Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelma.

Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.

Tämän määräyksen (MÄÄRÄYS 3/2024) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -merkintä

Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:

Sisäiset raportointitavoitteet:

• Johdolle päätöksentekoa tukevat raportit
• Raportoinnin tarkkuus ja yksityiskohdat ei taloudellisiin raportteihin liittyen

Vaatimuksien täyttötavoitteet:

• Lakien ja asetusten täyttyminen
• Alatavoitteiden asettaminen, jotta turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden kriteerit tukevat riittävää raportointia, organisaation toimintaa ja vaatimuksenmukaisuuden täyttymistä

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Organisaatio on ottanut käyttöön menettelyt sisäisten tarkastusten suorittamiseksi. Menettelyissä on kuvattava ainakin seuraavat seikat:

• kuinka usein auditointeja tehdään
• kuka voi suorittaa auditointeja (mukaan lukien auditointikriteerit).
• miten varsinainen auditointi suoritetaan
• miten auditoinnin tulokset dokumentoidaan ja kenelle niistä raportoidaan.
• tuloksista on ilmoitettava toimivaltaiselle viranomaiselle, jos sitä säännellään lainsäädännöllä.

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

• ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
• ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
• niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
• ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

• onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
• onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
• onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.

Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Organisaation olisi varmistettava, että johto saa säännöllisesti tietoa tietoturvan tilasta. Johdolle olisi laadittava raportti, joka kattaa ainakin seuraavat aiheet:

• Arvio siitä, miten hyvin toteutetut turvatoimet vastaavat organisaation tarpeita.
• Yhteenveto vakavista riskeistä, joita ei ole käsitelty.
• yleiskatsaus muista esteistä, jotka haittaavat tietoturvatavoitteiden saavuttamista.

Organisaatio laatii ja dokumentoi selkeän turvallisuuspäätöksentekovaltuuksien delegoinnin. Kullekin tehtävälle annetaan asianmukainen vastuu ja valtuudet toimia turvallisuusasioissa, ja tästä rakenteesta tiedotetaan ja sitä tarkistetaan säännöllisesti tehokkaan ja oikea-aikaisen päätöksenteon varmistamiseksi.

Organisaation johtajan olisi säännöllisesti tarkasteltava ja pantava täytäntöön asianomaisen kyberturvallisuusviranomaisen ja toimivaltaisen kyberturvallisuustapahtumien hallintakeskuksen antamat suositukset ja ohjeet. Tähän kuuluu sovellettavien ohjeiden tunnistaminen, niiden vaikutusten arviointi organisaation sähköisiin tietojärjestelmiin ja vaatimustenmukaisuuden varmistamiseksi ja suojan parantamiseksi toteutettujen toimien dokumentointi.

Organisaation on ilmoitettava toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään kahdenkymmenen työpäivän kuluessa, kyberturvallisuuspäällikön nimittämisestä. Ilmoituksessa on mainittava kyberturvallisuuspäällikön nimi, sukunimi, henkilötunnus, asema, sähköpostiosoite ja puhelinnumero. Organisaation on ilmoitettava kaikista muutoksista toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään kahdenkymmenen työpäivän kuluessa.

Organisaation on määriteltävä, dokumentoitava ja virallisesti hyväksyttävä tietoverkkoturvallisuuskäytännöt ja -toimenpiteet. Tämän kattavan toimenpidekokonaisuuden on oltava sopiva organisaation kokoon, riskiprofiiliin ja monimutkaisuuteen nähden, ja sen on perustuttava virallisen riskianalyysin tuloksiin.Toimenpiteitä määritellessään organisaation on otettava huomioon kansallisessa kyberturvallisuuden viitekehyksessä (QNRCS) annetut suuntaviivat, uusin tekninen kehitys ja asiaankuuluvat kansainväliset standardit (esim. ISO/IEC 27001).

On luotava prosessi, jonka avulla voidaan jatkuvasti seurata uusinta teknistä kehitystä, uusia uhkia ja muutoksia asiaankuuluviin kyberturvallisuusstandardeihin ja -puitteisiin.Tähän prosessiin olisi kuuluttava uhkatiedustelusyötteiden tilaaminen, osallistuminen alan foorumeihin ja QNRCS:n ja muiden hyväksyttyjen standardien päivitysten säännöllinen tarkastelu. Tuloksia on käytettävä organisaation turvatoimien säännölliseen tarkistamiseen ja päivittämiseen sen varmistamiseksi, että ne pysyvät tehokkaina.

Organisaation olisi määriteltävä ja dokumentoitava kyberturvallisuuden hallintaan liittyvät roolit ja vastuut. Näissä asiakirjoissa olisi ilmoitettava selkeästi, kuka vastaa turvatoimien hyväksymisestä, valvonnasta, tarkastuksesta ja auditoinnista. Siinä olisi myös määriteltävä vastuu siitä, että kyberturvallisuuden hallintaan ja työntekijöiden koulutukseen osoitetaan riittävät resurssit.

Organisaation olisi nimitettävä kyberturvallisuuspäällikkö, jonka rooli on riippumaton tietotekniikkatoimintojen ja -kehityksen hallintorakenteesta. Kyberturvallisuuspäällikön vastuualueet, valtuudet ja raportointilinjat olisi dokumentoitava virallisesti. Näin varmistetaan, että tietoturvapäätökset ovat puolueettomia eivätkä operatiiviset tai kehityspaineet vaaranna niitä.

Jos vaatimustenmukaisuuden arvioinnissa tai itsearvioinnissa havaitaan vaatimustenvastaisuuksia, organisaation olisi laadittava virallinen suunnitelma niiden korjaamiseksi. Suunnitelmassa olisi määriteltävä menetelmä kunkin ongelman ratkaisemiseksi ja asetettava selkeät määräajat täytäntöönpanolle.

Oikeudellisista vaatimuksista riippuen tämä voi tapahtua auditoinnin jälkeen laaditun korjaussuunnitelman tai itsearvioinnin jälkeen annetun vaatimustenvastaisuusilmoituksen muodossa.

Organisaation olisi laadittava menettely neuvoa-antavien toimeksiantojen kanssa tehtävää yhteistyötä varten. Menettelyssä olisi määriteltävä, miten pääsy tietoihin, järjestelmiin ja tiloihin myönnetään tarvittaessa. Menettelyssä olisi myös kuvattava menettely, jossa otetaan huomioon komission lausunnot toimeksiannon päätelmistä ja raportoidaan toteutetuista toimenpiteistä toimivaltaisille viranomaisille.

Organisaation on varmistettava, että henkilötietojen käsittelytoimet tarkastetaan säännöllisesti ja riippumattomasti ammatillisten standardien mukaisesti, jotta voidaan varmistaa, että ne ovat oikeudellisten ja sopimusvaatimusten mukaisia. Tarkastusten olisi katettava sekä sisäiset toiminnot että ulkoisten kumppaneiden suorittama käsittely. Organisaatio on vastuussa siitä, että henkilötietojen käsittelijät täyttävät kaikki sovellettavat velvoitteet, ja se voi käyttää riippumatonta kolmatta osapuolta suorittamaan tai tukemaan vaatimustenmukaisuuden arviointeja. Jos henkilötietojen käsittelijä toimii dokumentoitujen ohjeiden vastaisesti tai rikkoo tietojenkäsittelysopimusta, sitä pidetään rekisterinpitäjänä ja pidetään suoraan vastuullisena tästä johtuvista rikkomuksista. Auditointimenettelyillä on varmistettava tulosten tarkkuus ja eheys ja se, että havaintoja käytetään vaatimustenmukaisuuden vahvistamiseen ja puutteiden korjaamiseen.

Organisaation on nimitettävä virallisesti henkilöt keskeisiin turvallisuus- ja hätätilanteiden hoitotehtäviin. Kun nimitykset on tehty, Tanskan energiavirastolle on ilmoitettava virallisesti päivitetystä henkilöstöstä.

Nimitettävät tehtävät:

• Hätätilakoordinaattori: koordinoi kaikkia hätätilanteiden suunnittelutoimia, mukaan lukien riski- ja haavoittuvuusarviointien laatiminen.
• Kyberkoordinaattori: koordinoi verkko- ja tietojärjestelmien turvatoimia ja avustaa myös näitä järjestelmiä koskevassa hätäsuunnittelussa.
• Turvallisuuskoordinaattori: koordinoi turvallisuustoimia paikan päällä yrityksen tiloissa.

Kunkin roolin vastuualueet olisi dokumentoitava selkeästi. Tähän olisi sisällyttävä niiden tehtävät hätäsuunnittelussa, kyberturvallisuudessa, fyysisessä turvallisuudessa ja niiden koordinointi toistensa kanssa kattavan riskikuvan ylläpitämiseksi. Organisaation olisi myös varmistettava, että kyseisten roolien yhteystiedot ilmoitetaan asianomaisille viranomaisille.

