Skip to content

NIS2-direktiivi

EU:n kyberturvallisuusdirektiivin kansallinen soveltaminen alkaa vuonna 2024.

Liity NIS2-tiedotuslistallemme ja pysyt ajan tasalla!

cybersec_f
Dashboard

NIS2-direktiivi laajentaa soveltamisalaa

NIS2 eli kyberturvallisuusdirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. NIS2:ssa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista. Direktiivin myötä keskeisiä toimijoita valvotaan aktiiviisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat merkittävät. Direktiivin kansallinen soveltaminen eli sen kansalliseen lainsäädäntöön mukaan ottaminen on tehtävä viimeistään 17.10.2024.

Katso NIS2-webinaaritallenne

NIS2-webinaari_2409

Webinaaritallenne: NIS2 – yleisimmät havainnot ja parhaat käytännöt

Webinaarissa kerroimme direktiivin tuoreimmat päivitykset ja jaoimme käytännön oivalluksia asiakastöidemme pohjalta.

Mihin yleisimpiin haasteisiin törmäämme ja mitä tulisi laittaa kuntoon? Muun muassa näihin kysymyksiin saat vastauksen webinaarissa.

NIS2-direktiivin vaatimukset

Loihde - 20230317-DSCF2709 - 1920 x 2880
  • Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
  • Poikkeamien käsittely
  • Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  • Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  • Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  • Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  • Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  • Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  • Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa

Hyvä tietää NIS2-direktiivistä

Loihde_some (58)

Toimialat, joita direktiivi koskee

Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla.

Direktiivi koskee myös kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä koosta riippumatta, toimijoille ilmoitetaan tästä. Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin.

otscada

Keskeiset toimijat

Liikenne, energia, pankki ja finanssi, terveys, vesi, IT-infra, ICT-palvelut, julkishallinto, avaruus

Tärkeät toimijat

Posti, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus, digipalvelut, tutkimus

Loihde - Person writing on a whiteboard - DSCF2801 - 1920 x 1280

Mikä muuttuu?

  • Direktiivin piiriin kuuluvien toimialojen (yritysten) määrä kasvaa
  • Riskienhallinta korostuu
  • Tietoturvaan lisää vaatimuksia
  • Viranomaisten valvonta ja ohjaus kasvaa
  • Mahdolliset sanktiot
  • Toimitusketjut hallintaan
  • Raportointivaatimukset tiukemmat
Loihde - Light bulb close-up - DSCF2790 - 1920 x 1280

Sanktiot

  • Liiketoiminnan väliaikainen keskeyttäminen
  • Toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto
  • Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
  • Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta

Askeleet vaatimustenmukaisuuteen

Loihde_some (57)-1

1. Selvitä lähtötaso NIS2-kartoituksella

Toimialan, lähtötason ja liiketoiminnan vaatimukset huomioiva kartoitus toimii helppona lähtönä vaatimustenmukaisuuden saavuttamiselle. Saat kokonaisvaltaisen ymmärryksen ympäristöstänne NIS2-vaatimuksiin nähden sekä selkeän ja konkreettisen toimintasuunnitelman kohti NIS2-vaatimustenmukaisuutta. Loppuraportti kostaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi. Hinta: 5 400 €, alv 0 %

2. Suunnittele ja toteuta toimenpiteet

Kartoituksen myötä tai muuten tunnistettujen puutteiden korjaustoimien suunnitteluun ja toteutukseen saat käyttöösi Loihteen asiantuntijatiimin. Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. politiikoiden ja muiden dokumenttien luontiin, häriönhallintaan, ratkaisusuunnitteluihin ja haavoittuvuuksien hallintaan, fyysistä turvallisuutta unohtamatta.

Loihde - 20230317-DSCF3068 - 1920 x 1280
Loihde - Workstations at office - 1920 x 1280

3. Varmista toimiva aktiivinen valvonta, reagointi ja kehitys

NIS2 tavoittelee parempaa tietoturvan tasoa ja siksi valvonta on tärkeä osa vaatimustenmukaisuutta. Direktiivi sisältää myös tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja lähetä piti -tilanteista. Kellon ympäri miehitetty CSOC-kyberturvakeskuksemme varmistaa osaltaan liiketoimintasi jatkuvuuden ja kehittymisen.

4. Hallintajärjestelmä johtamisen ja kehityksen tueksi

Tietoturvanhallintajärjestelmää hyödyntämällä kehitys kohti vaatimuksenmukaisuutta helpottuu. Järjestelmä parantaa merkittävästi organisaation kykyä raportoida, todentaa ja arvioida tehtyjen toimenpiteiden vaikutusta. Suosittelemme jonkin hallintajärjestelmän käyttöä tietoturvatason kehityksen johtamisen avuksi.

Loihde_some (60)

Kaipaatko tukea NIS2:n vaatimustenmukaisuuteen?

