EU:n verkko- ja tietoturvadirektiivin eli NIS2-direktiivin kansallinen soveltaminen astuu voimaan lokakuussa 2024. Tämä on käytännössä laki kyberturvallisuuden riskienhallinnasta, joka on eduskunnan käsittelyssä oletettavasti kevättalvella 2024.
Oletteko jo valmiita direktiivin tuomiin muutoksiin? Oletko selvillä miten varautua tulevaan lakiin? Mitä tämä aiheuttaa käytännössä ja mitä on järkevää tehdä juuri nyt? Me autamme. Me opastamme. Me määrittelemme. Me tuemme.
NIS2-direktiivi pähkinänkuoressa
NIS2-direktiivin tavoitteena on vahvistaa ja yhdenmukaistaa EU:n kyberturvallisuuden tasoa ja lisätä valmiutta sekä nykyisiin että tuleviin kyberuhkiin. NIS2-direktiivi pyrkii parantamaan EU:n yleistä kyberturvallisuutta, varmistamaan, että eri toimijat noudattavat tietoturvavaatimuksia ja suojelemaan digitaalista infrastruktuuria. Se toimii osana laajempaa pyrkimystä vahvistaa EU:n kyberturvallisuutta. Tämä direktiivi toimii pohjana lakiesitykselle.
Keitä NIS2-direktiivi koskettaa ja miten se vaikuttaa yritysten toimintaan?
Viranomaisten, kuntien, hyvinvointialueiden ja yhteiskunnallisesti tärkeitä tehtäviä suorittavien yritysten on noudatettava NIS2:ta (tiedonhallintalain kautta). NIS2-direktiivi antaa yrityksen päättäjille oikeutuksen ja velvoitteen kehittää ja parantaa tietoturvaa kokonaisvaltaisesti. Direktiivi asettaa organisaation hallinnon vastuuseen kyberturvallisuusriskien hallintatoimenpiteistä, kyberturvallisuuden toteutuksesta sekä raportointivelvoitteista.
Erittäin kriittiseksi määritellyt toimialat
Energia, liikenne, pankkitoiminta, finanssimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, tieto- ja viestintätekniikan palvelujen hallinta, julkishallinto ja avaruus
Kriittisiksi määritellyt toimialat
Posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, tuotanto ja jakelu, elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus, digitaalisen palvelun tarjoajat ja tutkimustoiminta
Kuinka lähteä liikkeelle kohti NIS2-direktiivin vaatimustenmukaisuutta?
Olemme luoneet seuraavat konsultointikokonaisuudet aiheeseen liittyen:
Esiselvitys tietoturvan tahtotilasta
Idea: Työpajassa käydään läpi tietoturvan tahtotila ja tietoturvaan vaikuttavat keskeiset ajurit. Ideana on varmistaa, mitä halutaan tehdä ja miten.
Ketä osallistetaan: Työpajassa haastatellaan yrityksen johtoa.
Esimerkki: Miten NIS2 / laki kybertietoturvan riskienhallinnasta on syytä ottaa huomioon tietoturvan kehityksessä ja mikä on johdon rooli, vastuu ja tahtotila tietoturvaan liittyen.
Kesto: Työpajan oletuskesto on 1-2 työpäivää. Työt tekevät konsultit, joilla on yli 20 vuotta kokemusta erilaisten tietoturvaan liittyvien kokonaisuuksien toteuttamisesta.
GAP-analyysi NIS2-direktiivin pohjalta
Idea: Asiantuntijatyön tarkoituksena on havainnoida keskeiset puutteet ja kehityskohteet tulevan lain osalta.
Kesto: Määrämuotoinen asiantuntijatyö, jonka arvioitu kesto on 3-4 työpäivää.
Ketä osallistetaan: Sisältö ja laajuus sovitaan tarkemmin asiakaskohtaisesti. Työtä tekevät kokeneet hallinnollisen tietoturvan asiantuntijat.
Kehityshanke NIS2 direktiivin pohjalta
Idea: Asiantuntijatyön tarkoituksena on havainnoida keskeiset puutteet ja kehityskohteet tulevan lain osalta. Tämän jälkeen tehdään tarvittavat määrittelytyöt ja tarvittava dokumentaatio.
Ketä osallistetaan: Atea toteuttaa tarpeelliset tekniset hankkeet, koulutukset, jalkautuksen ja myyn määritellyt työn, jotta asiakasorganisaatio täyttää lain edellyttämät toimintamallit ja hallintatoimenpiteet.
Kesto: Asiakaskohtaisesti toteutettava asiantuntijatyö, jonka arvioitu kesto on 20-30 työpäivää. Sisältö ja laajuus sovitaan tarkemmin asiakaskohtaisesti. Työtä tekevät kokeneet hallinnollisen tietoturvan ja teknisen tietoturvan asiantuntijat.
Me autamme sinut kohti NIS2 -direktiivin vaatimuksia
Huomioi ainakin nämä asiat liiketoiminnan turvaamiseksi tietoturvan kannalta
Tietoturva on monitahoinen kokonaisuus ja 100% tietoturvaa ei käytännössä ole. Tietoturvan rakentaminen kannattaa aloittaa varmistamalla perusasiat kuten varmuuskopiot, 2-vaiheinen tunnistautuminen ja henkilöstön koulutus. Monia näistä osa-alueista onkin jo käytössä organisaatioissa. Kokonaiskuvan saaminen tietoturvallisuuden hallintajärjestelmän avulla ja puuttuvien komponenttien tunnistaminen auttaa eteenpäin NIS2 matkalla.