Yrityksen johtoelimen on pidettävä neljännesvuosittain kokouksia hätä-, kyber- ja turvallisuuskoordinaattoreiden kanssa. Näiden kokousten tarkoituksena on tarkastella ja tehdä päätöksiä yrityksen yleisestä organisaation hätätilavalmiudesta, fyysisestä turvallisuudesta ja kyberturvallisuudesta.

Kunkin kokouksen jälkeen on laadittava ja ylläpidettävä keskusteluihin ja päätöksiin perustuva virallinen raportti, johon sisältyy myös kokouspöytäkirja. Tämä raportti on virallinen dokumentti johtoelimen tekemistä päätöksistä.

Yrityksen johtoelin tai valtuutettu henkilö on vastuussa organisaation riski- ja varautumisnäkökulman määrittämisestä ja valvonnasta. Tähän kuuluu kaikkien organisaation strategista suuntaa ja operatiivista häiriönsietokykyä ohjaavien keskeisten asiakirjojen, kuten riski- ja haavoittuvuusarviointien sekä varautumis- ja toiminnan jatkuvuussuunnitelmien, virallinen tarkastelu ja hyväksyminen. Nämä hyväksynnät on kirjattava virallisesti, jotta varmistetaan selkeä vastuuvelvollisuus.

Hyväksymisen jälkeen johtoelin on vastuussa siitä, että dokumentoidut menettelyt pannaan tehokkaasti täytäntöön ja niitä ylläpidetään.

Organisaation olisi perustettava ja ylläpidettävä operatiivinen yhteyspiste, joka voi vastaanottaa ilmoituksia alan valmiustason muutoksista kaikkina vuorokauden aikoina ja välittää ne sisäisesti, jotta valmiustoimenpiteet voidaan toteuttaa.

Organisaation on myös pidettävä tämän yhteyspisteen yhteystiedot ajan tasalla ja toimitettava ne oikealle viranomaiselle:

• Sähkö-, kaasu- ja vetyalan yritysten on ilmoitettava asiasta Energinetille.
• Muiden yritysten on ilmoitettava asiasta Tanskan energiavirastolle.

Organisaation olisi luotava ja ylläpidettävä muodollinen prosessi kaikkea sen johtamisjärjestelmään liittyvää ulkoista raportointia varten. Prosessin avulla olisi varmistettava, että kaikki julkistaminen tapahtuu valvotulla tavalla, organisaation sisäisiä viestintämenettelyjä noudattaen ja kaikkien sovellettavien oikeudellisten, lakisääteisten ja sopimusperusteisten avoimuusvelvoitteiden mukaisesti. Siinä olisi määriteltävä, mitä tietoja raportoidaan, kenelle, milloin ja mitä kanavia pitkin.

Organisaation olisi perustettava turvallisuuden hallintoelin, joka toimii riittävän riippumattomasti muista toimintayksiköistä. Turvallisuusjohtamisesta vastaava henkilö tai henkilöt olisi nimettävä virallisesti johtamaan tätä elintä, jotta voidaan varmistaa, että turvallisuuspäätökset voidaan tehdä objektiivisesti ja ilman muiden liiketoimintapaineiden aiheuttamia kohtuuttomia vaikutuksia.

The organization shall establish and maintain a formal process for engaging with relevant government authorities regarding identified security risks or incidents. This process must include:

• Clear procedures for participating in meetings or interviews with legal representatives or designated officials.
• Implementation of all required rectification measures and corrective actions to address risks and eliminate potential hazards, as mandated by the authorities.
• Comprehensive documentation of all engagements and the corrective actions taken.

The organization shall participate in cooperation mechanisms with other network operators to strengthen cybersecurity. This includes:

• Sharing and analyzing cybersecurity information
• Contributing to joint reporting and emergency response efforts
• Supporting coordinated actions to mitigate cybersecurity risks
• Engaging with industry bodies to align with sector-specific cybersecurity regulations
• Participating in collective risk analysis and responding to issued risk warnings
• Assisting peers and members of the industry in managing cybersecurity incidents

Organisaation olisi laadittava käytännesäännöt ja tiedotettava niistä. Näissä säännöissä olisi määriteltävä vilpittömän mielen, liike-elämän etiikan ja yhteiskuntamoraalin kunnioittamisen periaatteet, joita koko henkilöstön on noudatettava. Säännöstössä olisi myös hahmotettava organisaation sitoutuminen yhteiskunnalliseen vastuuseen ja yhteistyöhön viranomaisten ja julkisen valvonnan kanssa kyberturvallisuuden yhteydessä.

Organisaatioiden on käytettävä kansallista tieto- ja viestintätekniikkajärjestelmää vaaratilanteista ja tietomurroista ilmoittamiseen sekä arkaluonteisten tietojen vaihtamiseen.

Tieto- ja viestintätekninen järjestelmä toimii keskitettynä alustana:

• Yhteistyö
• suositusten laatiminen ja jakaminen toimiksi kyberturvallisuuden tason parantamiseksi.
• vaaratilanteista ilmoittaminen ja niiden käsittely
• riskien arvioiminen kansallisella tasolla
• varoittaminen kyberuhkista
• Valvontatoimet
• Henkilötietojen tietoturvaloukkauksista ilmoittaminen
• Tietojen vaihtaminen

Avainorganisaatioiden on säännöllisesti arvioitava palvelujen tarjoamisessa käytettävien tietojärjestelmiensä turvallisuutta. Tämä tehdään virallisen tietoturvatarkastuksen avulla, joka on tehtävä organisaation omalla kustannuksella vähintään kerran kolmessa vuodessa. Kolmen vuoden ajanjakso lasketaan siitä päivästä, jolloin edellinen auditointiraportti valmistui ja auditoija allekirjoitti sen.

Kun auditointi on saatu päätökseen, organisaation on toimitettava auditointiraportin digitaalinen kopio kansalliselle kyberturvallisuusviranomaiselle kolmen työpäivän kuluessa sen vastaanottamisesta.

Lisäksi kyberturvallisuusviranomaisella on oikeus pyytää ulkoista tarkastusta milloin tahansa. Näin voi tapahtua esimerkiksi vakavan tietoturvaloukkauksen jälkeen tai jos organisaatio rikkoo kyberturvallisuussääntöjä. Tällöin viranomainen määrittelee, kuka saa suorittaa tarkastuksen, asettaa määräajan raportin toimittamiselle ja voi myös päättää tarkastuksen laajuudesta tai painopistealueista.

Nämä toimenpiteet auttavat varmistamaan, että kriittiset palvelut säilyttävät vahvan kyberturvallisuuden tason ja ovat vastuussa järjestelmiensä turvallisuudesta.

Tietojärjestelmän tietoturvatarkastuksen on oltava pätevien ja hyväksyttyjen ammattilaisten suorittama. On kolme vaihtoehtoa sille, kuka voi suorittaa auditoinnin:

1. Akkreditoidut organisaatiot: Tarkastuksen voi suorittaa sertifioitu organisaatio, jolla on vaatimustenmukaisuuden arviointia koskevan Puolan lainsäädännön mukainen virallinen hyväksyntä. Näillä organisaatioilla on oltava valtuudet arvioida tietojärjestelmien turvallisuutta.
2. Pätevät auditoijat: Auditoinnin voi suorittaa myös vähintään kaksi yksittäistä auditoijaa, jotka täyttävät tietyt pätevyysvaatimukset. Näillä auditoijilla on oltava joko
   :- hyväksytty sertifikaatti (säädöksissä määritellyllä tavalla),
   - vähintään kolmen vuoden kokemus tietojärjestelmien tietoturvan auditoinnista tai-
   vähintään kahden vuoden kokemus ja jatkotutkinto tietoturvan auditoinnista akkreditoidusta korkeakoulusta.
3. Alakohtaiset CSIRTit: Alakohtainen kyberturvallisuuden vastuuryhmä (CSIRT) voi suorittaa auditoinnin, mutta vain jos sen auditoijat täyttävät samat pätevyysvaatimukset kuin edellä on lueteltu yksittäisten auditoijien osalta.

Organisaation on ilmoitettava valtion tietojärjestelmäviranomaiselle osallistumisestaan tietojenvaihtosopimuksiin tai niiden peruuttamisesta.

Ilmoitus on tehtävä, kun organisaatio on liittynyt tiedonvaihtosopimukseen tai kun tiedonvaihtosopimuksesta eroaminen on tullut voimaan.

Tietoturvariskejä koskeva dokumentaatio on tarkistettava säännöllisesti tai jos ympäristössä on tapahtunut muutoksia tai muita tapahtumia, kuten haavoittuvuuksien paljastuminen. Tarkistukseen on sisällyttävä seuraavat seikat:

• Varmistetaan, että tietoturvariskianalyysi ja riskien käsittelyä koskeva dokumentaatio on ajantasainen ja kattava.
• tarvittaessa tietoturvariskien uudelleenarviointi.

