NIS2 – lainsäädäntö kehittämään kyberturvallisuutta 

Kyberturvallisuuden merkitys yhteiskunnalle on kasvanut

Kyberuhat ovat muuttuneet vuosikymmenten aikana monin tavoin. Tyypillinen vastustaja ei ole enää hakkeri, joka tekee sitä huvin vuoksi ja tavoittelee mainetta omiensa keskuudessa, eikä yleisin haittaohjelma ole enää harmittoman hassu viesti tietokoneen ruudulla. Nykyisin vastassamme on järjestäytyneitä rikollisia, jotka etsivät rahaa kiristämällä, sekä poliittisesti motivoituneita haktivisteja, jotka haluavat ajaa omaa poliittista agendaansa.

Digitalisaation ja tekoälyn aikakaudella kehittyneet uhat ovat nostaneet kyberturvallisuuden roolin yhdeksi keskeiseksi komponentiksi yhteiskunnallisessa kriisinsietokyvyssä ja yksityisten yritysten liiketoiminnan jatkuvuuden turvaamisessa. Tämä on lisännyt tarvetta ohjata julkista ja yksityistä sektoria lakien ja asetusten kautta muuttuvien uhkakuvien ympäristössä – tähän tarpeeseen NIS2 vastaa. NIS2-direktiivi on astunut voimaan vuonna 2022. Kansallisen lainsäädännön tulee astua voimaan 17.10.2024 mennessä ja sen soveltaminen alkaa 18.10.2024.

NIS2-direktiivin soveltaminen

NIS2-direktiivin (2022/2555) soveltamisala on laajempi kuin edeltäjänsä ja sitä sovelletaankin yrityksiin, jotka luokitellaan keskisuuriksi tai suuriksi yrityksiksi nimetyillä toimialoilla. Soveltamisala kattaa laajasti eri toimialoja alla olevan Kyberala Ry:n kuvan mukaisesti. Toimijat jaetaan kriittisyyden perusteella kahteen luokkaan, keskeiset ja tärkeät toimijat. Oleellinen ero luokkien välillä on valvonta. Keskeisiä toimijoita valvotaan etukäteen ja tärkeitä toimijoita valvotaan jälkikäteen. Soveltamisalaa tulkitessa tulee huomioida, että NIS2:ta sovelletaan CER-direktiivissä (2022/2057) määriteltyihin toimijoihin kokoluokasta riippumatta.

Lähde: Kyberala ry. NIS2 OPAS 0.9 BETA

NIS2:n velvoitteet

NIS2-direktiivin perusteella laadittu kansallinen lakiehdotus (Laki kyberturvallisuuden riskienhallinnasta) asettaa sen soveltamisalaan kuuluville organisaatioille kyberturvallisuuden perusteiden vaatimuksia. Asetetut vaatimukset ovat hyvä perustaso mille tahansa organisaatiolle ja tarjoavat pohjan, minkä kautta voidaan rakentaa organisaation kyberturvallisuuden kyvykkyyttä riskiperusteisesti. NIS2-velvoitteet voidaan jakaa neljään kokonaisuuteen  

• Johdon vastuu toteutuksesta ja tietoisuus riskeistä sekä valvontavelvoite 
• Riskienhallintavelvoite ja riskienhallinnan toimintamalli 
• Tekniset ja organisatoriset kyberturvatoimet riskiperusteisesti 
• Poikkeamien havainnointi ja käsittely

Johdon rooli 

NIS2 asettaa johdon vastuulle riskienhallinnan toimintamallin toteuttamisen ja valvonnan. Johdon tulee edistää aktiivisesti kyberturvallisuustoimia ja siltä edellytetään riittävää perehtyneisyyttä toimintaan. Johdon rooli on siten merkittävä velvoitteiden toteuttamisessa, sen myötä lainsäädäntöön on kirjattu johdon sanktiointi toimintakiellon muodossa. 

