Nissittääkö teitäkin?
NIS2-direktiivi ja sen käytännön maakohtainen toteutus (eli laki kyberturvallisuuden riskienhallinnasta) on ollut paljon esillä niin asiakkaiden puheissa, mediassa kuin valmistajienkin suusta kuultuna. Muistan edelleen hämärästi, kuinka GDPR-asetus sai aikanaan valtavaa huomiota, uhkailua, epätietoisuutta sekä paljon tarpeetonta ja tarpeellista hässäkkää. Toistaako historia itseään NIS2-direktiivin osalta? Voisiko tällä kertaa käydä niin, että regulaatiosta tuleekin synonyymi tietoturvan laadulle? Selkeä lakialoite? Jos luit tähän asti, niin tee itsellesi palvelus ja jatka – et tule katumaan!
Lainsäätäjän turvadigiloikka
Digitalisaatio on valtava voima, joka etenee välillä juosten, välillä hiipien ja kuten kaikki tiedämme, joskus myös kontaten. Kirjoituskone muuttui ATK:ksi, kahvitteluhetket sosiaaliseksi mediaksi ja pankkikirjat sovelluksiksi. Samaan aikaan turvallisuuden ja tiedon yhdistelmä on läsnä päivittäisessä kommunikaatiossa. Lähes kaikki yhteiskunnan kriittisimmistä toiminnoista seisovat digitalisaation jaloilla. Tietoturvahyökkäykset kampittavat näitä jalkoja tekijöinään jopa valtiolliset tahot ja tavalliset rikolliset. Nyt lainsäätäjä haluaa varmistua keskeisen infrastruktuurin tietoturvan toteutuksesta riittävällä tavalla ja organisaatioiden johto joutuu valvomaan tietoturvan toteuttamista laadukkaasti.
Tärkeä on tärkeää
NIS2-direktiivin tarkoitus on suojella suomalaista kriittistä infrastruktuuria kyberuhilta ja varmistaa tietoturvavaatimusten noudattaminen. Isommassa kuvassa direktiivi pyrkii parantamaan EU:n yleistä kyberturvallisuutta. Jos infrastruktuuri ei olisi tärkeää, niin sitä ei tarvitsisi suojella. NIS2-direktiivi koskettaa yhteiskunnallisesti tärkeitä tehtäviä suorittavia toimialoja kuten terveys-, energia-, jätevesi-, ruoan jakelu- ja digitaalisia palveluita tarjoavia toimijoita. Olennaista on kuitenkin ymmärtää, että tämä ei kosketa kaikkea liiketoimintaa vaan lain ulottuvuus on pyritty kohdistamaan suomalaisen yhteiskunnan toiminnan ja jatkuvuuden kannalta olennaisimpiin kohteisiin. Direktiivin piiriin kuuluvat toimialat on kategorisoitu tärkeiksi ja keskeisiksi kokoluokittain. Minusta jokaisen organisaation olisi syytä käydä tämä kriteeristö läpi, sillä luokittelua soveltamisaloihin ei ole kuvattu kaikkein selkeimmällä tavalla. Eli siis se, ketä tämä koskee ja miten.
Turvaa todelliseen tarpeeseen
Olen saanut työnkuvani puolesta kuulla Atean konsulteilta sekä monelta tekniseltä ja/tai kaupalliselta asiantuntijalta mielipiteitä siitä, mitkä asiat ovat riittävän hyvin toteutettu eri direktiivin/lakialoitteen osalta. Mielestäni Valtiovarainministeriön ja Liikenne- ja Viestintäministeriön työryhmien kasaama materiaali lakialoitteesta on suurelta osin varsin ymmärrettävää. Kun toiminta on merkittävää, niin suojauksen ja mekanismien tulee olla riittävällä tasolla. Jos käsitellään esimerkiksi ison kaupungin jätevettä, niin digitaalisen alustan suojaamatta jättäminen on varmasti raskauttava asia. Direktiiviin liittyvä sanktiointi on myös melkoisen rajua ja pitää sisällään muun muassa johtajakieltoja. Tämä asettaa organisaation johdon vastuuseen täysin uudella tasolla mitä tulee kyberturvallisuusriskien hallintatoimenpiteisiin, toteutukseen ja raportointivelvoitteisiin.
Lisää tietoa - lisätietoja
Tulevassa laissa on hienoja periaatteita, kuten esimerkiksi kyberhygieniakäytännöt. Covid-ajan jälkimmäisellä puolella tämä termi on juurtunut jännästi myös asiakkaidemme sanavarastoon. Tämä ei kuitenkaan ole ihan niin selkeää ja ensimerkiksi Traficom on luvannut jo alkuvuodesta antaa arvion siitä, mitä nämä käytännöt ovat. Esimerkiksi tiedon suojaamiseen ja luokitteluun liittyen olisi mukava saada lisää määrittelyjä ja ymmärrystä, jos saa esittää toiveen vielä näin joulun pyhien jälkeen.
Organisaatiot, jotka ovat tutustuneet ISO 27001 -sertifiointiin tai vastaavaan tietoturvamäärittelyyn ovat tässä(kin) vahvoilla. Lopulta tulevaan direktiiviin liittyen ei ole ainakaan tähän mennessä tullut esille mitään todella mullistavaa uutta asiaa – nyt vaaditaan laatua kriittisiltä toimijoilta, ei teknologian maksimaalista toteutusta. Asiat varmasti selkenevät, kun lain oletettu käyttöönottopäivä (17.10.2024) lähestyy. Oletettavasti viranomaisilta ja eri sidosryhmiltä tulee lisätietoa ja konkretiaa lain vaatimusten täyttämiseksi.
Osalle tuttu, osalle vieras
Alkuun luulin, että tämä ”nissitys” tulisi tarkoittamaan monille organisaatioille paljon kustannuksia ja isoja, teknologisia mullistuksia. Toki asia voi näinkin olla, jos organisaation tietoturvakäytännöt on jätetty vähälle huomiolle. Mikäli taas organisaatio on toteuttanut tietoturvaa laadukkaasti ja erityisesti jos ISO 27001 ei ole vieras termi, niin hyvin moni asia tulevan lain kannalta voi olla kunnossa. Jos kuitenkin tilanne on se, ettei asiaa ole mietitty lainkaan ja tekemistä on paljon, suosittelen lämpimästi olemaan yhteydessä ammattilaiseen kohtuullisen nopeasti – lokakuuhun kun ei ole tavattomasti aikaa.
Närästykseen auttaa lääkkeet ja ruokavalio, ”nissitykseen” auttaa ymmärrys oman organisaation tietoturvan tasosta. Me autamme. Me opastamme. Me määrittelemme. Me tuemme. Minä kuuntelen.
Kyberturvallista vuotta 2024 toivottaen
Linda Sinisalo
Account Manager
