NIS2 nyt ja tässä

Hallitus esittää, että uusi kyberturvallisuuslaki astuisi voimaan 8.4.2025. Kyberturvallisuuslailla toimeenpannaan EU:n kyberturvallisuusdirektiivi (NIS 2). Direktiivin tavoitteena on vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta kriittisillä toimialoilla. Tarkista kuuluuko yrityksenne direktiivin piiriin tästä linkistä.

Tuleva laki pitää sisällään kaksi siirtymäaikaa mitkä organisaatioiden tulee huomioida: toimijaksi ilmoittautumiselle 1 kuukauden siirtymäaika sekä turvallisuutta koskevan riskienhallinnan toimintamallin laatimiselle on ehdotettu 3 kuukauden siirtymäaikaa.

Toimijaksi ilmoittautuminen

Toimijaksi ilmoittautumiselle on näillä näkymin tulossa yhden (1) kuukauden siirtymäaika. Tämä tarkoittaa sitä, että organisaatioiden tulee ilmoittautua viranomaiselle tunnistaneensa NIS2:n soveltamisalaan kuulumisen kuukauden sisällä voimaantulosta.

Ennakkotietojen perusteella ilmoittautumiselle on mahdollisesti tulossa yhteneväinen käytäntö kaikille toimialoille.

Ilmoittautumisen tekeminen on tärkeää siirtymäajan sisällä, sillä sen laiminlyönti katsotaan lain rikkomiksesi. Organisaatioiden johdon tuleekin asettaa tehtävälistalleen viimeistään nyt NIS2 soveltamisalaan kuulumisen tarkastamisen.

Kyberturvallisuuden riskienhallinnan toimintamalli

Kyberturvallisuutta koskevan riskienhallinnan toimintamallin laatimiselle on ehdotettu kolmen (3) kuukauden siirtymäaikaa. Tämä koskee 8 § mukaista riskienhallinnan toimintamallia mikä on luotu viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi

Toimintamallissa tunnistaan em. kohteisiin kohdistuvat riskit kaikki vaaratekijät huomioiden. Toimintamallin tulee sisältää dokumentoidusti kuvaukset riskienhallinnan tavoitteista, menettelyistä ja vastuista sekä toimenpiteistä. Toimenpiteiden tulee olla kuvattuna 9 § mukaisesti kattaen:

1. Kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi;
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet;
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi;
4. Toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet sekä välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt;
5. Omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen;
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus;
7. Pääsynhallinnan ja todentamisen menettelyt;
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi;
9. Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi;
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö;
11. Perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi;
12. Toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.

Riskienhallinnan toimintamalli vaatii jo enemmän työtä. Mikäli organisaatioilla on aiempi kyberturvallisuuden riskienhallinnan toimintamalli, niin se antaa hyvän pohjan tekemiselle. Mikäli liikkeelle lähdetään tyhjällä paperilla, on syytä aloittaa toimet välittömästi.

Riskienhallinnan toimintamallin toimintaperiaatteet

Riskienhallinnan toimintamallin voi hahmottaa nelivaiheisen mallin kautta. Vaiheet ovat:

1. Riskien tunnistaminen – tunnistetaan omaan toimintaan ja palveluntarjontaan kohdistuvat riskit
2. Riskien arviointi – arvioidaan riskien todennäköisyys ja vaikutus, joiden avulla tunnistetaan riskin merkitys omaan toimintaan.
3. Riskien käsittely – valitaan riskien käsittelyn toimet eli hallintakeinot. Tämä käsittää tekniset ja hallinnolliset keinot, joilla riskitasoa vähennetään tai poistetaan.
4. Riskien seuranta – seurataan riskien hallintakeinojen vaikuttavuutta ja tehdään tarvittaessa korjaavia toimia.

Riskienhallinnan toimintamallin laatimisessa voi tukeutua myös standardien, kuten ISO27001, ja viranomaisten laatimiin suosituksiin.

Mitä seuraavaksi?

Johdon agendalla tulisi nyt olla kyberturvallisuus sillä johto on vastuussa kyberturvallisuudesta. Yrityksen johto vastaa siitä, että kyberturvallisuus on hallinnassa ja että se saa riittävästi resursseja. Tarkista alla oleva lista:

1. Tunnista kuuluuko organisaatio NIS2 piiriin ja valmistaudu ilmoittautumaan toimijaksi.
2. Riskienhallinnan toimintamalli on pakollinen sillä NIS2 vaatii, että yrityksellä on selkeä tapa tunnistaa ja hallita kyberturvariskejä.
3. Raportointivelvollisuudet ovat osa NIS2 toimijan vaatimuksia. Tietosuojasta tututuksi tullut aikarajoihin sidottu reagointi ja raportointi viranomaisille tulee osaksi kyberturvallisuutta kolmiportaisena.

Ota nämä kolme asiaa johdon työlistalle ja varmista NIS2 velvoitteiden mukainen toiminta.

Yksin ei tarvitse jäädä

Kyberturvan kanssa ei tarvitse jäädä yksin, ota meihin yhteyttä ja autamme teitä eteenpäin!

Paavo Saikkonen
Myyntipäällikkö
+35840 8420 470
paavo.saikkonen@opsec.fi