Riskinarviointi ja sen menetelmät dokumentoidaan ja päivitetään säännöllisesti. Dokumentaatio sisältää ainakin seuraavat tiedot:

• kuvaus tunnistetuista uhkista, haavoittuvuuksista ja riskeistä.
• riskien arviointi
• valitut menetelmät
• ehdotetut riskinhallintatoimet ja niiden toteuttaminen
• Riskinarvioinnin ja riskinhallintatoimien toteuttamisesta vastaavat henkilöt.

Organisaatiolla on käytössä prosessi, jolla se toimittaa markkinavalvontaviranomaiselle tarvittavat tiedot ja asiakirjat viranomaisen helposti ymmärtämässä muodossa osoittaakseen, että tuote on olennaisten kyberturvallisuusvaatimusten mukainen (liite 1). Organisaatio tekee myös yhteistyötä viranomaisen kanssa toimenpiteistä, joita on toteutettu tuotteiden aiheuttamien kyberriskien poistamiseksi.

Valmistajien on nimettävä yksi yhteyspiste, jonka kautta käyttäjät voivat olla yhteydessä valmistajaan haavoittuvuuksista ilmoittamisen helpottamiseksi. Yhteyshenkilön on oltava käyttäjien helposti tunnistettavissa, ja sen yhteystiedot on sisällytettävä käyttäjäasiakirjoihin.

Organisaatio ylläpitää koordinoitua haavoittuvuuksien ilmoituspolitiikkaa, jossa kuvataan menettelyt ja odotukset sen tuotteissa havaittujen haavoittuvuuksien raportoinnille, erityisesti tuotteissa, joissa on digitaalisia elementtejä. Haavoittuvuuksien ilmoittamiskäytännössä olisi kuvattava menettely haavoittuvuuksien ilmoittamisen koordinoimiseksi ja niiden korjaamiseksi. Politiikassa olisi myös selitettävä, miten toimitaan, jos organisaatio ei halua jakaa tietoa haavoittuvuuksista, ja syyt tietojen jakamatta jättämiseen olisi dokumentoitava.

Jos organisaatio käyttää tekoälyjärjestelmiä, sen tulee varmistaa, että tekoälyyn liittyvät kyberturvallisuusvaatimukset otetaan huomioon ja niitä noudatetaan. Tähän sisältyy sen varmistaminen, että tekoälyjärjestelmiä ei käytetä tavalla, joka voi aiheuttaa tarpeettoman tietoturvariskin.

Tietoturvallisuuden muutoksenhallintamenettelyt on sisällytettävä nykyisiin prosessiturvallisuuden hallintamenettelyihin.

Jotta tietoturvavaatimukset voidaan täyttää jatkuvasti, organisaation on määriteltävä seuraukset niille, jotka eivät noudata vaatimuksia.

Organisaation tulisi kuvata selkeästi seuraavat:

• mikä on tietoturvan hallintajärjestelmän noudattamatta jättäminen
• mitkä ovat siihen liittyvät rangaistustoimenpiteet ja miten menetellään
• tutkitaan teon syyt, seuraukset ja tahallisuus

Tietoturvapolitiikkaan ja -menettelyihin on sisällyttävä vaatimustenmukaisuutta koskevat vaatimukset.

Organisaation on dokumentoitava tietoturvan hallintajärjestelmä ja organisaation toimintamalli niiden täyttämiseksi.

Dokumentoinnissa on myös kuvattava organisaation politiikka lakien, asetusten, standardien ja sopimusvelvoitteiden noudattamisen osalta.

Organisaatiolla on oltava politiikat ja menettelyt, joissa käsitellään sekä fyysistä että tietoturvallisuutta koskevia näkökohtia omaisuuden suojaamiseksi. Niitä käsitellään tarkemmin erillisissä tehtävissä.

Organisaation on laadittava luettelo laukaisevista tekijöistä, jotka johtavat tietoturvallisuuden hallintajärjestelmän tarkistamiseen.

Laukaiseviin tekijöihin olisi sisällyttävä ainakin seuraavat:

• vakavat tietoturvaloukkaukset,
• muutokset organisaation tietoturvallisuuden hallintajärjestelmän kannalta merkityksellisissä oikeudellisissa, sääntelyyn liittyvissä tai muissa vaatimuksissa,
• merkittävät muutokset riskitasoissa,
• merkittävät muutokset tietoturvallisuuden hallintajärjestelmässä.

Organisaation on määriteltävä kullekin laukaisevalle tekijälle kynnysarvot, jotka osoittavat uudelleentarkastelun tarpeen.

Kynnysarvojen on vastattava organisaation riskinsietokykyä.

Organisaatio tarkastelee säännöllisesti (esim. vuosittain) tietoturvallisuuden hallintajärjestelmiin liittyviä alan parhaita käytäntöjä (esim. ISO 27001, NIST Cyber Security Framework) ja muita asiaan liittyviä tietoturvallisuuden hallinnan parhaita käytäntöjä (esim. OWASP, SANS) arvioidakseen niiden merkitystä organisaatiolle ja varmistaakseen vahvistettujen tietoturvapolitiikoiden jatkuvan asianmukaisuuden.

Organisaation olisi otettava huomioon toimiala, jolla se toimii, valitessaan parasta käytäntöä.

Vastuu tiettyjen järjestelmien tarkastamisesta on määriteltävä organisaatiossa. Vastuu voi olla sisäisillä tai ulkoisilla tarkastajilla tai molemmilla. Tarkastuksesta vastaavalla henkilöllä on oltava tarvittava pätevyys ja riittävä riippumattomuus tehtävän suorittamiseksi. Jos auditoinnin suorittavat ulkopuoliset auditoijat, vastuu heidän pätevyytensä varmistamisesta on auditoinnin tilaavalla organisaatiolla.

Organisaation on tarkistettava tietoturvapolitiikkansa ja -menettelynsä vähintään vuosittain ja päivitettävä ne tarvittaessa, jotta ne pysyvät ajan tasalla.

Uudelleentarkastelussa olisi arvioitava kriittisesti politiikan tai menettelyjen yleistä tehokkuutta ja sitä, pystytäänkö niillä edelleen vastaamaan tunnistettuihin riskeihin. Tarkistusprosessi ja tarvittavat muutokset olisi dokumentoitava.

Organisaation on suoritettava kattava liiketoimintavaikutusten analyysi (BIA) liiketoimintaprosessien, niitä tukevien tieto- ja viestintäteknisten järjestelmien, palveluiden ja omaisuuden kriittisyyden ja keskinäisten riippuvuuksien tunnistamiseksi ja arvioimiseksi sekä tieto- ja viestintäteknisten vaste- ja toipumissuunnitelmien kehittämisen ja validoinnin tukemiseksi.

BIA:n on:

• Tunnistettava ja luokiteltava kriittiset ja tärkeät toiminnot
• Määriteltävä suurimmat sallitut käyttökatkokset (MTD) sekä toipumisaikatavoitteet (RTO) ja toipumispistetavoitteet (RPO)
• Arvioitava tieto- ja viestintäteknisten palveluiden häiriöiden toiminnalliset, taloudelliset, oikeudelliset ja maineeseen liittyvät vaikutukset
• Kartoitettava riippuvuudet tieto- ja viestintäteknisistä järjestelmistä, tiedoista, infrastruktuurista ja kolmansien osapuolten palveluista
• Tarkistettava ja päivitettävä säännöllisesti (esim. vuosittain tai merkittävien muutosten jälkeen)

Integrointi tieto- ja viestintätekniseen toipumissuunnitteluun:

BIA:n tulosten on suoraan johdettava tieto- ja viestintäteknisten vaste- ja toipumissuunnitelmien rakennetta ja painopisteitä.

