Euroopan unionin NIS2-direktiivi jalkautuu Suomessa laiksi kyberturvallisuuden riskienhallinnasta, ja se astuu voimaan lokakuussa 2024. Direktiivin ja kansallisen lainsäädännön tavoitteena on taata riittävän korkea kyberturvallisuuden taso kriittisiksi luokitelluilla toimialoilla ja tehostaa kyberriskien ja -uhkien hallintaa. Toimialat on jaettu niiden kriittisyyden perusteella erittäin kriittisiin ja kriittisiin sektoreihin.
Erittäin kriittisiksi määritellyt sektorit ovat energia, terveydenhuolto, liikenne, juoma- ja jätevesi, avaruus, finanssiala ja sen infrastruktuuri, julkishallinto, tietoturva- ja hallintapalveluita tarjoavat ICT-toimijat sekä digitaalinen infrastruktuuri. Kriittisiä sektoreita ovat puolestaan elintarvikeala, jätehuolto ja posti- ja kuriiripalvelut sekä valmistavasta teollisuudesta mm. lääkintälaitteet, digitaaliset palvelut kuten markkinapaikat ja hakukoneet, kemikaaliala sekä tutkimustoiminta.
Laki vaikuttaa seuraaviin toimenpiteisiin:
- Riskienhallinta
- Yritysvastuu ja erityisesti sanktioitu johdon vastuu kyberriskien hallinnasta
- Kyberpoikkeamia koskevat ilmoitus- ja raportointivelvoitteet palveluja käyttäville tahoille, sidosryhmille sekä valvovalle viranomaiselle
- Liiketoiminnan jatkuvuuden ja kriisinhallintakyvyn varmistaminen ja ylläpitäminen
- Riittävät tekniset ja menetelmälliset tietoturvakeinot kybersietoisuuden varmistamiseksi, kuten salausratkaisut, monivaiheinen tunnistautuminen sekä käyttöoikeus- ja pääsynhallinta
- Kattava turvallisuuden huomioiminen hankinnoissa
- Harjoittelutoiminta ihmisten osaamisen ja tietoturvaorientaation varmistamiseksi
- Menettelyt kybertoimenpiteiden vaikuttavuuden arvioimiseksi
Kannattaa huomioida, että lainsäädännön vaikutus ei kohdistu pelkästään kriittiseen organisaatioon itseensä, vaan sitä sovelletaan myös lainsäädännön piirissä olevien toimijoiden toimitusketjuihin.
Organisaation vastuu ulottuu myös kumppaneihin
Kannattaa huomioida, että lainsäädännön vaikutus ei kohdistu pelkästään kriittiseen organisaatioon itseensä, vaan sitä sovelletaan myös lainsäädännön piirissä olevien toimijoiden toimitusketjuihin – eli kaikkiin niihin sidosryhmiin, jotka ovat kriittisen toimijan kanssa riippuvuussuhteessa. Tämän takia organisaatioihin kohdistuu NIS2-direktiivin osalta vaatimuksia joko suoraan tai välillisesti.
Jos organisaatiolla on jo tietoturvan hallintajärjestelmä kuten ISO27001, on NIS2-direktiivin vaatimusten täyttäminen oletusarvoisesti helpompaa, koska tällöin prosesseja tietoturvan systemaattiseen johtamiseen ja kehittämiseen on jo olemassa. Tietoturvan hallintajärjestelmästä huolimatta organisaation on varmistuttava vaatimusten täyttymisestä ja toteuttava tarvittavat toimenpiteet riittävän operatiivisen riskienhallintakyvyn ja kybersietoisuuden toteuttamiseksi. Kyseessä on siis merkittävää muutosjohtamiskyvykkyyttä vaativa kokonaisuus. Vaatimustenmukaisuus edellyttää sidosryhmiltä riittävää tietoisuutta, ymmärrystä ja osaamista.
Oletko valmiina jatkuvaan riskien arviointiin?
Haasteellista riittävien riskienhallinnan toimenpiteiden arvioinnissa on se, että niiden pitää olla oikeassa suhteessa organisaation toiminnan kriittisyyteen ja tunnistettuihin riskeihin ja uhkiin. Tässä lainsäädäntö edellyttää organisaatiota toteuttamaan riskinarvion sekä arvioimaan jatkuvasti toteutettujen toimenpiteiden riittävyyttä. Jos organisaatio ei vielä hahmota toimintaansa liittyviä riskejä ja uhkia, voi toimenpiteiden riittävyyden arviointi mennä pahasti pieleen. Tämä aiheuttaa ylimääräisiä kustannuksia, jotka on usein pois muusta kehittämisestä.
Kun organisaatio arvioi, mitkä ovat riittäviä toimenpiteitä, keskeisiä keinoja ovat kattava uhka- ja riskinarvio, toiminnan jatkuvuuden tekijöiden mallinnus sekä organisaation kriittisten suojattavien omaisuuksien tunnistaminen. Riskinarvion pitää ulottua myös toimitusketjuun. Valitettavan usein juuri toimitusketju on heikko kohta organisaatiossa, minkä myös kyberrikolliset tietävät. Tyypillisesti organisaatiot tuntevat oman toimintansa, mutta eivät näe kumppanien tietoturvan ja riskienhallinnan todellista tasoa. Toimitusketjun riskienhallinnan ja tietoturvan tasoa voidaan selvittää ja monitoroida systemaattisella mittauksella, joka toteutetaan määriteltyjen mittareiden ja vaatimuksien pohjalta.
NIS2-direktiivin muutosjohtamisen aika on nyt
Direktiivin ja kansallisen lainsäädännön ympärillä kuhisee tällä hetkellä, sillä sekä organisaatiot että konsultointipalveluja tarjoavat yritykset yrittävät kuumeisesti ymmärtää, mitä vaatimuksia direktiivi aiheuttaa organisaatioille ja mitä oikeastaan konkreettisesti pitäisi parantaa ja kehittää. Loppujen lopuksi vastaus on yleisellä tasolla helppo: ymmärrä toimintaasi kohdistuvat uhat ja riskit, tunne organisaatiosi toiminta ja sen kriittiset tekijät sekä rakenna riittävä kybersietoisuus.
Kybersietoisuus rakentuu kyvykkyyksistä, joilla varmistetaan kyberuhkien, -haavoittuvuuksien ja -riskien tunnistaminen, suojaudutaan kyberhyökkäyksiltä, havaitaan onnistuneet hyökkäykset, reagoidaan onnistuneisiin hyökkäyksiin sekä palaudutaan hyökkäyksistä. Lisäksi organisaation on ylläpidettävä kyberturvallisuuden tilannekuvaa sekä johtaa ja hallita toimintaa strategisella, taktisella ja operatiivisella tasolla – toimitusketjuja unohtamatta. Jos et vielä ole aloittanut tämän muutoksen läpivientiä, sen aika on nyt.
Mietitkö, miten valmistautua NIS2-direktiivin vaatimuksiin?
