NIS2-direktiivi
EU:n kyberturvallisuusdirektiivin kansallinen soveltaminen alkaa vuonna 2024.
Liity NIS2-tiedotuslistallemme ja pysyt ajan tasalla!
NIS2-direktiivi laajentaa soveltamisalaa
NIS2 eli kyberturvallisuusdirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. NIS2:ssa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista. Direktiivin myötä keskeisiä toimijoita valvotaan aktiiviisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat merkittävät. Direktiivin kansallinen soveltaminen eli sen kansalliseen lainsäädäntöön mukaan ottaminen on tehtävä viimeistään 17.10.2024.
Katso NIS2-webinaaritallenne
Webinaaritallenne: NIS2 – yleisimmät havainnot ja parhaat käytännöt
Webinaarissa kerroimme direktiivin tuoreimmat päivitykset ja jaoimme käytännön oivalluksia asiakastöidemme pohjalta.
Mihin yleisimpiin haasteisiin törmäämme ja mitä tulisi laittaa kuntoon? Muun muassa näihin kysymyksiin saat vastauksen webinaarissa.
NIS2-direktiivin vaatimukset
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
- Poikkeamien käsittely
- Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
- Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
- Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
- Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
- Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa
Hyvä tietää NIS2-direktiivistä
Toimialat, joita direktiivi koskee
Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla.
Direktiivi koskee myös kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä koosta riippumatta, toimijoille ilmoitetaan tästä. Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin.
Keskeiset toimijat
Liikenne, energia, pankki ja finanssi, terveys, vesi, IT-infra, ICT-palvelut, julkishallinto, avaruus
Tärkeät toimijat
Posti, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus, digipalvelut, tutkimus
Mikä muuttuu?
- Direktiivin piiriin kuuluvien toimialojen (yritysten) määrä kasvaa
- Riskienhallinta korostuu
- Tietoturvaan lisää vaatimuksia
- Viranomaisten valvonta ja ohjaus kasvaa
- Mahdolliset sanktiot
- Toimitusketjut hallintaan
- Raportointivaatimukset tiukemmat
Sanktiot
- Liiketoiminnan väliaikainen keskeyttäminen
- Toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto
- Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
- Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta
Askeleet vaatimustenmukaisuuteen
1. Selvitä lähtötaso NIS2-kartoituksella
Toimialan, lähtötason ja liiketoiminnan vaatimukset huomioiva kartoitus toimii helppona lähtönä vaatimustenmukaisuuden saavuttamiselle. Saat kokonaisvaltaisen ymmärryksen ympäristöstänne NIS2-vaatimuksiin nähden sekä selkeän ja konkreettisen toimintasuunnitelman kohti NIS2-vaatimustenmukaisuutta. Loppuraportti kostaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi. Hinta: 5 400 €, alv 0 %
2. Suunnittele ja toteuta toimenpiteet
Kartoituksen myötä tai muuten tunnistettujen puutteiden korjaustoimien suunnitteluun ja toteutukseen saat käyttöösi Loihteen asiantuntijatiimin. Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. politiikoiden ja muiden dokumenttien luontiin, häriönhallintaan, ratkaisusuunnitteluihin ja haavoittuvuuksien hallintaan, fyysistä turvallisuutta unohtamatta.
3. Varmista toimiva aktiivinen valvonta, reagointi ja kehitys
NIS2 tavoittelee parempaa tietoturvan tasoa ja siksi valvonta on tärkeä osa vaatimustenmukaisuutta. Direktiivi sisältää myös tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja lähetä piti -tilanteista. Kellon ympäri miehitetty CSOC-kyberturvakeskuksemme varmistaa osaltaan liiketoimintasi jatkuvuuden ja kehittymisen.
4. Hallintajärjestelmä johtamisen ja kehityksen tueksi
Tietoturvanhallintajärjestelmää hyödyntämällä kehitys kohti vaatimuksenmukaisuutta helpottuu. Järjestelmä parantaa merkittävästi organisaation kykyä raportoida, todentaa ja arvioida tehtyjen toimenpiteiden vaikutusta. Suosittelemme jonkin hallintajärjestelmän käyttöä tietoturvatason kehityksen johtamisen avuksi.
Kaipaatko tukea NIS2:n vaatimustenmukaisuuteen?