Riskienhallintavelvoite ja riskienhallinnan toimintamalli 

NIS2 korostaa riskienhallintaa, jota tulee toteuttaa määritellyn toimintamallin mukaisesti. Suojaustoimet tulee mitoittaa riskiperusteisesti. Riskien hallinnasta on erityisesti todettu, että sen tulee kattaa viestintäverkkojen, tietojärjestelmien sekä niiden fyysisen ympäristön suojaaminen poikkeamilta ja niiden vaikutuksilta.  Toimintamallin tulee olla rakennettu kaikki vaaratekijät huomioivan lähestymistavan mukaisesti.

Tekniset ja organisatoriset toimet

Tekniset ja organisatoriset toimet sisältävät kyberturvallisuuden toimintoja, joilla kyberturvallisuuden käytännön toteutusta ohjataan. Direktiivin ja lakiesityksen välillä on hienoisia eroja, oheinen 12:n kohdan lista perustuu lakiesitykseen. 

1. kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi 
2. viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet
3. viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen
4. toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt
5. omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
6. henkilöstöturvallisuus ja kyberturvallisuuskoulutus
7. pääsynhallinnan ja todentamisen menettelyt
8. salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön
9. poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi
10. varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa
11. perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto-, ohjelmisto- ja tietoaineistoturvallisuuden varmistamiseksi 
12. toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön, tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi. 

Toimenpiteitä tarkastellessa voi tunnistaa yhtäläisyyksiä mm. ISO27001-standardiin ja yleisesti tunnettuihin vaatimusmäärittelyihin ja parhaisiin käytänteisiin.

Poikkeamien havainnointi ja käsittely 

Poikkeamien havainnointiin ja käsittelyyn on asetettu vaatimus kolmiportaiselle poikkeamienilmoittamisen käytännölle. Toimijoiden tulee havaittuaan poikkeaman kyetä arvioimaan sen merkitystä ja vakavuutta ja merkittävästä poikkeamasta tulee ilmoittaa viranomaisille 24 tunnin kuluessa sen havaitsemisesta. Ensi-ilmoitusta seuraa jatkoilmoitus 72 tunnin kuluessa havaitsemisesta, lisäksi poikkeamatilanteen päätyttyä on lähetettävä loppuraportti.

Valmistautuminen 

NIS2 soveltaminen alkaa 18.10.2024 ja siten organisaatioiden olisi syytä ryhtyä viimeistään nyt valmisteleviin toimiin. Toimenpiteet kannattaa aloittaa lähtötilannekartoituksella ja toimintasuunnitelman laatimisella. Toimintasuunnitelman tavoitteena on toteuttaa kyberturvallisuuden hallintajärjestelmä, mikä huomioi organisaatioon kohdistuvat NIS2-vaatimukset ja kyberturvallisuusriskit liiketoimintalähtöisesti. 

Pika-analyysin organisaation NIS2-valmiudesta voi tehdä esimerkiksi seuraavien kysymyksien kautta: 

• Olemmeko tunnistaneet kriittiset tietojärjestelmät, tietoaineistot, toiminnot, toimitusketjut, henkilöt ja tilat? 
• Tunnistammeko, arvioimmeko ja hallitsemmeko edellä mainittuihin kohdistuvia riskejä säännöllisesti määritellyn toimintamallin mukaisesti? 
• Olemmeko kuvanneet kyberturvallisuuden keskeiset menettelyt ja tekniset toteutukset? 
• Valvommeko menettelyiden ja teknisten toimintojen toimintaa ja vaikuttavuutta? 
• Olemmeko varautuneet riittävin keinoin kyberturvallisuuspoikkeamiin? Havaitsemmeko ne, pystymmekö rajoittamaan niitä ja onko määritelty menettelyt niiden arviointiin ja ilmoittamiseen? 

Mikäli näiden kautta ilmenee puutteita kyberturvallisuuden toteutuksessa, niin on suositeltavaa käynnistää toimet kyberturvallisuuden hallintajärjestelmän ja kyvykkyyden kehittämiseksi. Ota rohkeasti yhteyttä asiantuntijoihimme, autamme mielellämme!