EU:n verkko- ja tietoturvadirektiivin eli NIS2-direktiivin kansallinen soveltaminen astuu voimaan lokakuussa 2024. Oletteko jo valmiita direktiivin tuomiin muutoksiin? Me autamme.
NIS2-direktiivi pähkinänkuoressa
NIS2-direktiivin tavoitteena on vahvistaa ja yhdenmukaistaa EU:n kyberturvallisuuden tasoa ja lisätä valmiutta sekä nykyisiin että tuleviin kyberuhkiin. NIS2-direktiivi pyrkii parantamaan EU:n yleistä kyberturvallisuutta, varmistamaan, että eri toimijat noudattavat tietoturvavaatimuksia ja suojelemaan digitaalista infrastruktuuria. Se toimii osana laajempaa pyrkimystä vahvistaa EU:n kyberturvallisuutta.
Keitä NIS2-direktiivi koskettaa ja miten se vaikuttaa yritysten toimintaan?
Viranomaisten, kuntien, hyvinvointialueiden ja yhteiskunnallisesti tärkeitä tehtäviä suorittavien yritysten on noudatettava NIS2:ta. NIS2-direktiivi antaa yrityksen päättäjille oikeutuksen ja velvoitteen kehittää ja parantaa tietoturvaa kokonaisvaltaisesti. Direktiivi asettaa organisaation hallinnon vastuuseen kyberturvallisuusriskien hallintatoimenpiteistä, kyberturvallisuuden toteutuksesta sekä raportointivelvoitteista.
Erittäin kriittiseksi määritellyt toimialat
Energia, liikenne, pankkitoiminta, finanssimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, tieto- ja viestintätekniikan palvelujen hallinta, julkishallinto ja avaruus
Kriittisiksi määritellyt toimialat
Posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, tuotanto ja jakelu, elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus, digitaalisen palvelun tarjoajat ja tutkimustoiminta
Kuinka lähteä liikkeelle kohti NIS2-direktiivin vaatimustenmukaisuutta?
Direktiivin vaatimukset voidaan täyttää suurelta osin ISO-27001 -standardin mukaisella tietoturvallisuuden hallintajärjestelmällä ja toimilla. Aloituspisteenä NIS2-valmiuteen on Atean Security Essentials -kartoitus, jossa käydään läpi toimintatavat ja prosessit tietoturvan oleellisimmilla osa-alueilla.
Huomioi ainakin nämä asiat liiketoiminnan turvaamiseksi tietoturvan kannalta
Tietoturva on monitahoinen kokonaisuus ja 100% tietoturvaa ei käytännössä ole. Tietoturvan rakentaminen kannattaa aloittaa varmistamalla perusasiat kuten varmuuskopiot, 2-vaiheinen tunnistautuminen ja henkilöstön koulutus. Monia näistä osa-alueista onkin jo käytössä organisaatioissa. Kokonaiskuvan saaminen tietoturvallisuuden hallintajärjestelmän avulla ja puuttuvien komponenttien tunnistaminen auttaa eteenpäin NIS2 matkalla.
Tampereen Tilapalvelut sai tietoturvallisuuden sertifikaatin
Tampereen Tilapalvelut rakensi tietoturvallisuuden hallintajärjestelmänsä niin kattavaksi, että saisi sille vaativan ja arvostetun kansainvälisen sertifikaatin. ”Kyllä tuli hyvä fiilis, kun saavutimme työllämme jotain näin konkreettista”, sanoo ICT-päällikkö Antti Räsänen. Taustalla vaikutti EU:n NIS2-direktiivi. Lue lisää asiakastarinasta.