Tietoturvallisuuden hallintajärjestelmät
Tietoturvan johtamisen ja kehityksen tuki
Digiturvamalli
Digiturvamallin avulla hallitset tietoturvan kehitystä yhdestä paikasta. Järjestelmä sisältää NIS2-direktiivin lisäksi myös muut yleisimmät tietoturvan ja -suojan vaatimuskehikot (esim. ISO 27001, GDPR, Tiedonhallintalaki ja Katakri). Digiturvamalli on kätevästi käytettävissä suoraan Microsoft Teams:sta tai vaihtoehtoisesti selaimella.
Digiturvamalli sisältää:
- Tietoturvatoimenpiteiden hallinnan
- Dokumentoinnin työkalut
- Henkilöstön ohjeistukset
- Automaattiset raporttiohjeistukset
vCISO-palvelu
vCISO:n ja asiantuntijamme avulla hallinnoit tietoturvaa ja vaatimustenmukaisuutta kokonaisvaltaisesti. Palvelussamme tietoturva- ja vaatimustasonne määritellään järjestelmään kartoituksen ja teknisten tarkistusten myötä. Järjestelmään muodostuu tietoturvan kehityssuunnitelma tehtävineen valittujen vaatimusten (esim. NIST 800-53, ISO27001 ja GDPR ) tietoturvakäytäntöjen mukaisesti.
Palvelu sisältää:
- Tietoturvan tilannearviointi
- Vaatimustenmukaisuuden arviointi määriteltyjä viitekehyksiä vasten
- Julkiverkon haavoittuvuuksien tunnistaminen
- Tietoturva-ammattilaisten määrittelemät tietoturvakäytänteet ja priorisoidut toimenpidesuositukset
- Jatkuva tietoturvatason mittaaminen ja hallinta
- Säännöllinen tietoturvan raportointi
Miksi valita meidät NIS2-kumppaniksi?
Sertifioitua osaamista
Sertifioitu ammattitason tietoturvan ja turvallisuuden asiantuntijatiimi käytettävissä.
Jimi Tamminen
Jimi on teknisen tietoturvan moniosaaja, joka hallitsee erityisesti OT-/ICS-ympäristöt ja pilviturvallisuuden. SOC-taustan myötä Jimi tuntee laajasti eri puolustus-ratkaisut ja niiden suunnittelun.
Motto: ”Turvallisuus lähtee näkyvyydestä”
Asiantuntija käytettävissäsi
Tietoturvan asiantuntija aina vastaamassa tietoturvan ja turvallisuuden kysymyksiin.
Laura Halonen
Lauralla on laaja-alaista kokemusta erilaisista yritysinfrastruktuureista. Pääasiassa taustalla on käyttäjä- ja sovellushallinnan vastuita hybridiympäristöissä. CSOC:ssa vietetyt vuodet paransivat entisestään puolustavan turvallisuuden tuntemusta. Zero Trust –sukupolvea.
Motto: ”Test, Fix, Secure, Repeat”
Kokonaisvaltaista turvaa
Laaja-alainen osaaminen mahdollistaa kokonaisvaltaisen tietoturvan kehittämisen.
Juha Pennanen
Juha on kokenut moniosaaja. Juhan asiakaslähtöisellä lähestymistavalla tietoturva- ja tietosuoja-asioihin löydetään aina asiakkaan liiketoimintaan istuva ratkaisu. Kokonaiskuvan ymmärtäminen auttaa priorisoimaan asiat ja keskittymään olennaiseen.”
Motto: ”Kokemus tuo varmuutta”
Politiikat, suunnitelmat ja häiriönhallinta
Verkkosuunnittelu ja IAM
Haavoittuvuuksien hallinta
Haavoittuvuuksien tunnistuspalvelun avulla haavoittuvuudet saadaan hallintaan ja pystytään varmistamaan ettei ympäristössä ole kriittisiä haavoittuvuuksia.
Toiminnan jatkuvuuden hallinta
Kyberturvakoulutukset
Valmentavien palveluiden kautta voimme laatia kertakoulutuksia tai vuosisuunnitelman koulutuksien pitämiseksi. Tietoturvatietosuutta kasvattavia koulutuksia voidaan pitää suomen ja englannin kielellä.