Vastuu NIS2-direktiivin noudattamisesta on yritysten johdolla
EU:n kyberturvallisuusdirektiivin eli NIS2:n kansallinen lainsäädäntö on valmistumassa keväällä ja sitä on noudatettava 18.10.2024 alkaen. Monissa organisaatioissa on havahduttu uusiin vaatimuksiin, mutta tehtäväsarkaa riittää edelleen. Aina ei ole myöskään tiedostettu, että lopulta yrityksen johto on henkilökohtaisessa vastuussa direktiivin noudattamisesta.
”Yritysten johto, kuten toimitusjohtaja sekä hallitus tai vastaavat elimet ovat vastuussa siitä, että organisaatio noudattaa NIS2:sta koskevaa kansallista lainsäädäntöä”, Loihteen tietoturvakonsultti Juha Pennanen vahvistaa.
Yritysten tulee itse tunnistaa, että ne kuuluvat NIS2:n piiriin ja ilmoittauduttava kansalliseen NIS2-rekisteriin, josta tiedot välitetään Euroopan NIS2-rekisteriin. Ilmoittautuminen rekisteriin koittaa keväällä 2025, mutta direktiiviä on noudatettava jo lokakuusta 2024 alkaen.
Pennanen on mukana Kyberturvallisuus ry:n kokoamassa asiantuntijaryhmässä, joka seuraa tiiviisti lain valmistelua. Aihetta konkretisoimaan työryhmällä on valmisteilla myös yritysten johdolle suunnattu opas, joka julkaistaan kevään 2024 aikana muun muassa FISC:n sivuilla.
”Oppaassa kerrotaan selkokielellä ja esimerkkien avulla, mitä asioita on otettava uuden direktiivin osalta huomioon, sekä kiteytetään vastuukysymyksiä”, hän selvittää.
Johto tarvitsee riittävää tietoturvaosaamista
Pennasen mukaan organisaatioiden johdossa tietoturvaosaaminen on nykyisin välttämättömyys. Kohtuullisen ymmärtämisen ja osaamisen taso kuitenkin riittää.
”Yritysten velvollisuus on seurata lainsäädäntöä ja siinä tapahtuvia muutoksia. Yrityksellä on hyvä olla yritysjohdon hyväksymä tietoturvan hallintamalli ja johdon tulee olla koko ajan tietoinen yrityksen tietoturvan tilasta. Jos viranomainen kävelisi hallituksen puheenjohtajan luo, tämän tulisi osata vastata kysymykseen, mitkä ovat yrityksen kolme suurinta kyberriskiä tällä hetkellä.”
Pennanen arvioi, että on edelleen organisaatioita, joissa ei ole tiedostettu NIS2:n koskettavan myös niitä tai on epäselvyyttä siitä, mitä pitäisi tehdä. Vaikka yritys ei toimialansa puolesta olisi suoraan direktiivin piirissä, se voi silti olla osa jonkin toisen yrityksen toimitusketjua, josta on kyettävä tarvittaessa todentamaan tietoturvallinen toimintatapa.
”Direktiivin piiriin kuuluvien organisaatioiden on mietittävä läpi koko toimitusketju ja pohdittava muun muassa, mitkä ovat tärkeimpiä toimittajia ja liiketoiminnan jatkuvuudelle kriittisiä kumppanuuksia. Toimittajan on puolestaan pystyttävä todentamaan, että heidän sekä mahdollisten alihankkijoiden tietoturva on kunnossa.”
Todennuksen vaatimukset tulisi Pennasen mukaan miettiä riskiperusteisesti ja pohtia kunkin alihankkijan merkitys liiketoiminnalle.
”Esimerkiksi alihankkijan tietoturvan sertifiointi ISO 27001 voi olla yksi tapa osoittaa toiminnan tietoturvallisuus.”
Paljon riittää vielä tehtävää
Pennasen mukaan uusiin vaatimuksiin on varauduttu organisaatioissa yllättävän huonosti. Monissa isoissa yrityksissä hän arvioi asioiden olevan paremmalla tolalla, mutta pienet ja keskisuuret toimijat eivät ole välttämättä tilanteen tasalla.
”Isoissa yrityksissä on usein kattavasti asiantuntijoita ja resursseja sekä siten kohtuullisen hyvä näkemys asiasta.”
Pennanen on itse ollut mukana monissa asiakasprojekteissa, joissa on autettu yrityksiä valmistautumaan NIS2-muutokseen. Hän arvioi, että useimmiten asioita tehdään jo käytännön tasolla oikein ja hyvin, mutta erityisesti dokumentaatio on se, josta kiireessä helposti tingitään.
”Saatetaan tehdä teknisesti hyvää tietoturvaa, mutta se jää todentamatta. Myös hallinnollisissa toimenpiteissä, ohjauksissa ja politiikoissa on usein puutteita.”
NIS2 edellyttää sitä, että tietoturvatekeminen on dokumentoitua. Vaikka tietoturvaosaaminen ja arjen käytännöt olisivat hyvällä tolalla, se ei riitä.
”Dokumentaation lisäksi riskienhallinta nousee keskiöön. Suunnittelu, toteutus ja hallinta on kaikki oltava kunnossa. Tähän ei ole mitään valmista mallia, sillä jokaisen yrityksen on tiedostettava juuri omat riskinsä esimerkiksi liiketoimintansa jatkuvuuden osalta ja lähdettävä niitä taklaamaan. Tilannetta on myös seurattava ja punnittava säännöllisin väliajoin.”
”Viimeistään nyt kannattaa aloittaa valmistelut eli pikimmiten lähteä kartoittamaan tilannetta. Tarvittaessa apua on tarjolla, jos sitä pyytää”, Pennanen kannustaa.
Lue lisää:
NIS2-direktiivin vaatimukset ja Loihteen palvelut
Verkko- ja tietoturvadirektiivi koskettaa pian yhä useampaa
