NIS2-direktiivi

EU:n kyberturvallisuusdirektiivin kansallinen soveltaminen alkaa vuonna 2024.
Liity NIS2-tiedotuslistallemme ja pysyt ajan tasalla!

NIS2-direktiivi laajentaa soveltamisalaa

NIS2 eli kyberturvallisuusdirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. NIS2:ssa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista. Direktiivin myötä keskeisiä toimijoita valvotaan aktiiviisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat merkittävät. Direktiivin kansallinen soveltaminen eli sen kansalliseen lainsäädäntöön mukaan ottaminen on tehtävä viimeistään 17.10.2024.

Toimialat, joita direktiivi koskee

Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) ja suuria yrityksiä, jotka toimivat kriittisillä toimialoilla. Direktiivi koskee myös kaikkia kansallisesti kriittiseksi toimijoiksi määriteltyjä koosta riippumatta, toimijoille ilmoitetaan tästä. Toimijat jaetaan keskeisiin ja tärkeisiin toimijiin.

KESKEISET TOIMIJAT

Liikenne, energia, pankki ja finanssi, terveys, vesi, IT-infra, ICT-palvelut, julkishallinto, avaruus

 

TÄRKEÄT TOIMIJAT

Posti, jätehuolto, kemikaalit, elintarvikkeet, valmistava teollisuus, digipalvelut, tutkimus

 

Hyvä tietää NIS2-direktiivistä

Mikä muuttuu?

  • Direktiivin piiriin kuuluvien toimialojen (yritysten) määrä kasvaa
  • Riskienhallinta korostuu
  • Tietoturvaan lisää vaatimuksia
  • Viranomaisten valvonta ja ohjaus kasvaa
  • Mahdolliset sanktiot
  • Toimitusketjut hallintaan
  • Raportointivaatimukset tiukemmat

Sanktiot

  • Liiketoiminnan väliaikainen keskeyttäminen
  • Toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto
  • Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
  • Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta

Kuinka vaatimustenmukaisuus saavutetaan?

Tässä neljä helppoa askelta, joilla lähteä liikenteeseen NIS2-vaatimustenmukaisuuden saavuttamiseksi.

1. Selvitä lähtötaso NIS2-kartoituksella

Toimialan, lähtötason ja liiketoiminnan vaatimukset huomioiva kartoitus toimii helppona lähtönä vaatimustenmukaisuuden saavuttamiselle. Saat kokonaisvaltaisen ymmärryksen ympäristöstänne NIS2-vaatimuksiin nähden sekä selkeän ja konkreettisen toimintasuunnitelman kohti NIS2-vaatimustenmukaisuutta. Loppuraportti kostaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi. Hinta: 5 400 €, alv 0 %

2. Suunnittele ja toteuta toimenpiteet

Kartoituksen myötä tai muuten tunnistettujen puutteiden korjaustoimien suunnitteluun ja toteutukseen saat käyttöösi Loihteen asiantuntijatiimin. Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. politiikoiden ja muiden dokumenttien luontiin, häriönhallintaan, ratkaisusuunnitteluihin ja haavoittuvuuksien hallintaan, fyysistä turvallisuutta unohtamatta.

3. Varmista toimiva aktiivinen valvonta, reagointi ja kehitys

NIS2 tavoittelee parempaa tietoturvan tasoa ja siksi valvonta on tärkeä osa vaatimustenmukaisuutta. Direktiivi sisältää myös tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja lähetä piti -tilanteista. Kellon ympäri miehitetty CSOC-kyberturvakeskuksemme varmistaa osaltaan liiketoimintasi jatkuvuuden ja kehittymisen.

4. Hallintajärjestelmä johtamisen ja kehityksen tueksi

Tietoturvanhallintajärjestelmää hyödyntämällä kehitys kohti vaatimuksenmukaisuutta helpottuu. Järjestelmä parantaa merkittävästi organisaation kykyä raportoida, todentaa ja arvioida tehtyjen toimenpiteiden vaikutusta. Suosittelemme jonkin hallintajärjestelmän käyttöä tietoturvatason kehityksen johtamisen avuksi.

NIS2-soveltamisopas

FISC (Finnish Information Security Cluster) – Kyberala ry on julkaissut kyberturvallisuusdirektiivin kansallisen soveltamisoppaan. Opas tukee yritysten kyberturvallisuustyötä auttamalla yrityksiä vastaamaan muuttuviin lainsäädäntövelvoitteisiin.

Tietoturvallisuuden hallintajärjestelmät

Tietoturvan johtamisen ja kehityksen tuki

Digiturvamalli

Digiturvamallin avulla hallitset tietoturvan kehitystä yhdestä paikasta. Järjestelmä sisältää NIS2-direktiivin lisäksi myös muut yleisimmät tietoturvan ja -suojan vaatimuskehikot (esim. ISO 27001, GDPR, Tiedonhallintalaki ja Katakri). Digiturvamalli on kätevästi käytettävissä suoraan Microsoft Teams:sta tai vaihtoehtoisesti selaimella.

