Tieto- ja kyberturvallisuuden sekä jatkuvuudenhallinnan aihepiireissä otsikon kryptiset lyhenteet tulevat nyt vastaan joka kanavalla samaan tapaan kuin GDPR ja tietosuoja joitakin vuosia sitten. Mitä näistä oikein pitää tietää, ja varsinkin – mitä pitää tehdä?
Hengitetään syvään ja todetaan: ainakaan ei tarvitse hätääntyä. Lyhyesti todettuna kyse on hyvistä käytännöistä ja menetelmistä organisaatioiden jatkuvuudenhallinnan sekä tieto- ja kyberturvallisuuden kokonaisvaltaisempaan ja riskiperusteiseen johtamiseen.
Tavoitteena on edelleen vahvasti digitalisoituvassa maailmassa toisaalta suojata meitä jokaista ja toisaalta mahdollistaa häiriöitä kestävää liiketoimintaa turvallisessa yhteiskunnassa. Minkään toimialan kriittisten toimintojen varmistamista, kun ei voi enää tehdä ilman digitaalisen infrastruktuurin toimivuuteen ja turvallisuuteen panostamista.
Monet elementeistä, joita tieto- tai kyberturvallisuuden systemaattinen johtaminen vaatii, voivat jo olla käytössä organisaatiossanne. Näitä käytäntöjä tai prosesseja on hyvin todennäköisesti toteutettu jo esimerkiksi henkilötietojen suojaamisen (GDPR) kehittämisen myötä, mistä niitä voidaan edelleen jatkojalostaa.
Keskeinen tavoite tulee olla siirtyä pelkän teknisen tietoturvallisuuden miettimisestä perusasioiden äärelle: suunnitelmallisella ja riskiperusteisella tietoturvallisuudella tuetun liiketoiminnan johtamiseen. Tietoturvallisuus, kuten kaikki muutkin turvallisuuden osa-alueet, tarvitsee henkilöstön kouluttamista, ohjeistamista ja hyvien käytäntöjen luomista, niiden toteutumisen varmistamista ja harjoittelua.
NIS2 on merkittävä askel kohti parempaa tietoturvaa ja verkkojen turvallisuutta Euroopan unionissa. Se heijastelee digitaalisen aikakauden vaatimuksia ja tarvetta suojata yhteiskuntaa ja taloutta verkko- ja tietoturvauhilta.
Mutta mitä nämä lyhenteet oikein tarkoittavat?
NIS2, eli Network and Information Security Directive 2, on Euroopan unionin direktiivi, jonka tavoitteena on varmistaa korkea tietoturvataso digitaalisessa ympäristössä. Se keskittyy verkko- ja tietoturvallisuuteen ja vaikuttaa erilaisiin organisaatioihin ja tärkeisiin digitaalisten palveluiden tarjoajiin. Direktiivi asettaa vaatimuksia tietoturvatoimille ja edellyttää ilmoittamaan vakavia tietoturvapoikkeamia kansallisille viranomaisille. Sen tarkoituksena on parantaa EU:n laajuista tietoturvaa ja varautumista mahdollisiin kyberuhkiin. NIS2-direktiivin kansallinen soveltaminen astuu voimaan lokakuussa 2024.
CER, eli Critical Entities Resilience Directive, on samoin Euroopan unionin direktiivi, jonka tarkoitus on parantaa yhteiskunnan kriittisten palvelujen häiriönsietokykyä. Keskeistä on ymmärtää kunkin organisaation uhka- ja häiriökentän laajuus ja vahvistaa ennakoivaa työtä lyhentämään mahdollisten häiriötilanteiden kestoa ja lieventämään niiden vaikutuksia – eli toteuttaa jatkuvuudenhallintaa. Kriittisten toimijoiden on tehtävä riskien arviointeja ja ryhdyttävä teknisiin ja organisatorisiin toimenpiteisiin parantaakseen häiriönsietokykyään ja ilmoittaakseen häiriöistä. NIS2:n tapaan CER-direktiivin kansallinen soveltaminen astuu voimaan lokakuussa 2024.
ISO/IEC 27001 on standardi tietoturvallisuuden hallintaan ja johtamiseen. Sen ensimmäinen versio julkaistiin vuonna 2005 ja viimeisin 2022. Tämä standardi kuvaa riskiperusteisen ja siten ennakoivan hallintamallin tieto-omaisuuden luottamuksellisuuden, eheyden tai saatavuuden uhkiin vastaamiseen ja tietoturvavaatimusten täyttämiseen. ISO/IEC 27001 on kansainvälisenä standardina tunnistettu maailmanlaajuisesti ja sitä vasten voidaan myöntää sertifikaatteja todistuksena sen vaatimusten täyttämisestä.