Elvytyssuunnitelmissa on otettava huomioon:

• Mitkä järjestelmät/palvelut vaativat nopeimman toipumisen
• Palautusjärjestys
• Hyväksyttävät tietojen menetyksen ja käyttökatkosten raja-arvot
• Suunnitelmien testauksen on perustuttava uskottaviin häiriöskenaarioihin, jotka kohdistuvat BIA:ssa yksilöityihin vaikutuksiltaan suuriin järjestelmiin/toimintoihin
• Elvytyssuunnitelmia on arvioitava suhteessa BIA:n odotuksiin häiriötilanneharjoitusten aikana ja päivitettävä sen mukaisesti

Organisaation on luotava ja ylläpidettävä omaisuudenhallintapolitiikka, joka kattaa vähintään seuraavat asiat:

• vaatimukset tieto- ja viestintäteknisten järjestelmien turvalliseen asennukseen, ylläpitoon, konfigurointiin ja poistamiseen
• vaatimukset tieto- ja viestintäteknisen omaisuuden hyödyntämien tieto-omaisuuserien hallintaan, mukaan lukien niiden käsittely ja jalostus sekä automaattisesti että manuaalisesti
• vaatimukset vanhojen ICT-järjestelmien tunnistamiseen ja hallintaan

Organisaation on luotava ja ylläpidettävä fyysistä ja ympäristön turvallisuutta koskeva politiikka. Politiikan tulee sisältää vähintään seuraavat asiat:

• viittaus politiikan osioon, joka käsittelee pääsynhallinnan valvontaa
• toimenpiteet hyökkäyksiltä, onnettomuuksilta sekä ympäristöuhkilta ja -vaaroilta suojautumiseksi
• yksilöidyt tilat, tietokeskukset ja arkaluonteiset nimetyt alueet
• toimenpiteet tieto- ja viestintäteknisten omaisuuserien suojaamiseksi sekä tiloissa että niiden ulkopuolella
• toimenpiteet tieto- ja viestintäteknisen omaisuuden, tieto-omaisuuden ja fyysisten kulunvalvontalaitteiden saatavuuden, aitouden, eheyden ja luottamuksellisuuden varmistamiseksi
• toimenpiteet tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämiseksi, mukaan lukien

Organisaation on laadittava ja ylläpidettävä raportti tieto- ja viestintäteknisten riskienhallintakehyksen tarkistamisesta. Se sisältää:

• Johdanto
• raportin hyväksymispäivämäärä
• kuvaus tarkistamisen syystä
• tarkistusjakson alkamispäivämäärä ja päättymispäivämäärä
• tarkistuksesta vastaavan toiminnon ilmoitus
• kuvaus tieto- ja viestintäteknisten riskienhallintakehykseen tehdyistä merkittävistä muutoksista ja parannuksista
• yhteenveto tarkistuksen havainnoista sekä yksityiskohtainen analyysi ja arvio heikkouksien, puutteiden ja aukkojen vakavuudesta
• kuvaus toimenpiteistä havaittujen heikkouksien, puutteiden ja aukkojen korjaamiseksi
• tiedot suunnitelluista jatkotoimista
• tarkistuksen perusteella tehdyt johtopäätökset
• tiedot aiemmista tarkistuksista
• raportin valmistelussa käytetyt tietolähteet, mukaan lukien kaikki seuraavat

Täydellinen luettelo artiklan vaatimuksista.

Organisaation on laadittava ja ylläpidettävä kattava tieto- ja viestintäteknologia (TVT) -projektinhallintapolitiikka, jossa määritellään puitteet TVT-projektien käynnistämiselle, hallinnoinnille ja käyttöönotolle katetussa yksikössä. Politiikkaan on sisällyttävä seuraavat osatekijät:

• TVT-projektin tavoitteet
• TVT-projektin hallinto, mukaan lukien roolit ja vastuut
• TVT-projektin suunnittelu, aikataulu ja vaiheet
• TVT-projektin riskinarviointi
• asiaankuuluvat välitavoitteet
• muutoksenhallinnan vaatimukset
• kaikkien vaatimusten, myös tietoturvavaatimusten, testaaminen ja hyväksymisprosessi, kun TVT-järjestelmä otetaan käyttöön tuotantoympäristössä

Organisaation on varmistettava, että tieto- ja viestintätekniikan tietoturvapolitiikat:

• ovat linjassa organisaation turvallisuustavoitteiden kanssa, jotka sisältyvät digitaalisen toiminnan häiriönsietokykyä koskevaan strategiaan.
• Ilmoitetaan päivämäärä, jolloin johtoelin on hyväksynyt ne.

Politiikkojen olisi sisällettävä:

• Indikaattorit ja toimenpiteet täytäntöönpanon seurantaa varten (menettelyt, protokolla ja työkalut).
• kirjaus täytäntöönpanon poikkeuksista
• Miten digitaalinen toimintavarmuus varmistetaan poikkeustapauksissa.

Politiikoiden olisi myös sisällettävä seuraavat seikat:

• Määriteltävä henkilöstön vastuu kaikilla tasoilla tieto- ja viestintätekniikan turvallisuuden osalta.
• Määritellään seuraukset, joita aiheutuu, jos henkilöstö ei noudata sääntöjä.
• Luettelo asiaan liittyvistä asiakirjoista, joita on säilytettävä.
• määriteltävä tehtävien erottelu eturistiriitojen välttämiseksi.
• Otetaan huomioon johtajien käytännöt ja standardit soveltuvin osin.
• määritetään roolit ja vastuut politiikoiden, menettelyjen, pöytäkirjojen ja välineiden kehittämisessä, täytäntöönpanossa ja ylläpidossa.
• Tarkistetaan asetuksen (EU) 2022/2554 6 artiklan 5 kohdan mukaisesti.
• Otetaan huomioon organisaatiossa tapahtuneet olennaiset muutokset, jotka voivat vaikuttaa politiikoihin.

Organisaation on otettava huomioon seuraavat seikat luodessaan ja soveltaessaan tieto- ja viestintätekniikan turvallisuuspolitiikkoja, -menettelyjä ja riskienhallintatyökaluja: organisaation koko, riskitaso ja monimutkaisuus. Erityisesti on otettava huomioon:

• salauksen ja kryptografian käyttö
• ICT-toimintojen turvatoimenpiteet
• verkkoturvallisuus
• ICT-projektien ja muutosten hallintaprosessit
• Miten ICT-riskit voivat vaikuttaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen.

Organisaation olisi otettava käyttöön asianmukaiset hallinnolliset, tekniset ja fyysiset suojatoimet, jotka on suunniteltu suojaamaan suojattujen terveystietojen (PHI) yksityisyyttä, ja varmistettava, että nämä toimenpiteet estävät aktiivisesti yksityisyyden suojaa koskevien säännösten rikkomisen ja rajoittavat tehokkaasti satunnaisia luovutuksia.

Organisaation olisi nimitettävä tietoturvavastaava, joka vastaa HIPAA:ssa määriteltyjen politiikoiden ja menettelyjen kehittämisestä ja täytäntöönpanosta sekä suojattujen terveystietojen (PHI) turvatoimista.

Organisaation on suoritettava säännöllisesti teknisiä ja ei-teknisiä arviointeja sekä auditointeja, jotka perustuvat aluksi toteutettuihin standardeihin ja myöhemmin ympäristö- tai toimintaympäristön muutoksiin, sen määrittämiseksi, täyttävätkö sen tietoturvapolitiikat ja -menettelyt suojattuja terveystietoja koskevat vaatimukset ja ovatko ne HIPAA:n mukaisia.

Organisaation olisi kehitettävä, toteutettava ja jatkuvasti ylläpidettävä kattavaa tietoturvaohjelmaa, joka määrittää hallinnolliset, fyysiset ja tekniset suojatoimet kaikkien sähköisten suojattujen terveystietojen (PHI) luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi, suojataan aktiivisesti kohtuullisesti ennakoitavissa olevilta uhkilta sekä kielletyiltä luovutuksilta, ja varmistetaan, että henkilöstö noudattaa jatkuvasti kaikkia tietoturvakäytäntöjä.

Organisaation on varmistettava, ettei se voi pelotella, uhkailla tai rangaista ketään, joka käyttää HIPAA-oikeuksiaan tai tekee valituksen. Tämä suojaa ihmisiä, jotta he voivat turvallisesti käyttää oikeuksiaan ilman pelkoa. Organisaation on kohdeltava kaikkia oikeudenmukaisesti eikä se saa ryhtyä kielteisiin toimiin ketään kohtaan vain siksi, että tämä puolustaa yksityisyyden suojaa koskevia oikeuksiaan.

Organisaation on varmistettava, ettei se voi vaatia henkilöitä luopumaan HIPAA-oikeuksistaan ehtona hoidon saamiselle, maksujen suorittamiselle, terveydenhuoltosuunnitelmaan liittymiselle tai etuuksien saamiselle. Toisin sanoen ihmisiä ei saa pakottaa luopumaan yksityisyydensuojaa koskevista oikeuksistaan saadakseen terveydenhuoltopalveluja tai vakuutuksen.

Organisaation on kehitettävä ja pantava täytäntöön kirjalliset politiikat ja menettelyt, joilla varmistetaan HIPAA-standardien noudattaminen suojattujen terveystietojen (PHI) suojaamisessa. Nämä käytännöt on suunniteltava kohtuullisesti organisaation koon ja sen PHI-tietoihin liittyvien toimintojen luonteen perusteella. Tavoitteena on varmistaa, että kaikki käytännöt ovat HIPAA-vaatimusten mukaisia, mukaan lukien mahdolliset standardit, täytäntöönpanomäärittelyt ja muut oikeudelliset velvoitteet. Tämä vaatimus ei salli toimia, jotka rikkovat muita HIPAA-säännöksiä.

