Kyberturvallisuusdirektiivi eli NIS2 on ollut viime aikoina monessa organisaatiossa tärkeä ajuri turvallisuuskäytäntöjen kehittämiseen. Kansallisen lainsäädännön valmistumista odotellaan vielä, mutta päälinjat ovat olleet tiedossa jo pitkään.
Kyberturvallisuusdirektiivi eli NIS2 on saanut monet organisaatiot vahvistamaan turvallisuuttaan ja siihen liittyvien käytäntöjen läpinäkyvyyttä. Direktiivi koskettaa niitä organisaatioita, jotka toimivat yhteiskunnan kannalta kriittisillä aloilla. Loihteen syyskuussa 2024 järjestämässä NIS2-aiheisessa webinaarissa nousi esiin lukuisia aihetta koskevia kysymyksiä, joista tähän blogitekstiin on poimittu kymmenen. Vastaajana toimii NIS2-asiantuntija, Loihteen tietoturvakonsultti Juha Pennanen.
- Mikä oikeasti muuttuu?
Uutena asiana tässä NIS-versiossa ovat sanktiot. Keskeisille toimijoille sakkoa voi tulla 10 miljoonaa euroa tai enintään 2 % liikevaihdosta. Tärkeille toimijoille sakko on enintään 7 miljoonaa euroa / 1,4 % liikevaihdosta. Lisäksi jos johdon havaitaan tieten tahtoen vältelleen vastuuta ja laiminlyöneen lakia, voidaan johdolle asettaa omia sanktioita. Jalkautus tapahtuu yrityksen turvallisuudesta vastaavan tahon toimesta. Traficom on Suomessa keskeinen toimija, jolta saa ohjeistusta ja tietoa lakiin ja direktiiviin liittyen. Erityisesti Traficomin Kyberturvakeskus (KTK) on ottanut vastuuta direktiivin jalkauttamisesta.
- Koskeeko NIS2 myös aloittelevia startup-yrityksiä samassa laajuudessa kuin isoja yrityksiä?
Mikäli yritys kuuluu kyberturvallisuusdirektiivin (NIS2) vaikutuspiiriin kokonsa (50+ henkilöä tai liikevaihto yli 10 miljoonaa / vuosi) ja toimialansa puolesta (yhteiskunnan toiminnan kannalta kriittinen toimija), niin vastaus on kyllä. Toimenpiteet on sopeutettava toiminnan laatuun ja laajuuteen. Riskienhallinnan kautta on tunnistettava mahdollisen poikkeaman vaikutukset yrityksen toimintaan ja toteuttaa suojaavat toimenpiteet tämän arvion mukaan.
- Onko NIS2:n piiriin kuuluvien yritysten määrittelyt tarkentuneet? Voiko organisaatio määritellä itsensä ulos NIS2:sta?
Kohtuulliset määrittelyt ovat jo olemassa ja itsensä “ulos” määrittely ei pelasta miltään. Jos vähänkin epäilee kuuluvansa joukkoon, niin välittömästi mukaan. NIS2 ei aseta mitään kohtuuttomia vaatimuksia yrityksen tietoturvalle ja vastuullisilla yrityksillä tulisi tietoturvan olla jo NIS2-tasolla ilman mitään lainsäädäntöäkään.
- Onko tarkempaa tietoa, miten alihankkijat tms. pienemmät toimijat otetaan kriittisten toimijoiden piiriin eli tämän säädöksen piiriin?
NIS2-velvollinen toimija (tilaaja) asettaa vaatimukset alihankkijalle. Vaatimukset tulee suhteuttaa toimittajan kriittisyyden mukaisesti. Tilaaja ei voi vaatia toimittajaa ilmoittautumaan NIS2-toimijaksi, ellei toimittaja muuten kuulu NIS2:n piiriin.
- Mikä on toimittajan määritelmä NIS2-kontekstissa? Koskeeko tämä vain IT-toimittajia vai myös vaikkapa tavarantoimittajia?