Digiturvamalli sisältää:

  • Tietoturvatoimenpiteiden hallinnan
  • Dokumentoinnin työkalut
  • Henkilöstön ohjeistukset
  • Automaattiset raporttiohjeistukset

vCISO-palvelu

vCISO:n ja asiantuntijamme avulla hallinnoit tietoturvaa ja vaatimustenmukaisuutta kokonaisvaltaisesti. Palvelussamme tietoturva- ja vaatimustasonne määritellään järjestelmään kartoituksen ja teknisten tarkistusten myötä. Järjestelmään muodostuu tietoturvan kehityssuunnitelma tehtävineen valittujen vaatimusten (esim. NIST 800-53, ISO27001 ja GDPR ) tietoturvakäytäntöjen mukaisesti.

Palvelu sisältää:

  • Tietoturvan tilannearviointi
  • Vaatimustenmukaisuuden arviointi määriteltyjä viitekehyksiä vasten
  • Julkiverkon haavoittuvuuksien tunnistaminen
  • Tietoturva-ammattilaisten määrittelemät tietoturvakäytänteet ja priorisoidut toimenpidesuositukset
  • Jatkuva tietoturvatason mittaaminen ja hallinta
  • Säännöllinen tietoturvan raportointi

Kumppanisi myös NIS2-vaatimuksissa

Kyberturvan asiantuntijamme ovat apunasi matkalla NIS2-vaatimustenmukaisuuteen

Sertifioitua osaamista

Sertifioitu ammattitason tietoturvan ja turvallisuuden asiantuntijatiimi käytettävissä.

Asiantuntija käytettävissäsi

Tietoturvan asiantuntija aina vastaamassa tietoturvan ja turvallisuuden kysymyksiin.

Kokonaisvaltaista turvaa

Laaja-alainen osaaminen mahdollistaa kokonaisvaltaisen tietoturvan kehittämisen.

Jimi Tamminen

Jimi on teknisen tietoturvan moniosaaja, joka hallitsee erityisesti OT-/ICS-ympäristöt ja pilviturvallisuuden. SOC-taustan myötä Jimi tuntee laajasti eri puolustus-ratkaisut ja niiden suunnittelun.

Motto: ”Turvallisuus lähtee näkyvyydestä”

Laura Halonen

Lauralla on laaja-alaista kokemusta erilaisista yritysinfrastruktuureista. Pääasiassa taustalla on käyttäjä- ja sovellushallinnan vastuita hybridiympäristöissä. CSOC:ssa vietetyt vuodet paransivat entisestään puolustavan turvallisuuden tuntemusta. Zero Trust –sukupolvea.

Motto: ”Test, Fix, Secure, Repeat”

Juha Pennanen

Juha on kokenut moniosaaja. Juhan asiakaslähtöisellä lähestymistavalla tietoturva- ja tietosuoja-asioihin löydetään aina asiakkaan liiketoimintaan istuva ratkaisu. Kokonaiskuvan ymmärtäminen auttaa priorisoimaan asiat ja keskittymään olennaiseen.”

Motto: ”Kokemus tuo varmuutta”

Tukea tavoitetilan saavuttamiseen

Kyberturvan asiantuntijapalvelumme tukevat laaja-alaisesti NIS2-direktiivin vaatimusten eri osa-alueita. Meiltä saat tukea mm. seuraaviin osa-alueisiin:

Politiikat, suunnitelmat ja häiriönhallinta

Olemassa olevien suunnitelmien ja politiikkojen katselmointi ja parannusehdotusten laadinta. Häiriönhallintasuunnitelman (MIM-prosessi) laadinta ja työstäminen yhdessä asiakkaan kanssa vastaamaan asiakkaan tarpeita.

Verkkosuunnittelu ja IAM

Suunnittelupalvelujen kautta voimme laatia suunnitelman lokienhallinnan, verkon segmentoinnin tai identiteetin- ja pääsyhallinnan toteuttamiseksi. Voimme myös auttaa ratkaisujen toteuttamisessa.

Haavoittuvuuksien hallinta

Haavoittuvuuksien tunnistuspalvelun avulla haavoittuvuudet saadaan hallintaan ja pystytään varmistamaan ettei ympäristössä ole kriittisiä haavoittuvuuksia.

Toiminnan jatkuvuuden hallinta

Voimme auttaa tietoliikenteen salauksen, varmistuksien ja palautuksien sekä assettien hallinnan teknisen ratkaisun määrittelyssä ja toteuttamisessa.

Kyberturvakoulutukset

Valmentavien palveluiden kautta voimme laatia kertakoulutuksia tai vuosisuunnitelman koulutuksien pitämiseksi. Tietoturvatietosuutta kasvattavia koulutuksia voidaan pitää suomen ja englannin kielellä.

Fyysisen turvallisuuden ratkaisut

Direktiivissä myös fyysisen turvallisuuden varmistaminen tulee mukaan. Kokonaisvaltaisena yritysturvallisuuden kumppaninasi saat meiltä myös tarvitsemasi turvateknologiat.

Lue lisää aiheesta

Vastuu NIS2-direktiivin noudattamisesta on yritysten johdolla

EU:n kyberturvallisuusdirektiivin eli NIS2:n kansallinen lainsäädäntö on valmistumassa keväällä ja sitä on noudatettava 18.10.2024 alkaen. Monissa organisaatioissa on havahduttu uusiin vaatimuksiin, mutta tehtäväsarkaa riittää edelleen. Aina ei ole myöskään tiedostettu, että lopulta yrityksen johto on henkilökohtaisessa vastuussa direktiivin noudattamisesta.