Mikä on NIS2 ja miksi sinua pitäisi kiinnostaa?

Eu:n uusi tietoturvadirektiivi nimeltään NIS2, astuu voimaan pian. Mutta mitä se käytännössä tarkoittaa ja koskeeko se myös teidän yritystä?
- Käydään ne läpi seuraavaksi.

Mikä on NIS2

EU:n uusi NIS2-direktiivi astuu voimaan 18.10.2024 ja vaikuttaa erityisesti yrityksiin, jotka toimivat yhteiskunnan kannalta tärkeillä toimialoilla. Direktiivi asettaa entistä tiukemmat vaatimukset tietoturvallisuudelle ja laajentaa sääntelyn koskemaan useampia aloja kuin aiempi NIS-direktiivi. Tämä tarkoittaa sitä, että moni yritys, joka ei aiemmin kuulunut sääntelyn piiriin, joutuu nyt tarkistamaan tietoturvakäytäntönsä. Jos yrityksesi tarjoaa palveluja, joilla on keskeinen rooli yhteiskunnan toimivuudessa, on aika varmistaa, että noudatat NIS2:n vaatimuksia. Tässä blogissa selvitämme, mitä sinun täytyy tietää direktiivistä ja miten voit valmistautua siihen.

Mikä on NIS2?

NIS2 on Euroopan unionin uusi kyberturvallisuusdirektiivi, joka tiukentaa ja laajentaa alkuperäisen NIS-direktiivin (Network and Information Systems Directive) vaatimuksia. Sen tarkoituksena on parantaa yhteiskunnan kannalta tärkeiden toimialojen kyberturvallisuutta ja varautumista tietoturvauhkia vastaan.

Käytännössä tämä tarkoittaa sitä, että yritysten on seurattava tarkemmin omia tietoturvakäytäntöjään ja varmistettava, että riskit hallitaan tehokkaasti. Direktiivi asettaa myös uusia velvollisuuksia, kuten tietoturvaloukkauksista raportoinnin nopeuttamisen. Lisäksi NIS2 laajentaa sääntelyn piiriin useampia toimialoja ja yrityksiä, joten moni sellainenkin yritys, joka ei aiemmin kuulunut sääntelyn piiriin, joutuu nyt ottamaan tietoturvan vielä vakavammin.

Kuuluuko teidän firma NIS2 piiriin?

Ketä NIS2 koskee?

NIS2-direktiivi kattaa laajan joukon toimialoja, jotka ovat keskeisiä yhteiskunnan toiminnan kannalta. Näihin kuuluvat esimerkiksi energia-, liikenne-, terveys- ja pankkialat. Lisäksi direktiivi laajentaa sääntelyä koskemaan myös useita muita toimijoita, kuten digitaalisen infrastruktuurin palveluntarjoajia (kuten pilvipalvelut, viestintäverkot ja DNS-palvelut) sekä yrityksiä, jotka hallinnoivat kriittisiä tietojärjestelmiä.

Keitä nis2 direktiivi koskee

Direktiivi ei katso yrityksen kokoa, vaan keskittyy siihen, kuinka tärkeää yrityksen tarjoama palvelu on yhteiskunnalle. Yritykset, joiden toiminnalla on suuri vaikutus kansalliseen turvallisuuteen, yleiseen järjestykseen tai kansanterveyteen, kuuluvat direktiivin piiriin. Tämä tarkoittaa, että myös pienemmät toimijat voivat olla sääntelyn alaisia, jos niiden tarjoamat palvelut ovat yhteiskunnallisesti kriittisiä.

Tässä ovat kaikki ne toimialat, jotka NIS2 luokittelee ”kriittisiksi”:

Erittäin kriittiset toimialat:

✅Energia
✅Liikenne
✅Pankkiala
✅Finanssimarkkinoiden infrastruktuurit
✅Terveys
✅Juomavesi
✅Jätevesi
✅Digitaalinen infrastruktuuri (sisältää luottamuspalvelut, DNS-palvelut, pilvipalvelut jne.)

