Tieto- ja kyberturvallisuuden vaatimukset yrityksille kasvavat. Kiwa Comply™ -vaatimustenhallintajärjestelmä huomioi nyt myös NIS 2 -direktiivistä tulevat kansallisen kyberturvallisuuslain vaatimukset.
NIS 2, eli Network and Information Security Directive 2, on Euroopan unionin direktiivi, jonka tavoitteena on varmistaa korkea tietoturvataso digitaalisessa ympäristössä. Se keskittyy verkko- ja tietoturvallisuuteen ja vaikuttaa erilaisiin organisaatioihin ja tärkeisiin digitaalisten palveluiden tarjoajiin. Direktiivi asettaa vaatimuksia tietoturvatoimille ja edellyttää ilmoittamaan vakavat tietoturvapoikkeamat kansallisille viranomaisille määräaikojen puitteissa. Sen tarkoituksena on parantaa EU:n laajuista tietoturvallisuutta ja varautumista mahdollisiin kyberuhkiin. NIS 2 -direktiivin Suomen kansallinen kyberturvallisuuslaki astui voimaan huhtikuussa 2025.
ISO/IEC 27001 on standardi tietoturvallisuuden hallintaan ja johtamiseen. Sen ensimmäinen versio julkaistiin vuonna 2005 ja viimeisin 2022. Tämä standardi kuvaa riskiperusteisen ja siten ennakoivan hallintamallin tieto-omaisuuden luottamuksellisuuden, eheyden ja saatavuuden uhkiin vastaamiseen ja tietoturvavaatimusten täyttämiseen. ISO/IEC 27001 on kansainvälisenä standardina tunnistettu maailmanlaajuisesti ja sitä vasten voidaan myöntää sertifikaatteja todistuksena sen vaatimusten täyttämisestä.
Mitä uusia vaatimuksia NIS2 tuo?
Yksi NIS2:n keskeisistä vaatimuksista on, että organisaatioita vaaditaan ottamaan käyttöön asianmukaiset turvallisuuskäytännöt ja –tekniikat suojaamaan tietoja ja tarjottuja palveluita. Lisäksi direktiivi edellyttää, että organisaatiot ilmoittavat tiettyjä vakavia tietoturvapoikkeamia ja -häiriöitä kansallisille viranomaisille uhkien torjumiseksi ja vahinkojen minimoimiseksi.
NIS2:n tavoitteena on varmistaa, että nämä organisaatiot ylläpitävät korkeaa tietoturvatasoa ja pystyvät reagoimaan vaikuttavasti mahdollisiin kyberuhkiin tai -hyökkäyksiin. NIS2 koskee erityisesti organisaatioita, joiden toiminta on kriittisen tärkeää yhteiskunnan toimivuuden kannalta tai joilla on suuri vaikutus ihmisten elintärkeisiin palveluihin ja infrastruktuuriin.
Vaikka vaatimuksia tuntuu tulevan koko ajan lisää, kyse on hyvistä käytännöistä ja menetelmistä organisaatioiden jatkuvuudenhallinnan sekä tieto- ja kyberturvallisuuden kokonaisvaltaisempaan ja riskiperusteiseen johtamiseen.
Varmista organisaatiosi vaatimustenmukaisuus niin ISO/IEC 27001 -standardin kuin NIS 2 -vaatimusten osalta. Kiwa Comply™ -vaatimustenhallintajärjestelmän avulla varmistat, että huomioitte näiden molempien mallien vaatimukset. Comply tulkkaa vaatimuksia kansankielelle ja neuvoo vaatimusten täyttämisessä.
Miten nämä kaksi mallia liittyvät toisiinsa?
Edellä kuvatusti NIS 2 edellyttää mm. riskiperusteista tietoturvallisuuden hallintaa, ja nopeaa vakaviin tietoturvapoikkeamiin reagointia ja niistä viranomaisille ilmoittamista. Nämä ovat samoja asioita, joita standardin ISO/IEC 27001 mukainen tietoturvallisuuden hallintajärjestelmä suoraan sisältää
Näitä molempia yhdistää myös sisälle prosesseihin ja päätöksentekoon viety riskienhallinta, sekä organisaation ylimmän johdon merkittävä rooli ja vastuu tietoturvallisuudenkin hallinnassa ja kehittämisessä.