Säänneltyjen tahojen on kehitettävä ja pantava täytäntöön kirjalliset politiikat ja menettelyt, joilla varmistetaan HIPAA-standardien noudattaminen suojattujen terveystietojen (PHI) suojaamisessa. Nämä käytännöt on suunniteltava kohtuullisesti organisaation koon ja sen PHI-tietoihin liittyvien toimintojen luonteen perusteella. Tavoitteena on varmistaa, että kaikki käytännöt ovat HIPAA-vaatimusten mukaisia, mukaan lukien mahdolliset standardit, täytäntöönpanomäärittelyt ja muut oikeudelliset velvoitteet.

Organisaation on nimettävä pätevä auditoija, joka tarkastaa sen kyberturvallisuusriskien hallintatoimenpiteet. Tarkastajan on täytettävä asiaankuuluvissa säännöksissä määritellyt pätevyysvaatimukset.

Pätevyyden edellytyksenä on, että auditoija esittää dokumentoidun näytön yhdestä tai useammasta seuraavista seikoista:

Keskeisten toimijoiden osalta auditoijan on täytettävä kaikki kolme vaatimusta.

Organisaation on varmistettava, että CIP-osasto tai tarvittaessa nimetty toimivaltainen viranomainen hyväksyy auditoijan nimityksen. Nimitys voidaan tehdä vasta sen jälkeen, kun auditoija on toimittanut perustellun pyynnön ja sitä tukevat asiakirjat hyväksyvälle viranomaiselle ja virallinen hyväksyntä on myönnetty.

Tarkastuksessa on vahvistettava, että organisaation kyberturvallisuusriskien hallintatoimenpiteet ovat sovellettavien oikeudellisten, sääntelyyn liittyvien ja teknisten standardien mukaisia.

Organisaatioiden on osoitettava tietoturvavastuu tietylle henkilölle, erityiselle ryhmälle tai komitealle. Tämä nimetty henkilö tai ryhmä toimii pääasiallisena yhteyspisteenä ja huolehtii kaikesta teknisestä viestinnästä ja koordinoinnista valvontaviranomaisten ja kansallisten tietoturvaloukkauksiin reagoivien ryhmien (CSIRT) kanssa.

Jos vastuu annetaan yksittäisen henkilön sijasta ryhmälle tai komitealle, on tarpeen nimetä yksi henkilö viralliseksi edustajaksi. Lisäksi olisi nimettävä varahenkilö hoitamaan näitä tehtäviä aina, kun ensisijainen edustaja ei ole käytettävissä poissaolon, vapautumisen tai sairauden vuoksi. Näin varmistetaan, että aina on joku, joka on vastuussa ja kykenee reagoimaan nopeasti turvallisuusasioihin.

Organisaation on ilmoitettava asianomaisille valvontaviranomaisille, kun se nimittää tietoturvavastaavan. Ilmoitus on tehtävä kolmen kuukauden kuluessa nimittämisestä. Jos myöhemmin tapahtuu muutoksia, kuten uusi nimitys tai nykyisen tietoturvavastaavan irtisanominen (eroaminen, erottaminen jne.), näistä muutoksista on ilmoitettava kuukauden kuluessa siitä, kun ne tapahtuvat.

Organisaation on varmistettava, että tietoturvavastaavalla on tarvittavat resurssit (esim. budjetti, henkilöstö, välineet, aika) tehtäviensä tehokkaaseen hoitamiseen. Tietoturvavastaavan aseman organisaatiossa on helpotettava hänen työtään ja varmistettava asianmukainen osallistuminen kaikkiin asiaankuuluviin tietoturva-asioihin. Lisäksi olisi luotava ja ylläpidettävä suora ja tehokas viestintäkanava hallituksen tai ylimmän johdon kanssa, jotta varmistetaan strateginen linjaus ja tietoturvan valvonta. Tietoturvavastaavan olisi myös toimittava riittävän riippumattomasti niistä, jotka vastaavat verkkojen ja tietojärjestelmien teknisestä toteutuksesta ja hallinnasta, ja vältettävä eturistiriitoja.

Keskeisten tai tärkeiden organisaatioiden on sovellettava tietoturvatoimenpiteitä kaikkiin järjestelmiin ja laitteisiin, joita ne käyttävät palvelujensa tarjoamiseen tai toimintojensa toteuttamiseen. Nämä sovelletut turvatoimenpiteet on dokumentoitava tiedostoon nimeltä "Statement of Applicability of Systems". Tämän asiakirjan tulisi: Luetella, mitkä järjestelmät ovat käytössä Esitellä, mitä turvatoimenpiteitä kuhunkin järjestelmään sovelletaan Organisaation kyberturvallisuuden valvonnasta vastaavan tietoturvapäällikön on allekirjoitettava tämä asiakirja.Tämä asiakirja on lähetettävä asianomaiselle valvontaviranomaiselle kuuden kuukauden kuluessa siitä, kun organisaatio on virallisesti luokiteltu olennaiseksi tai tärkeäksi organisaatioksi.

Keskeisten ja tärkeiden organisaatioiden on osoitettava, että ne täyttävät tässä artikkelissa kuvatut tietoturvavaatimukset. Keskeisten organisaatioiden (kuten elintärkeiden infrastruktuurien tarjoajien) on osoitettava vaatimustenmukaisuus hankkimalla sertifioitu hyväksyntä valtuutetulta elimeltä - ja niiden on pidettävä tämä sertifiointi ajan tasalla. Tärkeillä toimijoilla on kaksi vaihtoehtoa: ne voivat joko hankkia saman virallisen sertifioinnin tai ne voivat suorittaa itsearvioinnin arvioidakseen omia tietoturvakäytäntöjään.Jos jokin keskeinen tai tärkeä organisaatio kuuluu erityisesti kuninkaallisen asetuksen 311/2022 (päivätty 3. toukokuuta) soveltamisalaan, niiden on noudatettava kyseisen asetuksen sääntöjä saadakseen sertifioinnin kansallisen turvallisuusjärjestelmän (ENS) mukaisesti. Kansallinen kyberturvallisuuskeskus määrittelee, miten sertifiointiprosessin tulisi toimia. Se varmistaa, että prosessi on: - tarpeellinen - suhteellinen - tehokas. Lopuksi sertifiointiprosessi suunnitellaan siten, että se osoittaa organisaation noudattavan sekä kansallisia tietoturvasääntöjä että asiaankuuluvia kansainvälisiä standardeja vaaditun tason mukaan.

Organisaation on virallisesti hyväksyttävä, dokumentoitava ja pantava täytäntöön kattavat turvatoimenpiteet, jotka perustuvat jatkuvan seurantaprosessin havaintoihin. Organisaatiolla on oltava selkeä menettely vaatimusten muuntamiseksi ulkoisista standardeista ja hyvistä käytännöistä organisaation sisäisiksi turvapolitiikoiksi, menettelyiksi ja teknisiksi valvontatoimiksi.

Kaikki tietoturvatoimenpiteet on valittava ja toteutettava organisaation riskianalyysin tulosten perusteella. Jokaisen tunnistetun riskin ja sen lieventämiseksi valitun toimenpiteen (toimenpiteiden) välillä on oltava selkeä, dokumentoitu yhteys, jolla varmistetaan, että toimenpiteet ovat asianmukaisia ja oikeasuhteisia.Tämä prosessi olisi dokumentoitava soveltuvuusilmoitukseen (Statement of Applicability, SoA) tai vastaavaan riskienkäsittelysuunnitelmaan. Tässä asiakirjassa perustellaan tiettyjen valvontatoimien sisällyttäminen ja esitetään perustelut sellaisille valvontatoimille, joita ei katsota sovellettaviksi.

Organisaation olisi laadittava dokumentoitu prosessi kattavan turvallisuussuunnitelman laatimiseksi vuoden kuluessa siitä, kun se on nimetty elintärkeäksi infrastruktuuriksi.

Prosessin avulla on myös varmistettava, että kaikki suunnitelmassa määritellyt sisäiset turvatoimenpiteet pannaan täysimääräisesti täytäntöön saman vuoden kuluessa.

Kehittämisen ja täytäntöönpanon hallitsemiseksi olisi laadittava projektisuunnitelma, joka sisältää keskeiset välitavoitteet ja vastuualueet määräajan noudattamiseksi.

Organisaation olisi elintärkeän infrastruktuurin ylläpitäjänä nimettävä turvallisuusyhteyspiste.