Miten nämä kolme liittyvät toisiinsa?
Edellä kuvatusti NIS2 edellyttää mm. riskiperusteista tietoturvallisuuden hallintaa, ja nopeaa vakaviin tietoturvapoikkeamiin reagointia ja niistä viranomaisille ilmoittamista. Nämä ovat samoja asioita, joita standardin ISO/IEC 27001 mukainen tietoturvallisuuden hallintajärjestelmä suoraan sisältää.
Kriittisiltä toimijoilta jatkuvuudenhallintaa edellyttävä CER puolestaan saa suoran tuen mm. NIS2:n tieto- ja kyberturvapoikkeamien hallintavaatimuksista ja ISO/IEC 27001:n hallintamallista tietoturvallisuuden johtamiseen ja ylläpitoon.
Ja kaikkia näitä yhdistää sisälle prosesseihin, päätöksentekoon ja johtamiseen viety riskienhallinta.
Ketä häiriönsietokyvyn (resilienssin) CER-direktiivi koskee?
CER-direktiivi kattaa 11 toimialaa, joiden kriittiset toimijat kunkin EU-jäsenmaan on määritettävä 17.7.2026 mennessä.
Ketä tietoturvallisuuden NIS2-direktiivi koskee?
NIS2-direktiivin vaatimukset kohdistuvat yhteiskunnan turvallisuuden ja jatkuvuuden kannalta kriittisille toimijoille, jotka on jaettu 15 eri toimialaan.
Direktiivissä on toimialojen kesken eroavaisuuksia mm. raportoinnin ja sanktioiden osalta, mutta velvoitteet ovat kaikille samat. Näiden lisäksi on määritelty yrityksille kriteereitä niiden henkilöstömäärän, sekä liikevaihdon ja taseen loppusumman osalta.
NIS2 vaikuttaa monenlaisiin organisaatioihin, jotka ovat olennaisia Euroopan unionin digitaalisen infrastruktuurin toimivuudelle ja turvallisuudelle. Näihin organisaatioihin kuuluvat muun muassa:
- Verkkopalveluntarjoajat: sisältää palveluntarjoajat, jotka tarjoavat digitaalisia palveluita, kuten verkkokaupat, sosiaalisen median alustat, pilvipalvelut jne.
- Energia-alan yritykset: kattaa sähköntuottajat, jakeluyhtiöt ja muut energia-alan toimijat, joiden toiminta on kriittisen tärkeää yhteiskunnan toimivuuden kannalta.
- Rahoituslaitokset: pankit, vakuutusyhtiöt ja muut rahoituspalveluita tarjoavat organisaatiot, joiden tietoturvallisuus on keskeistä asiakkaiden taloudellisen turvallisuuden kannalta.
- Tärkeät digitaaliset palvelut: esimerkiksi terveydenhuoltoon, liikenteeseen, vesihuoltoon tai muita olennaisia palveluita tarjoavat organisaatiot, joiden toimintakyky ja tietoturvallisuus ovat kriittisiä.
Miten edetä kohti NIS2-direktiivin vaatimustenmukaisuutta?
Paras tapa aloittaa on tutustua tietoturvallisuuden hallintajärjestelmästandardiin ISO/IEC 27001. Se sisältää merkittävän osan NIS2:ssakin esiintyvistä vaatimuksista ja se tarjoaa systemaattisen ja kokonaisvaltaisen lähestymistavan tietoturvallisuuden hallintaan ja johtamiseen. Näiden merkitys korostuu entisestään velvoittavan NIS2-direktiivin myötä.
Apuakin löytyy! Kiwa tarjoaa monenlaisia palveluita tietoturvallisuuden johtamiseen ja kehittämiseen:
- yleisiä ja räätälöityjä koulutuksia niin koko henkilöstölle kuin organisaation johdolle kohdistettuna
- konsultointi- ja neuvonta-apua hallintamallien rakentamisesta tietoturvallisuuskäytäntöjen jalkauttamisen kautta aina sisäisten auditointien suunnitteluun ja toteuttamiseen
- konkreettisen työkalun vaatimustenhallintaan ja tukemaan sertifiointia, Kiwa Comply™
- turvallisuushavaintojen keräämiseen ja analysointiin mobiiliraportointisovellus Kiwa Impact ™
Ota yhteyttä ja sovitaan 30 minuutin maksuton kartoitustapaaminen, jossa voimme suunnitella juuri teidän organisaatioonne soveltuvan lähestymistavan.