Tietoturvallisuuden hallintajärjestelmät

Tietoturvan johtamisen ja kehityksen tuki

Digiturvamalli

Digiturvamallin avulla hallitset tietoturvan kehitystä yhdestä paikasta. Järjestelmä sisältää NIS2-direktiivin lisäksi myös muut yleisimmät tietoturvan ja -suojan vaatimuskehikot (esim. ISO 27001, GDPR, Tiedonhallintalaki ja Katakri). Digiturvamalli on kätevästi käytettävissä suoraan Microsoft Teams:sta tai vaihtoehtoisesti selaimella.

Digiturvamalli sisältää:

  • Tietoturvatoimenpiteiden hallinnan
  • Dokumentoinnin työkalut
  • Henkilöstön ohjeistukset
  • Automaattiset raporttiohjeistukset
 

vCISO-palvelu

vCISO:n ja asiantuntijamme avulla hallinnoit tietoturvaa ja vaatimustenmukaisuutta kokonaisvaltaisesti. Palvelussamme tietoturva- ja vaatimustasonne määritellään järjestelmään kartoituksen ja teknisten tarkistusten myötä. Järjestelmään muodostuu tietoturvan kehityssuunnitelma tehtävineen valittujen vaatimusten (esim. NIST 800-53, ISO27001 ja GDPR ) tietoturvakäytäntöjen mukaisesti.

Palvelu sisältää:

  • Tietoturvan tilannearviointi
  • Vaatimustenmukaisuuden arviointi määriteltyjä viitekehyksiä vasten
  • Julkiverkon haavoittuvuuksien tunnistaminen
  • Tietoturva-ammattilaisten määrittelemät tietoturvakäytänteet ja priorisoidut toimenpidesuositukset
  • Jatkuva tietoturvatason mittaaminen ja hallinta
  • Säännöllinen tietoturvan raportointi

Miksi valita meidät NIS2-kumppaniksi?

Sertifioitua osaamista

Sertifioitu ammattitason tietoturvan ja turvallisuuden asiantuntijatiimi käytettävissä.

Jimi Tamminen
Jimi on teknisen tietoturvan moniosaaja, joka hallitsee erityisesti OT-/ICS-ympäristöt ja pilviturvallisuuden. SOC-taustan myötä Jimi tuntee laajasti eri puolustus-ratkaisut ja niiden suunnittelun.

Motto: ”Turvallisuus lähtee näkyvyydestä”

Asiantuntija käytettävissäsi

Tietoturvan asiantuntija aina vastaamassa tietoturvan ja turvallisuuden kysymyksiin.

Laura Halonen
Lauralla on laaja-alaista kokemusta erilaisista yritysinfrastruktuureista. Pääasiassa taustalla on käyttäjä- ja sovellushallinnan vastuita hybridiympäristöissä. CSOC:ssa vietetyt vuodet paransivat entisestään puolustavan turvallisuuden tuntemusta. Zero Trust –sukupolvea.

Motto: ”Test, Fix, Secure, Repeat”

icon
Picture

Kokonaisvaltaista turvaa

Laaja-alainen osaaminen mahdollistaa kokonaisvaltaisen tietoturvan kehittämisen.

Juha Pennanen
Juha on kokenut moniosaaja. Juhan asiakaslähtöisellä lähestymistavalla tietoturva- ja tietosuoja-asioihin löydetään aina asiakkaan liiketoimintaan istuva ratkaisu. Kokonaiskuvan ymmärtäminen auttaa priorisoimaan asiat ja keskittymään olennaiseen.”

Motto: ”Kokemus tuo varmuutta”

icon
Picture

Tukea tavoitetilan saavuttamiseen

Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. seuraaviin osa-alueisiin:

Politiikat, suunnitelmat ja häiriönhallinta

Olemassa olevien suunnitelmien ja politiikkojen katselmointi ja parannusehdotusten laadinta. Häiriönhallintasuunnitelman (MIM-prosessi) laadinta ja työstäminen yhdessä asiakkaan kanssa vastaamaan asiakkaan tarpeita.

Verkkosuunnittelu ja IAM

Suunnittelupalvelujen kautta voimme laatia suunnitelman lokienhallinnan, verkon segmentoinnin tai identiteetin- ja pääsyhallinnan toteuttamiseksi. Voimme myös auttaa ratkaisujen toteuttamisessa.

Haavoittuvuuksien hallinta

Haavoittuvuuksien tunnistuspalvelun avulla haavoittuvuudet saadaan hallintaan ja pystytään varmistamaan ettei ympäristössä ole kriittisiä haavoittuvuuksia.

Toiminnan jatkuvuuden hallinta

Voimme auttaa tietoliikenteen salauksen, varmistuksien ja palautuksien sekä assettien hallinnan teknisen ratkaisun määrittelyssä ja toteuttamisessa.

Kyberturvakoulutukset

Valmentavien palveluiden kautta voimme laatia kertakoulutuksia tai vuosisuunnitelman koulutuksien pitämiseksi. Tietoturvatietosuutta kasvattavia koulutuksia voidaan pitää suomen ja englannin kielellä.

Fyysisen turvallisuuden ratkaisut

Direktiivissä myös fyysisen turvallisuuden varmistaminen tulee mukaan. Kokonaisvaltaisena yritysturvallisuuden kumppaninasi saat meiltä myös tarvitsemasi turvateknologiat.