Kuusi faktaa NIS2-direktiivistä
- Korvaa aiemman NIS-direktiivin
Syksyllä 2024 voimaantuleva NIS2 korvaa alkuperäisen NIS-direktiivin ja laajentaa sen soveltamisalaa. Se tarkoittaa, että uusia toimialoja ja toimijoita koskevat vaatimukset otetaan käyttöön. - Laajempi soveltamisala
NIS2-direktiivi koskettaa laajempaa joukkoa organisaatioita ja toimialoja kuin edellinen direktiivi. Se koskettaa toimijoita, jotka tarjoavat tiettyjä palveluita ja toimivat yhteiskunnallisesti erittäin kriittisillä tai kriittisillä toimialoilla. - Vähimmäistoimenpiteet
NIS2 asettaa vähimmäisvaatimukset, joita organisaatioiden on noudatettava kyberturvallisuuden varmistamiseksi. Nämä voivat liittyä tietoturvakäytäntöihin, riskienhallintaan ja varautumiseen.
- Uusi ulottuvuus: järjestelmien fyysinen turvallisuus
Uutena osana NIS2:ta on vaatimus ottaa huomioon fyysisen turvallisuuden. Tämä tarkoittaa, että organisaatioiden on huomioitava ja suojattava järjestelmien fyysisiä resursseja ja infrastruktuuria. - Poikkeamien raportointi
Direktiivi asettaa tiukat vaatimukset poikkeamien raportoinnille. Organisaatioiden on ilmoitettava toiminnan häiriöistä ja läheltä piti -tilanteista viranomaisille ja muille sidosryhmille. - Valvonta ja seuraamukset
NIS2-direktiivin myötä keskeisiä toimijoita valvotaan ennaltaehkäisevästi, ja tärkeitä toimijoita valvotaan jälkikäteen. Hallinnolliset seuraamukset voivat olla merkittäviä niille organisaatioille, jotka eivät noudata direktiivin vaatimuksia. - Kansallinen täytäntöönpano
EU:n jäsenvaltioiden on sisällytettävä NIS2-direktiivin vaatimukset kansalliseen lainsäädäntöönsä. Tämä on tehtävä viimeistään 17.10.2024 mennessä.
Miksi valita Atea kumppaniksi kohti NIS2-direktiiviä?
Atealla on laaja-alainen vuosien kokemus teknisestä ja hallinnollisesta tietoturvasta aina ISO-27001 vaatimuksenmukaisuudesta vaikkapa teollisuusympäristöjen tekniseen OT-tietoturvaan. Meillä on tehokas työpajoihin perustuva toteutusmalli, sertifioidut osaajat ja valmiit arkkitehtuurimallit.
NIS2 -direktiivi pähkinänkuoressa
Atea Focuksessa syvennyttiin EU:n uusi tietoturvadirektiivi NIS2:n maailmaan. Mistä on kyse ja keihin uusi direktiivi vaikuttaa? Atea Focus Studiossa keskustelemassa Atean Toni Vartiainen, Head of Cybersecurity Center of Excellence, ja Principal Consultant, PCI Services Lead Antti Laatikainen WithSecurelta.
Ota yhteyttä, niin kerromme lisää!
Akimatti Katainen
Solution Manager Productivity Offering & Solutions
Akimatti työskentelee Atealla ratkaisupäällikkönä turvallisen arjen ja tuottavuuden parantamisen hankkeissa. Sekä teknisen että hallinnollisen tietoturvan tulkkaaminen suomeksi kuuluu päivittäisiin askareisiin, oli kyseessä sitten Zero Trust, XDR, SIEM tai haavoittuvuuksienhallintaprosessit. Ajan kuvassa kansallisen tietoturvallisuuden tason nostaminen on kriittistä. Keskustellaan ratkaisuistamme lisää!
Ville Kangasniemi
Head of Consultant Services
Ville vastaa Atean konsultointipalveluyksikön toiminnasta ja nauttii työstään erityisesti silloin, kun hän onnistuu auttamaan muita kehittymään työssään tai viemään läpi merkittävän muutoshankkeen.
Heikki Jauhiainen
Solution Manager, Hybrid Cloud
Heikki työskentelee Atealla ratkaisupäällikkönä pilvi- ja infra-tietoturvan parissa. Asiakkaan tietoturvatarpeiden tunnistaminen ja asiassa auttaminen tuovat onnistumisen tunteen ja hyvän mielen työarkeen.