Muut kriittiset toimialat:

Posti- ja kuriiripalvelut
✅Jätehuolto
✅Kemikaalit
✅Elintarvikkeet
✅Valmistus
✅Digitaalisten palveluiden tarjoajat
✅Tutkimustoiminta
✅Verkkotunnusten rekisteröintipalvelut

Uudistusten taustalla on lisääntyneet kyberuhat

”Miksi kaikesta pitää tehdä hankalampaa”? – Uudistusten taustalla syynä on lähivuosina lisääntyneet ja kehittyneemmät kyberuhat. Esimerkiksi ENISA:n raportissa vakavien tietomurtojen määrä kasvoi huomattavasti vuosien 2022 ja 2023 välillä (kuva alla). Ja kun murtojen määrä kasvoi, oli myös uhkien määrä moninkertaistunut.

ENISA:n raportti löytyy täältä

vakavien tietomurtojen määrät kasvaa

Hyökkäykset kohdistuvat tänä päivänä jokaiseen yritykseen, mutta niiden vaikutukset ovat pahimmillaan, kun ne osuvat palveluihin, joista yhteiskunnan toiminta riippuu. Tietomurrot, kiristyshaittaohjelmat ja palvelunestohyökkäykset voivat lamauttaa toimintaa, aiheuttaa suuria taloudellisia tappioita ja vaarantaa tärkeiden tietojen turvallisuuden.

NIS2-direktiivi on kehitetty juuri siksi, että yritykset (etenkin kriittiset) olisivat paremmin varautuneita näihin uhkiin. Sen avulla halutaan varmistaa, että yritykset osaavat toimia, kun tietoturva on vaarassa, ja estää suurimmat vahingot. Kyse ei ole vain oman toiminnan suojaamisesta, vaan siitä, että murroilla ei olisi yhteiskunnallisia vaikutuksia.

Mitä vaatimuksia NIS2 tuo mukanaan?

NIS2-direktiiviasettaa tiukempia vaatimuksia yrityksille, jotta ne voivat paremmin suojautua kyberuhkilta. Näitä vaatimuksia ovat muun muassa:

Tehokas riskienhallinta: Yrityksellä on oltava ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli, joka kattaa viestintäverkkojen, tietojärjestelmien ja niiden fyysisten ympäristöjen suojauksen.

Poikkeamien käsittely: Yritysten on kyettävä käsittelemään tietoturvapoikkeamia tehokkaasti ja minimoimaan niiden vaikutukset.

Jatkuvuuden hallinta ja kriisinhallinta: Yritysten on varmistettava toiminnan jatkuvuus varmuuskopioinnin, palautussuunnittelun ja kriisinhallinnan avulla.

Toimitusketjun turvallisuus: Yritysten on varmistettava, että niiden toimittajat ja palveluntarjoajat noudattavat riittäviä turvallisuuskäytäntöjä.

Verkko- ja tietojärjestelmien turvallisuus: Yritysten on huolehdittava järjestelmiensä turvallisuudesta hankinnasta ylläpitoon, mukaan lukien haavoittuvuuksien hallinta ja niiden julkistaminen.

Turvallisuuden arviointi: Yrityksillä on oltava menetelmät, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.

Perustason kyberhygienia ja koulutus: Henkilöstölle on tarjottava säännöllistä koulutusta kyberturvallisuudesta ja heitä on opastettava noudattamaan perustason kyberhygieniakäytäntöjä.

Kryptografian ja salauksen käyttö: Kryptografian ja tarvittaessa salauksen käyttö on huomioitavatietojärjestelmien turvallisuudessa.

Monivaiheinen tunnistus: Yrityksiltä edellytetään monivaiheisen tunnistuksen ja suojattujen viestintäjärjestelmien käyttöä kriittisissä toiminnoissa.

Täyttääkö teidän firma nämä?

Miten yrityksesi voi valmistautua NIS2 -direktiiviin?