Tampereen Tilapalvelut sai tietoturvallisuuden sertifikaatin
Tampereen Tilapalvelut rakensi tietoturvallisuuden hallintajärjestelmänsä niin kattavaksi, että saisi sille vaativan ja arvostetun kansainvälisen sertifikaatin. ”Kyllä tuli hyvä fiilis, kun saavutimme työllämme jotain näin konkreettista”, sanoo ICT-päällikkö Antti Räsänen. Taustalla vaikutti EU:n NIS2-direktiivi. Lue lisää asiakastarinasta.
Kuusi faktaa NIS2-direktiivistä ja tulevasta laista
- Korvaa aiemman NIS-direktiivin
Syksyllä 2024 voimaantuleva NIS2 korvaa alkuperäisen NIS-direktiivin ja laajentaa sen soveltamisalaa. Se tarkoittaa, että uusia toimialoja ja toimijoita koskevat vaatimukset otetaan käyttöön. - Laajempi soveltamisala
NIS2-direktiivi koskettaa laajempaa joukkoa organisaatioita ja toimialoja kuin edellinen direktiivi. Se koskettaa toimijoita, jotka tarjoavat tiettyjä palveluita ja toimivat yhteiskunnallisesti erittäin kriittisillä tai kriittisillä toimialoilla. - Vähimmäistoimenpiteet
NIS2 asettaa vähimmäisvaatimukset, joita organisaatioiden on noudatettava kyberturvallisuuden varmistamiseksi. Nämä voivat liittyä tietoturvakäytäntöihin, riskienhallintaan ja varautumiseen.
- Uusi ulottuvuus: järjestelmien fyysinen turvallisuus
Uutena osana NIS2:ta on vaatimus ottaa huomioon fyysisen turvallisuuden. Tämä tarkoittaa, että organisaatioiden on huomioitava ja suojattava järjestelmien fyysisiä resursseja ja infrastruktuuria. - Poikkeamien raportointi
Direktiivi asettaa tiukat vaatimukset poikkeamien raportoinnille. Organisaatioiden on ilmoitettava toiminnan häiriöistä ja läheltä piti -tilanteista viranomaisille ja muille sidosryhmille. - Valvonta ja seuraamukset
NIS2-direktiivin myötä keskeisiä toimijoita valvotaan ennaltaehkäisevästi, ja tärkeitä toimijoita valvotaan jälkikäteen. Hallinnolliset seuraamukset voivat olla merkittäviä niille organisaatioille, jotka eivät noudata direktiivin vaatimuksia. - Kansallinen täytäntöönpano
EU:n jäsenvaltioiden on sisällytettävä NIS2-direktiivin vaatimukset kansalliseen lainsäädäntöönsä. Määräaika NIS2-direktiivin saattamiseksi osallista kansallista lainsäädäntöä on 17.10.2024 mennessä ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024.
Miksi valita Atea kumppaniksi kohti NIS2-direktiiviä?
Atealla on laaja-alainen vuosien kokemus teknisestä ja hallinnollisesta tietoturvasta aina ISO-27001 vaatimuksenmukaisuudesta vaikkapa teollisuusympäristöjen tekniseen OT-tietoturvaan. Meillä on tehokas työpajoihin perustuva toteutusmalli, sertifioidut osaajat ja valmiit arkkitehtuurimallit. Me seuraamme aktiivisesti tulevaa lakia ja olemme auttamassa asiakaitamme monipuolisesti eri konsultointituotteitten kautta.
NIS2 -direktiivi Atea Focuksessa
Atea Focuksessa syvennyttiin EU:n uusi tietoturvadirektiivi NIS2:n maailmaan. Mistä on kyse ja keihin uusi direktiivi vaikuttaa? Atea Focus Studiossa keskustelemassa Atean Toni Vartiainen, Head of Cybersecurity Center of Excellence, ja Principal Consultant, PCI Services Lead Antti Laatikainen WithSecurelta.
Ota yhteyttä, niin kerromme lisää!
Akimatti Katainen
Solution Manager Productivity Offering & Solutions
Akimatti työskentelee Atealla ratkaisupäällikkönä turvallisen arjen ja tuottavuuden parantamisen hankkeissa. Sekä teknisen että hallinnollisen tietoturvan tulkkaaminen suomeksi kuuluu päivittäisiin askareisiin, oli kyseessä sitten Zero Trust, XDR, SIEM tai haavoittuvuuksienhallintaprosessit. Ajan kuvassa kansallisen tietoturvallisuuden tason nostaminen on kriittistä. Keskustellaan ratkaisuistamme lisää!
Ville Kangasniemi
Head of Consultant Services
Ville vastaa Atean konsultointipalveluyksikön toiminnasta ja nauttii työstään erityisesti silloin, kun hän onnistuu auttamaan muita kehittymään työssään tai viemään läpi merkittävän muutoshankkeen.
Heikki Jauhiainen
Solution Manager, Hybrid Cloud
Heikki työskentelee Atealla ratkaisupäällikkönä pilvi- ja infra-tietoturvan parissa. Asiakkaan tietoturvatarpeiden tunnistaminen ja asiassa auttaminen tuovat onnistumisen tunteen ja hyvän mielen työarkeen.
Myös organisaation koko ratkaisee
Laki koskee keskisuuria ja suuria toimijoita. Komission suosituksen 2003/361/EY kynnysarvot ovat seuraavat:
Keskisuuri toimija = Yritys, jonka palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa = Eli muu kuin suosituksessa tarkoitettu mikro- tai pienyritys (Soveltamisen kokokriteeri)
Keskisuuren toimijan kynnysarvon ylittävä yritys = Yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa (Keskeisen toimijan kokokriteeri)
Suosituksessa olevaa julkisomisteisuuden rajausta ei sovelleta. Koon lisäksi on määritelty joukko toimijoita, jotka toimintansa puolesta joutuvat noudattamaan lakia, vaikka kokokriteeri ei täyttyisikään.