Turvallisuusyhteyspiste toimii keskitettynä yhteyshenkilönä kaikissa turvallisuus- ja infrastruktuurin suojaamiseen liittyvissä asioissa näihin viranomaisiin. On ratkaisevan tärkeää, että turvallisuusyhteyspiste on aina käytettävissä vastaamaan turvallisuuteen liittyviin viesteihin ja vaaratilanteisiin.

Jos olemassa oleva turvallisuusyhteyspiste hoitaa jo näitä tehtäviä muiden kansallisten tai kansainvälisten säännösten nojalla, sen yhteystiedot olisi ilmoitettava alakohtaiselle viranomaiselle.

Organisaation on elintärkeän infrastruktuurin ylläpitäjänä laadittava ja ylläpidettävä kattava Toimijakohtainen turvallisuussuunnitelma (Operator Security Plan, O.S.P.). Suunnitelmassa olisi järjestelmällisesti käsiteltävä elintärkeän infrastruktuurin häiriö- tai tuhoutumisriskejä.

Toimintasuunnitelmassa on eriteltävä yksityiskohtaisesti sekä organisatoriset että aineelliset toimenpiteet, joiden tarkoituksena on ehkäistä, lieventää ja neutralisoida tunnistettuja riskejä. Suunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta se vastaisi riskitilanteessa, elintärkeässä infrastruktuurissa tai yleisessä turvallisuusympäristössä tapahtuneita muutoksia.

Organisaation on ilmoitettava tietoturvaviranomaiselle kaikista suunnitelluista tietoturvatarkastuksista asetuksen 2 ja 3 kohdan mukaisesti. Ilmoitus on tehtävä vähintään kuukautta ennen tarkastusta, ja siihen on liitettävä Tietoturvaviranomaisen määrittelemän muodon ja sisältövaatimusten mukainen tarkastussuunnitelma.Tämän tehtävän tarkoituksena on varmistaa avoimuus ja antaa viranomaiselle mahdollisuus valvoa tulevia tarkastuksia sääntelyn odotusten mukaisesti.

Organisaation on osoitettava, että se noudattaa tietoturvariskien hallintaa koskevia velvoitteita. Kun organisaatio saa tietoturvaviranomaiselta pyynnön, sen on toimitettava oma ilmoitus, jossa luetellaan kaikki toteutetut riskinhallintatoimenpiteet kansallisen kyberturvallisuuslain 32 §:n mukaisesti.Ilmoituksen on noudatettava viranomaisen määrittelemää jäsenneltyä muotoa, ja se on toimitettava kuuden kuukauden kuluessa pyynnön esittämisestä. Itseilmoituksen tarkoituksena on tarjota avoimuutta ja varmuutta siitä, että organisaatio on toteuttanut asianmukaiset tekniset, operatiiviset ja organisatoriset toimenpiteet kyberturvallisuusriskien hallitsemiseksi.

Elintärkeiden infrastruktuurien ylläpitäjien on osoitettava liittovaltion tietoturvavirastolle (BSI), että ne ovat toteuttaneet 30 §:n 1 momentissa esitetyt tarvittavat kyberturvallisuustoimenpiteet 31 §:n 1 ja 2 momentin yhteydessä.

• aikaisintaan kolmen vuoden kuluttua siitä, kun organisaatio on ensimmäisen kerran nimetty elintärkeän infrastruktuurin toimijaksi.
• viimeistään kolmen vuoden kuluttua siitä, kun se on nimetty uudelleen (jos asema on menetetty ja saatu takaisin).
• sen jälkeen joka kolmas vuosi

Vaatimustenmukaisuus on osoitettava turva-auditoinneilla, tarkastuksilla tai sertifioinneilla. Näiden arviointien tulokset, mukaan lukien havaitut turvallisuuspuutteet, on toimitettava tekniselle tarkastuslaitokselle

, joka voi myös pyytää arvioinneissa käytetyt asiakirjat. Jos turvallisuuspuutteita havaitaan, tekninen tarkastuslaitos voi vaatia toiminnanharjoittajaa toimittamaan asianmukaisen korjaussuunnitelman. Yhteistyössä asianomaisen valvontaviranomaisen kanssa BSI voi myös vaatia, että puutteet korjataan, ja pyytää asianmukaisia todisteita siitä, että korjaustoimenpiteet on toteutettu.

Organisaation olisi vuosittain suoritettava itsearviointi tietoturvariskien hallinnan kypsyydestä. Arvioinnissa olisi noudatettava kansallisen kyberturvallisuusviranomaisen tai asiaankuuluvien kansallisten säännösten määrittämiä ohjeita ja menetelmiä. Organisaation johdon on tarkasteltava ja hyväksyttävä itsearvioinnin tulokset ennen niiden toimittamista nimetylle viranomaiselle määritellyssä määräajassa.

Organisaation olisi nimettävä turvallisuusvastaava, joka vastaa verkko- ja tietojärjestelmien turvallisuudesta. Tällä vastuuhenkilöllä on oltava johtovalta ja hänen on raportoitava suoraan organisaation ylimmälle johdolle. Objektiivisuuden ja tehokkuuden varmistamiseksi turvallisuusvastaavan on toimittava riippumattomana tietotekniikka- ja operatiivisesta teknologiaosastosta. Lisäksi organisaation olisi varmistettava, että turvallisuusvastaavalla on käytettävissään kaikki tarvittavat resurssit, kuten henkilöstö, budjetti ja tiedot, jotta hän voi tehokkaasti valvoa ja panna täytäntöön tietoturvariskien hallintatoimenpiteitä.

Organisaation olisi määriteltävä prosessi, jolla rekisteröidytään vaadittuihin virallisiin viestintäjärjestelmiin. Prosessin avulla olisi varmistettava, että kaikki tarvittavat tiedot, kuten yrityksen nimi, osoite ja nimetty yhteyshenkilö, annetaan täsmällisesti. Olisi nimettävä vastuullinen henkilö, joka pitää nämä rekisteröintitiedot ajan tasalla ja ilmoittaa viipymättä kaikista muutoksista.

Organisaation olisi luotava prosessi, jonka avulla se toimittaa liittovaltion kyberturvallisuusvirastolle (BACS) kaikki tarvittavat asiakirjat sen määrittämiseksi, kuuluuko se ilmoitusvelvollisuuden piiriin. Prosessissa olisi määriteltävä vastuuhenkilöt, jotka vastaavat asiakirjojen keräämisestä ja toimittamisesta, ja varmistettava, että kaikki viestintä BACS:n kanssa kirjataan asianmukaisesti.

Organisaatiolla olisi oltava vakiintuneet menettelyt ja sisäiset ohjeet, joilla varmistetaan täysipainoinen yhteistyö valvontaviranomaisten kanssa. Tähän kuuluu kaikkien tarvittavien tietojen toimittaminen viipymättä, pääsyn myöntäminen organisaation tiloihin ja laitteisiin, kun se on tarpeen tutkimuksia varten, ja tarvittavan avun tarjoaminen viranomaisen tehtävien helpottamiseksi. Organisaation olisi varmistettava, että näissä menettelyissä otetaan huomioon viranomaisen oikeus saada tietoja ja tutustua niihin, vaikka lakisääteinen salassapitovelvollisuus olisikin olemassa.

Organisaation on otettava käyttöön, toteutettava ja ylläpidettävä toimenpiteitä kriittisten kansallisten tietojen eheyden varmistamiseksi. Tämä voidaan saavuttaa toteuttamalla toimenpiteitä, joihin kuuluvat muun muassa seuraavat:

• Vähiten etuoikeuksia koskevan politiikan noudattaminen
• käyttää teknisiä valvontatoimia, kuten tiedostojen eheyden valvontaa (FIM), digitaalisia tarkistussummia tai digitaalisia allekirjoituksia.
• Otetaan käyttöön ja suojataan yksityiskohtaiset tarkastuslokit, joihin kirjataan turvallisesti kaikki kriittisiin kansallisiin tietoihin liittyvät käyttö-, muutos- ja poistotapahtumat.
• ottaa käyttöön varmuuskopiointiaikataulu kaikille kriittisille kansallisille tiedoille

• oikean ulkoisen viranomaisen tai ministeriön tunnistaminen, jolle asiasta on ilmoitettava.
• sellaisen virallisen ilmoituksen laatiminen ja toimittaminen, joka sisältää riskinarvioinnin tulokset ja hankintaa koskevat yksityiskohdat, ottamatta huomioon mitään salassapitovelvollisuutta.
• pitää kirjaa ilmoituksesta ja kaikesta myöhemmästä yhteydenpidosta viranomaisen kanssa.

Kun aiemmin ilmoitettu turvallisuuden kannalta arkaluonteinen toiminta lopetetaan, myös tästä on ilmoitettava viipymättä valvontaviranomaiselle. Tarkoituksena on varmistaa, että valvontavastuita mukautetaan ja että turvavelvoitteita ei enää sovelleta tarpeettomasti.

