NIS2:n parhaat käytännöt: varmista nämä seitsemän asiaa
Kyberturvallisuusdirektiivi koskee kaikkia yhteiskunnan kannalta kriittisiä organisaatioita koosta riippumatta. Mitä isommasta toimijasta on kyse sitä tiukemmat vaatimukset kuitenkin ovat. Riskienhallinta on kaiken keskiössä ja oleellisimmat asiat voi tiivistää seitsemän kohdan listaksi.
NIS2-kyberturvallisuusdirektiivi koskee niitä lain piiriin kuuluvia tiettyjen alojen toimijoita, joilla on yli 50 työntekijää ja vuosittainen liikevaihto vähintään 10 miljoonaa euroa. Huomattava kuitenkin on, että jos organisaation toiminta on erityisen kriittistä yhteiskunnan toiminnan kannalta, sen tulee koostaan huolimatta noudattaa NIS2:n velvoitteita.
Mitkä tekijät ovat koosta riippumatta tärkeitä muistettavia seikkoja NIS2:n vaatimustenmukaisuuden täyttämiseksi? Kokosimme avuksi seitsemän kohdan vinkkilistan.
1. Tunnista tilanteesi
Kaikki lähtee oman organisaation ja sen toiminnan riskien tunnistamisesta. Jokaisen organisaation on myös itse tunnistettava, että kuuluu NIS2:n piiriin sekä tietää omat puutteensa ja lähteä suunnitelmallisesti niitä korjaamaan. On pystyttävä osoittamaan, että on yrittänyt parhaansa tietoturvan edistämiseksi ja NIS2-direktiivin velvoitteiden toteuttamiseksi.
2. Varmista johdon tuki
Viime kädessä yrityksessä johto määrittelee, miten IT-asioita hoidetaan. Ylin johto on myös vastuussa NIS2:n vaatimustenmukaisuuden noudattamisesta eli jos kuulut yrityksen johtoon, kannattaa olla aivan erityisen kiinnostunut tästä direktiivistä.
Yrityksen johdon tulee olla tietoinen yrityksen kyberturvallisuuden tilasta. Tietoturvan operatiivinen toteuttaminen täytyy olla hyvin hallinnoitua ja johdon hyväksymää. Kyberturvan toteuttamisesta vastaavalla taholla tulee olla näkyvyys kaikkiin kyberturvallisuutta koskeviin asioihin ja tiedonkulkua mahdollisesti rajoittavat “siilot” on purettava.
3. Suunnittele eteneminen ja priorisoi
Kehittäminen lähtee mahdollisten puutteiden tunnistamisesta. Isoja ja pieniä puutteita saattaa olla paljonkin ja pieni epätoivo saattaa hetkellisesti vallata mielen. Oleellista on havaita asioiden väliset yhteydet. Yksittäisiin nyansseihin ei kehitystyön alussa kannata kompastua vaan miettiä ensin laajoja kokonaisuuksia ja lähteä niistä liikkeelle. Tekemisen aikana on hyvä miettiä kuinka asioita tullaan hallitsemaan jatkossa; NIS 2 ei ole kertaluonteinen projekti. Dokumentoitu hallintamalli on oiva apuväline kyberturvallisuuden kehittämiseen ja hallintaan. NIS 2 korostaa dokumentaation merkitystä ja voisi kiteyttää, että kyberturvallisuusdirektiivin näkökulmasta vain dokumentoitu asia on toteutunut.
4. Päätä mitä teet itse ja mitä ulkoistat
Kumppania kannattaa hyödyntää etenkin niissä asioissa, joihin organisaation omat resurssit, kuten aika tai osaaminen, ei riitä. Esimerkiksi rutiinityöt voi olla kätevintä ulkoistaa tai vaikkapa sellaiset tehtävät, joita tehdään harvemmin ja jotka kuitenkin vaativat jotakin tiettyä erityisosaamista. Oma aika kannattaa käyttää niihin asioihin, jotka vaativat syvällistä liiketoiminnan tuntemusta.
5. Yhteinen foorumi asioiden käsittelyyn
Sujuva yhteistyö ja vuorovaikutus on kyberturvallisuusdirektiivin toteutumisen kannalta tärkeää. NIS2 ei ole IT-harjoitus, vaan se koskee koko organisaatiota ja kaikkia sen liiketoimintoja. Avoin vuorovaikutus mahdollistaa NIS2:n vaatimien toimenpiteiden suorittamisen ja riittävän informaation keräämisen yrityksen johdolle.
6. Testaa ja harjoittele
Harjoittelun ja henkilöstön kouluttamisen merkitys varautumisessa on kiistaton. Myös itse järjestelmiä sekä prosesseja ja niiden toimivuutta ja kestävyyttä häiriötilanteissa on syytä testata. Usein ulkopuolinen osaava kumppani on tässä arvokas lisä. Parhaimmillaan testaaminen paljastaa paikattavia kehityskohteita ennen kuin uhka oikeasti realisoituu. Varmista myös yhteisten politiikojen toimivuus ja toteutus.
7. Edistä tietoturvallista kulttuuria
Tietoturvallinen kulttuuri lähtee organisaation jokaisesta työntekijästä. Positiivisen kautta ajateltuna ihminen ei ole tietoturvaketjun heikoin vaan pikemminkin sen pelastava lenkki. Yhteisellä kulttuurilla voidaan luoda ilmapiiriä, jossa mahdollisia puutteitakin voidaan tuoda rohkeasti esille. Jokaisen työntekijän ei tarvitse olla tietoturva-asiantuntija, mutta jokaisen tulee tunnistaa vaaranpaikat ja tietää, keneltä pyytää tarvittaessa apua ja minne raportoida poikkeamista.
PS. Katso aiheesta 24.9. pidetyn webinaarin tallenne.
PPS. Tutustu NIS2-sivuihimme, joilta löydät tuhdin tietopaketin kyberdirektiivistä.
Blogin kirjoittaja
Juha Pennanen
Tietoturvakonsultti