Toimittaja, jonka toiminta vaikuttaa organisaation tietoturvallisuuteen (information security), on velvollinen toimimaan organisaation tietoturvapolitiikan mukaisesti. Esimerkiksi eteismattojen vaihtajan tulee ymmärtää, että käytäväkeskusteluja ei saa vuotaa työkavereille ja IT-ympäristön ylläpitäjän tulee taas ymmärtää huomattavasti laajemmin riskienhallinta asiakkaansa näkökulmasta.
- Minkälaista dokumentaatiota NIS2 edellyttää?
NIS2 vaatii toteuttamaan tiettyjä riskienhallintatoimia ja näihin liittyy toteutusta määritteleviä politiikoita ja ohjeita. Lisäksi vaaditaan näyttöä, että näitä politiikoita on noudatettu. Dokumentaation määrä riippuu paljon yrityksen koosta ja toimialasta.
Todentaminen dokumentaation kautta on monessa lain tai regulaation määrittämässä asiassa melkeinpä pakollista. Onneksi Microsoft Copilot helpottaa palaveripöytäkirjojen luomisessa ja tietoturvavalvomolla sekä monella virtuaalikonealustalla on omat dokumentointityökalunsa.
- Antaisitko esimerkin, millaiset tapaukset tulee raportoida viranomaiselle?
Kyberturvallisuuteen liittyvät poikkeamat, jotka vaikuttavat merkittävästi yhtiön liiketoimintaan, eli aiheuttavat merkittävän häiriön tuotantoon tai palveluun tai pysäyttävät koko liiketoiminnan, tulee raportoida. Tarkasteluun tulee ottaa mukaan vaikutukset yrityksen toimintaympäristöön, esimerkiksi asiakkaisiin.
Hyviä esimerkkejä ovat julkisuudessa esiintyneet pankkien ongelmat. Mikäli poikkeama vaikuttaa negatiivisesti tärkeiden palveluiden saatavuuteen, vaikkapa maksuliikenteeseen, niin kyseessä on merkittävä poikkeama.
- Mitkä ovat keskeisimmät tietoturvariskit verkkosivuilla ja miten ne ratkaistaan?
OWASP tarjoaa työkaluja yleisimpiin verkkosivujen ongelmiin. Käytämme Loihteen hakkeritiimissä pohjana verkkosivujen testaamiselle OWASP Top 10 -listaa, jossa on lueteltu kymmenen yleisintä ongelmaa verkkosivuilla. Listaa päivitetään suhteellisen harvoin, sillä ongelmat pysyvät pitkään samoina: erilaiset injektiot, puutteellinen DoS-suojaus, huonosti suunnitellut käyttöoikeudet jne. Kyseinen työkalu tarjoaa myös ohjeet yleisimpien ongelmien taklaukseen.
- NIS2 edellyttää henkilöstön kouluttamista tietoturva-asioissa. Miten koulutuksen vaikutusta tulisi seurata?
Koulutuksen tehokkuutta voidaan seurata usealla eri tavalla. Yksinkertaisin tapa on esittää kysymys koulutuksen sisällöstä sopivassa tilanteessa. Sopivia mittareita voi myös hyödyntää. Esimerkiksi jos koulutetaan henkilöstöä vaihtamaan itse salasanansa, voidaan seurata servicedeskiin tai tietohallinnolle tulleiden salasanan vaihtopyyntöjen määrää. Jos pyyntöjen määrä on kasvanut koulutuksen jälkeen, niin koulutusta ei voi pitää kovin onnistuneena.
- Miten varmuuskopioinnin testauksen kanssa tulisi toimia, onko määritetty kuinka usein palautusta pitää testata?
Mitään määriä ei määritellä. Varmuuskopioita ei tulisi testata sen takia, että laki määrää. Testauksen tarkoituksena on varmistaa viimeisen puolustuksen toimivuus sen jälkeen, kun muut asiat ovat menneet pieleen. Testauksen määrä pitää miettiä riskienhallinnan kautta. Jos varmistettava järjestelmä on kriittinen ja varmistuksen onnistumisessa on epäilyksiä, esim. kompleksinen tietokantaympäristö, niin palautustestauksia tulee tehdä useammin.
PS. Lisää direktiivistä voit lukea NIS2-sivultamme, josta löydät kattavan tietopaketin kyberturvallisuusdirektiivistä ja siihen liittyvistä ajankohtaisista sisällöistämme.
Blogin asiantuntija