Ilmoituksessa olisi mainittava selkeästi lopettamispäivä ja vahvistettava, että kaikki siihen liittyvät suojaavat turvallisuusvastuut on lopetettu tai siirretty. Ilmoitusta koskeva dokumentaatio on säilytettävä todisteena vaatimusten noudattamisesta.

Kun turvallisuusriskin alaisen toiminnan määritelmän mukainen toiminta aloitetaan, siitä on ilmoitettava viipymättä asianomaiselle valvontaviranomaiselle. Tämä velvollisuus koskee toiminnan laajuudesta tai organisaatiomuodosta riippumatta.

Ilmoituksessa on oltava riittävät tiedot, jotka kuvaavat toiminnan luonnetta, sen yhteyttä kansalliseen turvallisuuteen ja vastaavan turvallisuusvastaavan yhteystietoja. Tällä ilmoitusvelvollisuudella varmistetaan valvonta ja lainsäädännön noudattaminen toiminnan alusta alkaen.

Organisaation olisi nimitettävä turvallisuussuojelupäällikkö, joka vastaa turvallisuussuojelutoimien hallinnoinnista ja koordinoinnista. Vastuuhenkilön asema, vastuualueet ja valtuudet on määriteltävä ja dokumentoitava virallisesti.

Tehtävänkuvauksessa olisi täsmennettävä, että turvallisuussuojeluvastaava:

• johtaa ja koordinoi organisaation turvasuojaustyötä.
• Varmistaa, että toimintaa harjoitetaan turvasuojelulain ja siihen liittyvien säännösten mukaisesti.
• Raportoi suoraan liiketoimintajohtajalle tai, jos sellaista ei ole, organisaation johtokunnalle.

Olisi myös dokumentoitava, että tätä kokonaisvastuuta ei voida siirtää toiselle henkilölle.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Koordinoi sitä, että asianomainen organisaatio noudattaa asiaankuuluvia säännöksiä ja lakeja.
• Varmistaa asianmukaisen huolellisuuden
• Hallinnoi viestintää kansallisen kyberturvallisuusviranomaisen kanssa
• Hänellä on käytettävissään tarvittavat resurssit tehtäviensä hoitamiseksi.

Organisaation on toimitettava raportti tieto- ja viestintätekniikan riskienhallintakehyksen uudelleentarkastelusta hakukelpoisessa sähköisessä muodossa. Sen on sisällettävä:

Johdanto:

Kuvaus rahoitusyksikön toimintaympäristöstä, mukaan lukien:

• Palvelujen, toimintojen ja operaatioiden luonne, laajuus ja monimutkaisuus.
• Organisaatiorakenne ja tunnistetut kriittiset toiminnot.
• Strategia ja tärkeimmät käynnissä olevat hankkeet tai toiminnot.
• Suhteet ja riippuvuus sisäisistä ja ulkoistetuista tieto- ja viestintätekniikkapalveluista.
• Tieto- ja viestintäteknisten järjestelmien täydellisen menetyksen tai vakavan heikkenemisen vaikutukset kriittisiin toimintoihin ja markkinoiden tehokkuuteen.

Johtotason tiivistelmä:

• Yhteenveto tunnistetuista nykyisistä ja lähitulevaisuuden tieto- ja viestintätekniikkariskeistä.
• Keskustelkaa uhkakuvasta ja valvonnan arvioidusta tehokkuudesta.
• Hahmotellaan rahoituslaitoksen tietoturvatilanne.

Raportoitua aluetta koskevat tiedot:

• Anna tarkat tiedot raportin painopisteestä.

Muutokset tieto- ja viestintätekniikan riskienhallintakehyksessä:

• Tiivistä edellisen raportin jälkeen tapahtuneet tärkeimmät muutokset.
• Kuvaile näiden muutosten vaikutusta yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen.

Hyväksymispäivä:

• Mainitse tarvittaessa päivämäärä, jolloin johtoelin hyväksyi raportin.

Tarkistuksen syy:

• Selitä, miksi uudelleentarkasteluun ryhdyttiin, mukaan lukien:
• Mahdolliset valvontaohjeet ja niihin liitetyt todisteet.
• Tieto- ja viestintätekniikkaan liittyvien vaaratilanteiden esiintyminen ja luettelo niistä sekä niiden syy-yhteysanalyysi.

Tarkistusta koskevat tiedot:

• Sisällytä tarkastelujakson alku- ja loppupäivä.
• Ilmoittakaa tarkastelun suorittamisesta vastaava henkilö.
• Yhteenveto ja itsearviointi tieto- ja viestintätekniikan riskinhallintajärjestelmän heikkouksista, puutteista ja puutteista.
• Sisällytä yksityiskohtainen analyysi näistä havainnoista.

Korjaavat toimenpiteet:

• Luettele toimenpiteet, jotka on yksilöity heikkouksien, puutteiden ja puutteiden korjaamiseksi.
• Sisällytä toimenpiteiden täytäntöönpanon odotetut päivämäärät.
• Seuraa aiempien raporttien ratkaisemattomia kysymyksiä.

Arvioinnin päättäminen, mukaan lukien tieto- ja viestintätekniikan riskinhallinnan suunniteltu jatkokehitys.

Organisaation on kehitettävä, dokumentoitava ja otettava käyttöön tieto- ja viestintätekniikan projektinhallintamenettely. Siinä on otettava huomioon:

• se kattaa projektin kaikki vaiheet sen käynnistämisestä sen päättämiseen.
• Tieto- ja viestintätekniikkahankkeiden toteuttamiseen osallistuvien henkilöiden roolit ja vastuut on määriteltävä ja dokumentoitava selkeästi.
• Dokumentoida koko projektinhallintamenettely johdonmukaisuuden ja vastuullisuuden varmistamiseksi.
• Dokumentoitu projektinhallintamenettely toteutetaan johdonmukaisesti kaikissa ICT-projekteissa.
• Seurataan ja tarkastellaan menettelyn tehokkuutta ja tehdään tarvittaessa muutoksia projektin tulosten parantamiseksi.

Organisaation on varmistettava, että sisäinen auditointi on riittävästi erotettu ja riippumaton valvontatoiminnoista.

Yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen sovelletaan sisäistä auditointia organisaation tarkastussuunnitelmien mukaisesti. Tarkastajalla on oltava riittävä pätevyys ja riippumattomuus. Auditointien tiheyden ja laajuuden olisi perustuttava organisaation tieto- ja viestintätekniikkariskiin.

Auditointien tulosten perusteella organisaation on varmistettava, että kriittiset auditointihavainnot tarkastetaan ja korjataan ajoissa.

Organisaatiolla on oltava sisäinen hallinto- ja valvontakehys, jolla varmistetaan tieto- ja viestintätekniikkariskien tehokas hallinta ja saavutetaan korkea digitaalisen toiminnan häiriönsietokyvyn taso.

Johtoelimen on:

• kannettava kokonaisvastuu ja varmistettava, että yksinkertaistettu tieto- ja viestintätekniikan riskienhallintakehys mahdollistaa liiketoimintastrategian saavuttamisen organisaation riskinottohalukkuuden mukaisesti.
• määriteltävä selkeät roolit ja vastuualueet kaikille tieto- ja viestintätekniikkaan liittyville tehtäville.
• asetettava tietoturvatavoitteet ja tieto- ja viestintätekniikkavaatimukset
• hyväksyttävä, valvottava ja säännöllisesti tarkistettava asetuksen 30 artiklan 1 kohdassa tarkoitettu tietovarallisuuden luokittelu.
• hyväksyy, valvoo ja tarkistaa säännöllisesti luettelon tärkeimmistä tunnistetuista riskeistä, niiden vaikutuksista liiketoimintaan ja niihin liittyvistä toimintalinjoista.
• myöntää ja tarkistaa vuosittain budjetin, joka on tarpeen digitaalisen toimintakyvyn saavuttamiseen liittyvien tarpeiden täyttämiseksi. Tässä on otettava huomioon kaikki mahdolliset tarvittavat resurssit.
• Määritellään ja pannaan täytäntöön I, II ja III luvussa mainitut toimintatavat ja toimenpiteet.
• Määritellään ja otetaan käyttöön menettelyt, välineet ja protokollat kaikkien tietojen ja tieto- ja viestintäteknisten resurssien suojaamiseksi.
• Varmistetaan organisaation henkilöstön riittävät tiedot ja taidot ICT-riskien ymmärtämiseksi ja arvioimiseksi.
• vahvistaa raportointijärjestelyt, kuten raportointitiheyden, -muodon ja -sisällön.

