Mitä NIS2-direktiivin täyttäminen vaatii?

Mitä NIS2-direktiivin täyttäminen vaatii?

Kuuluuko organisaatiosi NIS 2 -direktiivin alaisuuteen? Direktiivi vaatii yhä useammalta yritykseltä parempia panostuksia tietoturvaan.

NIS 2 -direktiivin soveltamisalaan kuuluu huomattavasti laajempi joukko yrityksiä, kuin alkuperäiseen NIS-direktiiviin. NIS 2 direktiivi koskee seuraavilla aloilla toimivia yrityksiä: Energiahuolto, terveydenhuolto, vesihuolto, liikenne, pankkitoiminta, finanssimarkkinoiden infrastuktuurit, digitaalinen infrastuktuuri, TVT-palveluntarjoajat, julkishallinto, avaruustoiminta, posti- ja kuriiripalvelut, jätehuolto, kemikaalien valmistus, tuotanto ja jakelu, elintarviketuotanto ja -jakelu, valmistus, digitaaliset palveluntarjoajat ja tutkimustoiminta.

Lista direktiivin alle asettuvista aloista on siis huomattavasti laajempi, kuin aiemmalla NIS-direktiivillä. Samalla myös vaaditut toimenpiteet ovat aiempaa huomattavasti laajempia.

Lue lisää: Mikä on NIS2 -direktiivi

Miten yritys täyttää direktiivin vaatimukset?

Direktiivissä vaaditut toimenpiteet ja politiikat:

  • Dokumentoidut riskianalyysit tietoturvakohdista
  • Valmiit politiikat tietoturvapoikkeamien käsittelyyn
  • Toiminnan jatkuvuuden hallinta. Näitä voivat olla esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta.
  • Toimitusketjun turvallisuuden ymmärtäminen ja arviointi. Tämä sisältää hankintaketjuun kuuluvien toimittajien sekä niiden välittömien toimittajien ja palveluntarjoajien välisten suhteiden turvallisuusnäkökohtien arvioinnin
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden varmentaminen. Tämä vaatimus sisältää myös vaatimuksen haavoittuvuuksien käsittelystä ja julkaisusta
  • Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  • Dokumentoidut kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  • Toimintaperiaatteet ja menettelyt kryptografiaa ja tarvittaessa salausta koskien
  • Toimenpiteet henkilöstöturvallisuuteen liittyen, periaatteet pääsynhallintaan ja omaisuudenhallinta
  • Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestiliikenteen sekä suojattujen hätäviestijärjestelmien käyttö toimijan toiminnassa

Monet näistä ovat sellaisia kohtia, joihin yritykset ovat jo panostaneet tavalla tai toisella. Uusi direktiivi vaatii kuitenkin näiden huomioonottoa kokonaisvaltaisesti ja dokumentoidusti. Vaatimuksien laajuus sovelletaan kullekkin yritykselle riskianalyysin perusteella, joten toimenpiteet eivät ole kaikilta osin identtisiä tuhansien työntekijöiden yrityksille ja alle sadan henkilön alihankkijoille.

Mietitkö, millä toimilla kannattaa lähteä kohti NIS2:n ehdot täyttävää tietoturvan hallintajärjestelmää? Lue tästä miten lähteä liikkeelle yrityksen tietoturvan tason selvittämisessä.

Direktiivin vaatimusten täyttämisessä tukee erittäin hyvin ISO/IEC 27001 -standardin mukaisen tietoturvan hallintajärjestelmän perustaminen. NIS2:n soveltamisalaan kuuluvien yritysten kannattaa vahvasti harkita ISO/IEC 27001 -sertifiointia kokonaisuudessaan. Sertifioinnin edellyttäminen tulee varmasti yleistymään merkittävästi esimerkiksi sopimusehtona uuden direktiivin myötä. Kolmannen osapuolen myöntämä sertifikaatti on asiakkaalle huomattavasti kevyempi tapa todistaa direktiivin vaatimusten täyttö kuin tietoturvan hallintajärjestelmän arviointi erikseen.

Tutustu täältä siihen, kuinka toimii tietoturvan tason gap-puuteanalyysi, josta on hyvä lähteä kohti ISO/IEC 27001 -sertifiointia, toimii käytännössä.

Ole yhteydessä meihin, jos mietit mitä toimia uusi direktiivi vaatii organisaatioltasi. NIS 2:n velvoitteet astuvat voimaan lokakuussa 2024 ja asiassa on paras olla liikkeellä jo hyvissä ajoin.

NIS2-direktiivi pähkinänkuoressa

  • Yritysten tietoturvan tasoa määrittävä direktiivi
  • Soveltamisala on ensimmäistä NIS-direktiiviä huomattavasti laajempi
  • NIS2 pakottaa yhä useamman yrityksen panostamaan tietoturvan hallintajärjestelmään ja käytäntöihin sekä tietoturvapoikkeamista raportointiin
  • Direktiivin artiklojen rikkomisesta on säädetty sakko, 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. Sakkoja voidaan antaa artiklojen 21 tai 23 rikkomisesta.
  • Direktiivin vaatimukset voi täyttää todennäköisesti täysin tai ainakin hyvin suurelta osin ISO/IEC 27001 -standardin mukaisella tietoturvan hallintajärjestelmällä (ISMS) ja jatkuvuudenhallinnalla
  • NIS2:n soveltamisalaan kuuluvien yritysten kannattaa vahvasti harkita ISO/IEC 27001 -sertifiointia kokonaisuudessaan. Sertifioinnin edellyttäminen tulee varmasti yleistymään merkittävästi esimerkiksi sopimusehtona uuden direktiivin myötä. Kolmannen osapuolen myöntämä sertifikaatti on asiakkaalle huomattavasti kevyempi tapa todistaa direktiivin vaatimusten täyttö kuin tietoturvan hallintajärjestelmän arviointi erikseen
  • Hyvä ensiaskel kohti NIS2:n vaatimuksien täyttöä on gap-puuteanalyysi, joka vertaa yrityksen tietoturvahallinnan nykytilaa ISO/IEC 27001:n -vaatimuksia vasten