Ketä tietoturvallisuuden NIS 2 -direktiivi koskee?
NIS 2 -direktiivin vaatimukset kohdistuvat yhteiskunnan turvallisuuden ja jatkuvuuden kannalta kriittisille toimijoille, jotka on jaettu 15 eri toimialaan.
Direktiivissä on toimialojen kesken eroavaisuuksia mm. raportoinnin ja sanktioiden osalta, mutta velvoitteet ovat kaikille samat. Näiden lisäksi on määritelty yrityksille kriteereitä niiden henkilöstömäärän, sekä liikevaihdon ja taseen loppusumman osalta.
NIS 2 vaikuttaa monenlaisiin organisaatioihin, jotka ovat olennaisia Euroopan unionin digitaalisen infrastruktuurin toimivuudelle ja turvallisuudelle. Näihin organisaatioihin kuuluvat muun muassa:
- Verkkopalveluntarjoajat: sisältää palveluntarjoajat, jotka tarjoavat digitaalisia palveluita, kuten verkkokaupat, sosiaalisen median alustat, pilvipalvelut jne.
- Energia-alan yritykset: kattaa sähköntuottajat, jakeluyhtiöt ja muut energia-alan toimijat, joiden toiminta on kriittisen tärkeää yhteiskunnan toimivuuden kannalta.
- Rahoituslaitokset: pankit, vakuutusyhtiöt ja muut rahoituspalveluita tarjoavat organisaatiot, joiden tietoturvallisuus on keskeistä asiakkaiden taloudellisen turvallisuuden kannalta.
- Tärkeät digitaaliset palvelut: esimerkiksi terveydenhuoltoon, liikenteeseen, vesihuoltoon tai muita olennaisia palveluita tarjoavat organisaatiot, joiden toimintakyky ja tietoturvallisuus ovat kriittisiä.
Miten edetä kohti NIS 2 -direktiivin vaatimustenmukaisuutta?
Paras tapa aloittaa on tutustua tietoturvallisuuden hallintajärjestelmästandardiin ISO/IEC 27001. Se sisältää valtaosan NIS 2:ssakin esiintyvistä vaatimuksista ja tarjoaa systemaattisen ja kokonaisvaltaisen lähestymistavan tietoturvallisuuden riskiperusteiseen hallintaan ja johtamiseen. Näiden merkitys korostuu entisestään velvoittavan NIS 2 -direktiivin myötä.
- Apuakin löytyy! Kiwa tarjoaa monenlaisia palveluita tietoturvallisuuden johtamiseen ja kehittämiseen:
yleisiä ja räätälöityjä koulutuksia niin koko henkilöstölle kuin organisaation johdolle kohdistettuna - konsultointi- ja neuvonta-apua hallintamallien rakentamisesta tietoturvallisuuskäytäntöjen jalkauttamisen kautta aina sisäisten auditointien suunnitteluun ja toteuttamiseen
- konkreettisen työkalun vaatimustenhallintaan ja tukemaan sertifiointia, Kiwa ComplyTM –palvelu
- turvallisuushavaintojen keräämiseen ja analysointiin mobiiliraportointisovellus Kiwa ImpactTM
Ota yhteyttä ja pidetään 30 minuutin maksuton kartoitustapaaminen, jossa voimme suunnitella juuri teidän organisaatioonne soveltuvan lähestymistavan.
”NIS 2 on merkittävä askel kohti parempaa tietoturvaa ja verkkojen turvallisuutta Euroopan unionissa. Se heijastelee digitaalisen aikakauden vaatimuksia ja tarvetta suojata yhteiskuntaa ja taloutta verkko- ja tietoturvauhilta.”