Gofore

We offer expert knowledge in digitalization.

Varmista organisaatiosi toiminnan lain ja säädöstenmukaisuus

NIS2

Laki kyberturvallisuudesta

Kyberturvallisuuden riskienhallinta on koko organisaation asia. Yhteiskunnan toiminnan kannalta kriittisten ja huoltovarmuuteen kytkeytyvien organisaatioiden kohdalla se on ydinkyvykkyys. Miten teillä ollaan valmiina Euroopan Unionin laajuisen NIS2-direktiivin asettamiin vaatimuksiin?

Ota yhteyttä

NIS2 pähkinänkuoressa

Mistä on kyse?

NIS2 on edeltäjänsä, NIS-direktiivin laajennus. Suomessa direktiivin toimeenpano tapahtuu uuden kyberturvallisuuslain kautta. Uusi lainsäädäntö koskettaa aiempaa laajemmin yhteiskunnan kannalta kriittiseksi luokiteltuja toimialoja. Näitä ovat:

  • Energia-, terveydenhuolto-, liikenne-, juoma- ja jätevesi-, avaruus- ja finanssiala sekä sen infrastruktuuri
  • Julkishallinto, ICT-toimijat (tietoturva- ja hallintapalvelut) sekä digitaalinen infrastruktuuri
  • Elintarvikeala, jätehuolto, posti- ja kuriiripalvelut
  • Valmistava teollisuus (muun muassa lääkintälaitteet ja kemikaaliala)
  • Digitaaliset palvelut (markkinapaikat, hakukoneet) ja tutkimustoiminta
  • Terveydenhuollon tarjoajat, EU-vertailulaboratoriot, lääkkeiden tutkimus ja kehitys sekä lääkeaineiden valmistajat
  • Kriittisten lääkinnällisten laitteiden valmistajat kansanterveysuhkatilanteissa.

    • Huomioithan, mikäli organisaationne tuottaa palveluja kriittiselle toimijalle olette siten osa toimitusketjua. Näin ollen kriittisen toimijan vaatimukset siirtyvät myös teidän organisaatiollenne. Lainsäädännön vaatimukset ulotetaan lähtökohtaisesti vähintään alihankintaketjun päätoimijoille.

Mitä velvoitteita se asettaa?

Organisaatioiden velvoitteet laajenevat uuden lainsäädännön myötä:

  • Organisaatioilta edellytetään riskienhallinnan toimintamallin käyttöönottoa. Tämän toimintamallin tavoitteena on tunnistaa ja käsitellä uhkia ja riskejä osana arjen toimintaa.
  • Riskien tunnistaminen ja dokumentointi ei kuitenkaan riitä, vaan riskien pienentämiseksi tehtyjen toimenpiteiden vaikuttavuutta tulee pystyä mittaamaan.
  • Organisaatioiden tulee lisäksi varmistaa operatiivinen poikkeamanhallintakyvykkyys, jotta mahdollisissa häiriö- ja poikkeamatilanteissa organisaatiolla on etukäteen mietitty ja sovittu, selkeä toimintamalli ja vastuut tilanteen palauttamiseksi.
  • Tuleva laki velvoittaa ilmoittamaan tietoturvapoikkeamista entistä laaja-alaisemmin ja nopeammin.
  • Laki asettaa myös merkittäviä seuraamuksia, jos velvoitteita ei noudateta. Valvovilla viranomaisilla on myös aiempaa laajempi toimivalta lain valvontaan.

Mitä uudella lainsäädännöllä tavoitellaan? 

Uusi lainsäädäntö laajentaa edellä listattujen, kriittisten toimijoiden velvoitteita. Sillä parannetaan EU-jäsenvaltioiden kybersietokykyä asettamalla kyberriskien hallinnasta ja kyberturvaa parantavista toimenpiteistä vastuuta organisaatioiden johdolle. Lainsäädännön vaatimukset edellyttävät jatkuvaa varautumista häiriö- tai poikkeamatilanteisiin.

Miten varautua kyberuhkiin?

Kun häiriö- tai poikkeustilanne iskee, tarvitaan johdon ja tietohallinnon tilannejohtamisen taitoja. Tilannejohtamista tulee harjoitella etukäteen, sillä häiriö- ja poikkeustilanteisiin varautunut organisaatio toipuu nopeammin ja pystyy pienentämään tilanteen ikäviä talousvaikutuksia ja mainehaittoja. 

Goforen tilannejohtamisen kehittämisen palvelut tuotetaan yhteistyössä kumppanimme IMS Finlandin kanssa. 

Goforen palvelut

Tilannejohtamisen kehittämisen palvelut

Mitä paremmin organisaatio on varautunut poikkeama- ja häiriötilanteisiin, sitä

Autamme varmistamaan organisaatiosi lainmukaisen toiminnan ennen kansallisen lainsäädännön voimaantuloa seuraavin keinoin:

  • Tilannejohtamisen nykytilan kartoitus
  • Tilannejohtamismallin koulutus
  • Tilannejohtamisen harjoitus
  • Suositukset tilannejohtamisen kehittämiseen

Kyvykkyyksien kehittäminen

Valmistaudu lainsäädännön muutoksiin ja kehitä organisaationne kyvykkyyksiä vastaamaan näihin vaatimuksiin. Lakimuutokset vaikuttavat monesti myös ihmisten arjen toimintaan, siksi niitä kannattaa tukea järjestelmällisellä ja ihmislähtöisellä muutosjohtamisella.

  • Lainsäädännön vaatimusten kohdentumisen kirkastaminen organisaation toiminnalle
  • Arvio toimintanne kehitys- ja muutostarpeista suhteessa lainsäädännön vaatimuksiin
  • Kyberturvariskien hallintamallin kehittäminen
  • Poikkeamanhallinnan kehittäminen
  • Toimitusketjun kyberturvallisuuden kehittäminen
  • Muutosjohtamisen tuki, muutoksen läpivienti ja muutoksen mittaaminen

Haluatko tietää lisää?

NIS2-direktiivi ja tuleva laki kyberturvallisuudesta – mistä on kyse?

Lue Goforen kyberturvaliiketoiminnan johtaja Markus Asikaisen blogi.

Lue blogi

Ota yhteyttä!

Markus Asikainen

Head of Business, Cyber Security

markus.asikainen@gofore.com

050 4328 322

Lue lisää näkemyksiämme kyberturvaan liittyen

09.01.2024 ÄLYKäS TEOLLISUUS

NIS2-direktiivi ja laki kyberturvallisuuden riskienhallinnasta – mistä on kyse? 

20.11.2023 DIGITAALINEN YHTEISKUNTA

Turvallisuus elämäntapahtumalähtöisten palvelujen kehityksen lähtökohtana 

17.10.2023 ÄLYKäS TEOLLISUUS

Turvallisuusvaatimukset tuotteen digitalisoidun elinkaaren hallinnassa

Tutustu Goforen NIS2-matkaan

Valmistautuminen NIS2-direktiiviin

Videosarjassa CIO Ville Hurnonen kertoo, miten Gofore on valmistautunut NIS2-direktiivin tuomiin muutoksiin.

Saat videot koko näytölle kaksoisklikkaamalla niitä.

Organisaation näkökulma

Ylimmän johdon näkökulma

Takaisin ylös