ja vaihtoehtoisia vakuutustasoja koskevat määräykset.
• Yhteistyö toimivaltaisten viranomaisten tai nimettyjen tahojen suorittamien tarkastusten ja auditointien aikana.
• Yksityiskohdat tarkastusten ja auditointien laajuudesta, menettelyistä ja tiheydestä.
• Irtautumisstrategiat, mukaan lukien siirtymäkaudet saumattomalle siirtymiselle tai uudelleenjärjestelylle.
• Mikroyrityksille mahdollisuus siirtää valvontaoikeudet palveluntarjoajan nimeämälle riippumattomalle kolmannelle osapuolelle.

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

• Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
• Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
• Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

• Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
• Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
• Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
• Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.

Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.

1. Määritä osallistumisedellytykset tietojen jakamisjärjestelyissä, mukaan lukien julkisten viranomaisten osallistuminen ja niiden mahdolliset roolit, kolmannen osapuolen palveluntarjoajien osallistuminen ja operatiiviset yksityiskohdat, kuten omistettujen IT-alustojen käyttö.
2. Ilmoita osallistumisesta tietojen jakamisjärjestelyihin toimivaltaisille viranomaisille jäsenyyden vahvistamisen yhteydessä tai tarvittaessa jäsenyyden lopettamisesta sen tullessa voimaan.

Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

• luvatun palvelutason tarkkailu
• toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
• riippumattomien auditointien säännöllinen järjestäminen
• auditoinneissa tunnistettujen ongelmien seuranta
• tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
• toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:

• myyjiltä
• liikekumppaneilta

Lisäksi tulee hankkia yksityisyyssitoumuksia:

• myyjiltä
• liikekumppaneilta

sitoumuksien hankkimisen lisäksi organisaation tulee arvioida:

• myyjien ja liikekumppaneiden tietosuojasitoumusten noudattamista
• myyjien ja liikekumppaneiden luottamuksellisuussitoumusten noudattamista

Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.

Tavoitteena etenkin:

• lisätä tietoa parhaista käytännöistä ja pysyä ajan tasalla olennaisesta turvallisuustiedosta
• varmistaa, että ymmärtämys tietoturvaympäristöstä on ajantasaista ja täydellistä

Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.

Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

• suorat muutokset toimittajasopimuksiin
• palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
• toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
• tietojen fyysistä sijaintia koskevat muutokset
• toimittajaketjun / alihankintaprosessin muutokset

Luo yhteys, ja kommunikoi, sidosrymien ja osallistujien kanssa jatkuvuussuunnitelman ja selviytymismenettelyjen aikana.