Organisaatioiden olisi pyydettäessä tai vapaaehtoisesti tehtävä yhteistyötä keskitetyn yhteyspisteen ja toimivaltaisten CSIRT-ryhmien kanssa, kun tapahtuu merkittävä tapahtuma, jolla on rajatylittäviä ja monialaisia vaikutuksia.

Organisaatioiden olisi suoritettava ulkoinen auditointi vähintään kerran kahdessa vuodessa tai aina kun toimivaltainen viranomainen sitä pyytää sovellettavien lakien ja asetusten mukaisesti.

Auditointeja suorittavat kyberturvallisuustarkastajat, joiden tehtävänä on laatia raportti tarkastuksen havainnoista. Organisaatioiden on syytä huomioida, että joissakin laeissa ja asetuksissa saatetaan vaatia auditoijilta erityisiä sertifikaatteja, esimerkiksi kansallinen kyberturvallisuustarkastuksen turvallisuustodistus, tai auditoinnin on oltava tietyn viranomaisen tekemä.

Organisaatioiden on toimitettava raportti kyberturvallisuusvaatimusten täytäntöönpanosta vastaavalle toimivaltaiselle viranomaiselle välittömästi sen saatuaan, jos lait ja asetukset niin määräävät.

Organisaatioiden johto- ja hallintoelimille on tiedotettava säännöllisesti tai tarvittaessa viipymättä häiriöistä ja ilmoituksista.

Organisaatio nimittää tietoturvavastaavan, joka vastaa tiettyjen verkkojen ja järjestelmien vaatimustenmukaisuudesta.

• Varmistetaan, että ehdokas täyttää samat pätevyysvaatimukset kuin tietoturvapäällikkö.
• Annetaan tietoturvavastaavalle mahdollisuus valvoa tarvittaessa useita järjestelmiä.
• Vaihtoehtoisesti ulkoistetaan tämä tehtävä palveluntarjoajalle tai nimitetään CISO huolehtimaan tehtävistä.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Varmistetaan, että henkilö on suoraan vastuussa yhteisön johtajalle.
• Varmistetaan, että ehdokas täyttää kelpoisuusvaatimukset: moitteeton maine, ei viimeaikaisia rangaistuksia ja asiaankuuluva kokemus tai sertifiointi.
• Määritellään hänen vastuualueensa kyberturvallisuusriskien hallintatoimenpiteiden ja vaatimustenmukaisuuden osalta.
• Vaihtoehtoisesti tehtävä voidaan yhdistää tietoturvavastaavan tehtävään tai ulkoistaa.

Organisaatio tekee tietoturva-auditointeja kansallisen kyberturvallisuuskeskuksen menettelyjen mukaisesti.

• Tietoturva-auditointi on suoritettava vähintään joka kolmas vuosi.
• Tarkastuksissa on noudatettava kansallisen kyberturvallisuuskeskuksen hyväksymiä menetelmiä.
• Auditoijalla on oltava kansallisen kyberturvallisuuskeskuksen menettelyjen mukainen sertifiointi, koulutus ja pätevyys.
• Tarkastajan on täytettävä kansallisen kyberturvallisuuskeskuksen riippumattomuutta, puolueettomuutta ja mainetta koskevat vaatimukset. Auditoijat eivät voi arvioida työnantajansa hallinnoimia verkkoja tai järjestelmiä.

Kansallinen kyberturvallisuuskeskus asentaa ja hallinnoi teknisiä kyberturvallisuustoimenpiteitä kyberuhkien ja -välikohtausten seuraamiseksi ja käsittelemiseksi. important-luokitellut organisaatiot voivat pyytää ja essential-luokiteltujen on mahdollistettava näiden toimenpiteiden toteuttamista ja hallinnointia järjestelmissään. Puolustusministeriö määrittelee menettelyt ja hyväksyy asennussuunnitelman, jossa määritellään toimenpiteet ja käsiteltävät tiedot. Kansallinen kyberturvallisuuskeskus kattaa näiden tietoturvatoimenpiteiden asennus-, ylläpito- ja korjauskustannukset.

Valtiollisten ja kunnallisten organisaatioiden tai muiden turvallisten verkkojen luettelossa lueteltujen laitosten on säilytettävä valtion tietovarantoja valtion palvelinkeskuksissa tai Liettuassa, EU:n, ETA:n tai Naton jäsenvaltioissa sijaitsevissa palvelinkeskuksissa. Valtion tietovarantojen tallennuskustannukset rahoitetaan laitoksille myönnetyistä valtionvaroista.

Valtiollisten ja kunnallisten organisaatioiden tai muiden laitosten, jotka käsittelevät valtion tietoja tai täyttävät kriteerit, on käytettävä sähköisessä viestinnässä puolustusministeriön valvomaa turvallista valtion tiedonsiirtoverkkoa ja oltava yhteydessä julkisiin verkkoihin ainoastaan sen kautta, lukuun ottamatta hallituksen määrittelemiä poikkeuksia.

Turvallisen verkon käytön ehdot:

• Ainoastaan hallituksen hyväksymässä käyttäjäluettelossa olevat organisaatiot saavat käyttää suojattua verkkoa.
• Laitosten on noudatettava hallituksen vahvistamia suunnitelmia ja aikatauluja liittyessään suojattuun verkkoon tai irrottautuessaan siitä.
• Sisältää tiedonsiirron, julkisen verkon käytön, kollektiivisen kyberturvallisuuden ja vuorovaikutuksen EU:n ja Naton resurssien kanssa, ja se on maksuton ja valtion rahoittama.
• Tarjotaan käyttäjäkohtaisilla tasoilla todelliset kustannukset kattavaa maksua vastaan, jonka auditoijat tarkistavat vuosittain.

Kansalliset kyberturvallisuusviranomaiset ylläpitävät Kyberturvallisuuden tietojärjestelmää, jonka avulla hallitaan velvollisia organisaatioita, vaaratilanteita ja riskinhallintatoimenpiteitä koskevia tietoja. Kyberturvallisuustietojärjestelmää koskevissa säännöksissä määriteltyihin vaatimuksiin perustuvan organisaation on rekisteröidyttävä tähän järjestelmään, ja sillä on oikeus tulla toimittamiensa tietojen käyttäjäksi.

Keskeisiä vaatimuksia ovat mm:

• Rekisteröityminen järjestelmän käyttäjäksi ja keskinäisten tiedonjakosopimusten toteuttaminen, myös ajantasaisten tietojen ylläpitäminen.
• Ilmoittaa kansalliselle kyberturvallisuuskeskukselle keskinäisistä sopimuksista tai irtisanomisista 20 työpäivän kuluessa.
• Ilmoittamaan kyberuhkatilanteista, läheltä piti -tilanteista ja uhkista kyberturvallisuustietojärjestelmään.
• Varmistetaan kansallisten kyberturvallisuuslakien noudattaminen ja vältetään operatiiviset riskit.

Kyberturvallisuuden tietojärjestelmän käytön hyödyt organisaatiolle:

• Pääsy ja käyttö kyberturvallisuustietojärjestelmän tietoihin, jotka liittyvät organisaation hallinnoituun verkkoon ja järjestelmiin
• Yhteistyö kansallisen kyberturvallisuuskeskuksen ja laitosten kanssa äärimmäisissä kyberuhkatilanteissa
• Saada reaaliaikaista tietoa vaaratilanteiden hallinnan ja varautumisen parantamiseksi.
• Vahvistaa organisaation riskienhallintaa järjestelmän tarjoamien työkalujen, palvelujen ja tietojen avulla.

Organisaation on ilmoitettava toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa, tietoturvapäällikön nimittämisestä. Ilmoituksessa on mainittava tietoturvapäällikön nimi, sukunimi, henkilötunnus, asema, sähköpostiosoite ja puhelinnumero. Organisaation on ilmoitettava kaikista muutoksista toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa.

Organisaation tietoturvanhallinnasta vastaa organisaation johto ja se varmistetaan. Kunkin yksikön johtaja määrittää vastuuhenkilön, joka toteuttaa ja valvoo kyberturvallisuustoimenpiteiden toteuttamista kyseisessä yksikössä. Valtioneuvosto määrittelee tietoturvapäällikölle asetettavat vaatimukset.

Tietoturvapäällikkö huolehtii seuraavista tehtävistä:

• Järjestää toimielimen tieto- ja viestintätekniikan infrastruktuurin turvatoimet.
• Suorittaa vähintään kerran vuodessa tieto- ja viestintätekniikan turvallisuustarkastus ja järjestää sen tulosten perusteella havaittujen puutteiden poistaminen.
• Osallistuu vähintään kerran vuodessa verkkoturvallisuuskoulutukseen, jonka järjestää verkkovahinkojen torjuntalaitos.
• Vähintään kerran vuodessa varmistaa, että laitoksen työntekijät saavat tiedotuksen aiheen ajankohtaisista kyberriskeistä ja kyberturvallisuudesta.