Kaikki alkaa tietoturva-auditoinnista. Tämä on ensimmäinen ja tärkein askel, kun yritys valmistautuu NIS2-direktiivin vaatimuksiin. Auditoinnin avulla voit kartoittaa yrityksesi nykyisen tietoturvan tason ja tunnistaa mahdolliset haavoittuvuudet. Se antaa sinulle selkeän kuvan siitä, missä parannuksia tarvitaan, jotta voitte täyttää direktiivin asettamat vaatimukset. Lisäksi vuosittainen kolmannen osapuolen toteuttama tietoturva-auditointi on yksi NIS2 –vaatimuksista.

Tietoturva auditointi nis2

Kun auditointi on suoritettu, seuraavaksi on tärkeää luoda suunnitelma tietoturvapoikkeamien varalle. Poikkeamien havaitseminen ja niihin reagoiminen nopeasti on keskeistä, jotta mahdolliset vahingot voidaan minimoida. Tämä tarkoittaa paitsi teknisiä ratkaisuja myös selkeitä prosesseja ja vastuunjakoa yrityksen sisällä. – Kuka tekee mitä?

Yksi alue, joka usein unohtuu, on toimitusketjun turvallisuus. Yrityksen omat järjestelmät voivat olla suojattuja, mutta jos toimitusketjun toimijat eivät täytä tietoturvavaatimuksia, koko ketju on haavoittuvainen. Kuvitellaan tilanne, jossa yrityksesi käyttää ulkoista palveluntarjoajaa datakeskusten hallintaan. Jos kyseinen palveluntarjoaja ei noudata riittäviä tietoturvakäytäntöjä, tietomurto heidän järjestelmissään voi vaarantaa koko yrityksesi tiedot ja toiminnan. Siksi on tärkeää tarkistaa, että toimittajat ja palveluntarjoajat noudattavat myös NIS2 mukaisia turvallisuuskäytäntöjä.

Henkilöstön koulutus on myös olennainen osa valmistautumista. Teknologia ja prosessit voivat olla huippuluokkaa, mutta yrityksesi tietoturva on vain niin vahva kuin sen työntekijöiden tietoturvatietoisuus. Säännöllinen koulutus ja tietoturvakäytäntöjen kertaaminen auttavat työntekijöitä tunnistamaan mahdolliset uhat, kuten tietojenkalasteluyritykset, ja reagoimaan niihin oikein.

Firman tietoturva on yhtä vahva kuin sen heikoin lenkki.

Tietoturva kuntoon – velvoitti NIS2 tai ei!

NIS2- säännösten käytäntöönpano voi kuulostaa isolta urakalta, mutta sitä sen ei tarvitse olla. Auditointi on se ensimmäinen askel – sen avulla saat tarkasti selville, missä kunnossa tietoturvasi on ja mitä pitää parantaa. Ja vaikka NIS2 ei sinua velvoittaisikaan, tietoturvan tsekkaamisesta ei ole koskaan mitään haittaa. Onhan parempi varmistaa, että kaikki toimii kuin huomata ongelmat liian myöhään.

Jos et tiedä mistä aloittaa, tai haluat apua auditoinnin kanssa me voimme auttaa. Varaa alta lyhyt tilannekatsaus, niin katsotaan yhdessä, miten saat tietoturvan kuntoon ja yrityksesi suojattua tulevaisuuden uhkilta.

Mietityttääkö millä tasolla IT-ympäristönne on?

✅ Varaa maksuton it-ympäristön tilannekatsaus

- Kesto 30 min
- Saat asiantuntijan arvion IT-ympäristön nykytilasta ja kehitysehdotuksia mikäli kehitettävää löytyy
- Käydään läpi tietoturva, suorituskyky ja kulut
- Ajan varaus ei sido mihinkään

Varaa aika
Juhani Aro Simplified IT

Juhani Aro, Co-Founder

Simplified IT on osa Simplified Solutions Oy:tä
www.simplified.fi
3196417-9

Rajatorpantie 8, Vantaa

Palvelut
Meistä
Täältä meidät löytää
Sähköposti
moi[at]simplifiedit.fi
Puhelin
+358 400 937820
© 2024 Simplified IT. Kaikki oikeudet pidätetään.
Tietosuojaseloste