Sisältökirjasto
NIS2 Åland
§ 16: Rapporteringsskyldigheter för kritiska verksamhetsutövare
Landskapslag om cybersäkerhet och motståndskraft (Åland)
§ 16

Rapporteringsskyldigheter för kritiska verksamhetsutövare

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

En kritisk verksamhetsutövare ska utan onödigt dröjsmål rapportera till landskapsregeringen om incidenter vilka medför en betydande störning eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster. En kritisk verksamhetsutövare ska, om det inte är operativt omöjligt, lämna in en första rapport inom 24 timmar efter det att den har fått kännedom om en incident, åtföljd, i förekommande fall, av en detaljerad rapport senast en månad därefter. För att fastställa huruvida störningen är betydande ska i synnerhet följande omständigheter beaktas:

  1. antal och andel användare vilka berörs av störningen,
  2. störningens varaktighet, och
  3. det geografiska område vilket påverkas av störningen.

Incidentrapport enligt 1 mom. ska omfatta all tillgänglig information vilken är nödvändig för att landskapsregeringen ska kunna förstå incidentens art, orsak och möjliga konsekvenser, inbegripet eventuell information vilken krävs för att kunna fastställa incidentens eventuella gränsöverskridande verkningar.

Landskapsregeringen kan genom landskapsförordning utfärda närmare bestämmelser om formen för och innehållet i incidentrapportering enligt 1 och 2 mom.

Kuinka täyttää vaatimus

Landskapslag om cybersäkerhet och motståndskraft (Åland)

§ 16: Rapporteringsskyldigheter för kritiska verksamhetsutövare

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
85
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.b: Postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
NIS2 Croatia
9.9a §: Poikkeamien havainnointi
Kyberturvallisuuslaki
1.6.1: Reporting of security events
TISAX
1.3.2: Classification of information assets
TISAX
30 § 3.2° (incidents): La gestion des incidents
NIS2 Belgium
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle
1. Tehtävän vaatimuskuvaus

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

  • luvaton pääsy tietoihin / tiloihin
  • tietoturvaohjeiden vastainen toiminta
  • epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
  • tietojärjestelmän käyttökatko
  • tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
  • kadonnut tai varastettu laite
  • vaarantunut salasana
  • kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
  • epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Prosessi merkittävien vaaratilanteiden ilmoittamiseksi maakuntahallitukselle (Ahvenanmaa).

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
§ 16: Rapporteringsskyldigheter för kritiska verksamhetsutövare
NIS2 Åland
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi merkittävien vaaratilanteiden ilmoittamiseksi maakuntahallitukselle (Ahvenanmaa).
1. Tehtävän vaatimuskuvaus

Organisaation olisi luotava ja ylläpidettävä dokumentoitua häiriöraportointiprosessia, jonka avulla maakuntahallitukselle voidaan ilmoittaa ajoissa merkittävistä palveluhäiriöistä. Prosessin avulla olisi varmistettava, että kriittiset toimijat ilmoittavat kaikista tapahtumista, jotka aiheuttavat tai saattavat aiheuttaa merkittävän häiriön keskeisille palveluille. Ilmoitukset olisi tehtävä ilman tarpeetonta viivytystä tai kahdenkymmenenneljän tunnin kuluessa siitä, kun häiriöstä on saatu tieto, ellei se ole toiminnallisesti mahdotonta. Prosessissa on myös varmistettava, että yksityiskohtainen seurantaraportti toimitetaan kuukauden kuluessa, jos lisätietoja tarvitaan.

Prosessiin on sisällytettävä arviointiperusteet sen määrittämiseksi, onko häiriö merkittävä. Siihen olisi sisällyttävä häiriön kohteena olevien käyttäjien määrä ja osuus, häiriön kesto ja maantieteellinen alue, johon häiriö vaikuttaa. Raportoinnin työnkulussa on varmistettava, että jokainen raportti sisältää kaikki tarvittavat tiedot, jotta lääninhallitus voi ymmärtää häiriön luonteen, syyn, seuraukset ja mahdolliset rajat ylittävät vaikutukset.

Häiriötilanteiden dokumentointi ja eheys

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RS.AN-06: Records of investigation of incident
NIST 2.0
§ 16: Rapporteringsskyldigheter för kritiska verksamhetsutövare
NIS2 Åland
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Häiriötilanteiden dokumentointi ja eheys
1. Tehtävän vaatimuskuvaus

Organisaatio noudattaa dokumentointikäytäntöjä kunkin häiriöiden tutkinta- ja reagointiprosessin osalta:

  • Edellytetään, että jokainen tapahtumiin vastannut tai niitä tutkinut henkilö, mukaan lukien järjestelmän ylläpitäjät ja tietoturvahenkilöstö, kirjaa toimintansa prosessin aikana. Varmistetaan, että nämä tallenteet ovat muuttumattomia, jotta niiden eheys säilyy myöhempää analysointia ja tarkastuksia varten.
  • Määritetään vaaratilanteen johtajalle vastuu vaaratilanteen yksityiskohtaisesta dokumentoinnista, johon kirjataan kaikki toimet, havainnot ja päätökset, jotka on tehty koko vaaratilanteen selvitysprosessin aikana.
  • Varmistetaan, että häiriötilanteiden käsittelystä vastaavat ovat vastuussa kaikkien asiakirjojen eheyden säilyttämisestä ja raportoitavien tietojen lähteiden säilyttämisestä, jotta estetään tietojen väärentäminen tai häviäminen.

Häiriöiden luokittelu

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
7
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Article 18: Classification of ICT-related incidents and cyber threats
DORA
4.2.1: Review log data and collect relevant data on the incident to create a good basis for making decisions
NSM ICT-SP
4.2.2: Determine the severity level of the incident
NSM ICT-SP
RS.MA-03: Incident classification
NIST 2.0
RS.AN-08: Incident’s magnitude
NIST 2.0
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Häiriöiden luokittelu
1. Tehtävän vaatimuskuvaus

Organisaatioiden tulee suorittaa häiriöiden luokittelu ja vaikutustenarviointi seuraavien kriteerien perusteella:

  • Asianomaisten osapuolten (asiakkaat, muut organisaatiot) lukumäärä ja mahdollisuuksien mukaan niiden tapahtumien määrä, joihin vaikutus vaikuttaa.
  • Mainevaikutus
  • Häiriön kesto
  • Vaikutusten maantieteellinen leviäminen
  • Mahdollisia tietojen menetyksiä suhteessa CIA-arvoihin
  • Vaikutuksen kohteena olevien palveluiden kriittisyys
  • Taloudellinen vaikutus

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin