Teknologiatorstai Q&A: Kyberturvallisuusdirektiivi on tulossa – miten otat sen vastaan?
EU:n NIS2-kyberturvallisuusdirektiivi astuu voimaan Suomessa lokakuussa 2024. Mietityttääkö jokin kyberturvallisuusdirektiiviin liittyvä asia? Katso, löytyisikö tältä sivulta vastaus kysymykseesi. Kysymykset ja vastaukset ovat Teknologiatorstain Kyberturvallisuusdirektiivi on tulossa – miten otat sen vastaan?
NIS2-direktiiviin soveltamisalat ja yrityskokokriteerit ovat määritelty. Karkeasti voisi todeta, että jos yritys kuuluu huoltovarmuuden piiriin tai tuottaa jotakin palvelua huoltovarmuuden piirissä olevalle toimijalle tai tunnistaa olevansa yhteiskunnan toimivuuden kannalta tärkeällä toimialalla ja jonka palveluksessa on yli 50 henkilöä sekä vuosiliikevaihto ylittää 10M€, on syytä olettaa kuuluvansa direktiivin piiriin. Jotta asia ei olisi niin yksinkertainen, on soveltamisaloissa joitakin toimialoja, joissa ei ole kokokriteeriä, jolloin vaatimukset voivat koskettaa vaikka yhden henkilön toiminnettakin.
Jos asiakasyritys kuuluu NIS2-direktiivin alaisuuteen, on direktiivin yhtenä vaatimuksena varmistaa ja jalkauttaa tietoturvallinen toiminta ja tietoturvavaatimukset myös alihankintaan. Alihankinta ja kumppanit eivät tällöin suoraan ole NIS2-direktiivin alaisia, vaan vaatimukset tulevat asiakasyrityksen kautta usein sopimusteitse.
Minimivaatimuksia ei sinänsä ole määritelty, mutta yleisesti voidaan todeta, että kun tietoturvallisuus on organisaatiossa otettu todennettavasti vakavasti ollaan jo pitkällä. Tämä tarkoittaa sitä, että yritysjohto on tiedostanut vastuunsa ja tietoturvallisuuden hallintajärjestelmä on laadittu ja jalkautettu koko organisaatioon (mm. tietoturvallisuuspolitiikat, tietoturvan hallintamalli, tietoturvan riskienhallintamalli ja -prosessi, tietoturvapoikkeamienhavainnointi ja -hallinta, tietoturvavaatimukset alihankintaan, henkilöstön osaamisen kehitys). Eli jonkin verran hallinnollisia kuvauksia vaaditaan ja niiden todentamiseen ja jalkauttamiseen jonkin verran tekniikkaa. Jos yrityksen tietoturvallisuuden hallintajärjestelmä on laadittu tai jopa sertifioitu ISO27001-tietoturvastandardin mukaisesti, on oletettavasti enää varsin vähän korjattavaa.
Direktiivin siirtymäsäännöstöä ei ainakaan tällä hetkellä ole. Direktiivi tulee voimaan viimeistään 18.10.2024 myös Suomessa. Tuolloin asioiden tulisi olla kunnossa.
Tämä on sitä NIS2-direktiivinkin esille nostamaa tietoturvariskien hallintaa yrityksessä, joka lähtee yritykselle tärkeinpien asioiden tunnistamisesta. Suojauksessa kannattaa ajatella kerroksellista puolustamista. Riippuen siitä missä roolissa järjestelmä pk-yrityksessä onkaan, on sitä hyvä lähestyä sen käyttötarkoituksen ja käyttötapausten kautta.
Yleistettynä yhteydet kannattaa suojata ja salata, yritysverkko kannattaa jakaa eri osioihin tärkeyden ja käyttötarkoituksen perusteella, identiteetit ja tilit kannattaa suojata, päätelaitteille kannattaa hankkia kunnollinen päätelaitesuojaus (ei pelkkä antivirus) ja tärkeät tiedot kannattaa aina varmuuskopioida riittävän tiheällä syklillä jonnekin minne ei esimerkiksi omasta verkosta ole suoraa pääsyä.
Kiristyshaittaohjelmien pääsy yrityksen järjestelmiin usein kuitenkin tulee ihmisten (omien tai kumppanin työntekijöiden) toimien kautta joko vahingossa tai tahallaan. Yksi parhaista ja halvimmista toimista kaikenlaisia haitakkeita vastaan on kouluttaa henkilöstöä olla klikkaamatta kaikkia linkkejä, avaamatta kaikkia liitetiedostoja ja ylipäätään miettimään ennen kuin toimii.
NIS2:n piirissä oleva valmistavaa teollisuutta ovat mm. lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset laitteet, sähkölaitteet, muut koneet ja laitteet sekä kulkuneuvot. Näistä tarkemmin löytyy esimerkiksi Eurostatin esitteestä (sivulta 67 alkaen Division 26, 27, 28, 29 ja 30).
Soveltamisalat löytyvät esimerkiksi Euroopan unionin virallisen lehden julkaisusta (2 artikla, kohta 2).