NIS2-puuteanalyysi

NIS2-direktiivi vaatii yhä useammilta eurooppalaisilta yrityksiltä laajoja panostuksia hallinnolliseen ja tekniseen tietoturvaan. NIS2-puuteanalyysi on ensimmäinen askel kohti direktiivin vaatimusten mukaista toimintaa. Puuteanalyysin jälkeen organisaatiolla on tiedossa askeleet, joiden mukaan se lähtee kehittämään omaa toimintaansa kohti NIS2:n vaatimusten täyttämistä.

NIS2 on Euroopan Unionin uusi tietoturvadirektiivi. Unionin tasolla jo hyväksytty direktiivi on tällä hetkellä siirtymäajalla kansalliseen lainsäädäntöön. Direktiivin saattaminen kansalliseen lainsäädäntöön on yksi uuden hallituksen ensimmäisiä tehtäviä vuoden 2023 aikana. Työ on aloitettu Liikenne- ja Viestintäministeriössä.  Yritysten toiminnan tulee olla direktiivin mukaista lokakuusta 2024 alkaen.

Haluatko tietää organisaatiosi NIS2-valmiuden?

Puuteanalyysin sisältö

NIS2-puuteanalyysi sisältää tyypillisesti dokumentaation katselmointia ja asiakkaiden asiantuntijoiden haastatteluja työpajamuotoisesti. Tarkoituksena on selvittää tietoturvan sen hetken tila kohdeorganisaatiossa. NIS2-puuteanalyysissa tarkastellaan, kuinka direktiivin vaatimukset toteutuvat nykyisessä toiminnassa ja mitä puutteita toiminnasta löytyy suhteessa direktiivin pohjalta tehtyyn lainsäädäntöön.

Puuteanalyysin (tai toiselta nimeltään vastaavuusanalyysin) lopputuloksena asiakas saa selkeän raportin, joka esittää kuinka kartoitettu organisaatio täyttää valitun viitekehyksen vaatimukset. Puuteanalyysin tärkeimpänä tarkoituksena on kartoittaa, pohjustaa ja helpottaa varsinaista vaatimustenmukaiseen toimintaan tähtäävää työtä.

Puuteanalyysin jälkeen

  • Tiedät missä organisaatiosi menee NIS2:n vaatimusten suhteen
  • Tiedät millaisia toimenpiteitä NIS2-vaatimustenmukaisuus vaatii
  • Saat näkyvyyttä tietoturvan tasoon organisaatiossa
  • Olet paremmin kartalla siitä, mitä ISO 27001 -sertifioituminen vaatisi

Mitä NIS2 tarkoittaa suomalaiselle yritykselle?

Suomen lainsäädäntötyö NIS2:n osalta on päässyt kunnolla vauhtiin ja alustava esitys direktiivin toimeenpanevasta laista on julkaistu. Suomeen tulee uusi laki kyberturvallisuuden riskienhallinnasta, joka määrää lain soveltamisaloille kuuluvien yritysten tietoturvan tasoa. Lähtökohtaisesti laki koskee soveltamisaloihin kuuluvia keskisuuria ja sitä isompia yrityksiä (vähintään 250 työntekijää tai 50 miljoonan liikevaihto). On syytä huomata, että direktiivi koskee lisäksi näiden yritysten toimitusketjuja. Pienemmiltäkin toimijoilta tullaan siis vaatimaan osaa toimenpiteistä ja NIS2:n alaiset yritykset voivat vaatia toimitusketjuiltaan jopa kolmannen osapuolen sertifikaatteja kaupan ehtona varmistuakseen NIS2-vaatimustenmukaisuudesta. Direktiivi ja Suomeen säädettävä laki koskee lisäksi tiettyjä kriittisiä toimijoita koosta riippumatta.

Hallinnollinen tietoturva auttaa huolehtimaan tietoturvasta kokonaisuutena.

NIS2 vaatimukset lyhyesti

    • Yrityksen toimintaan liittyvien riskien tunnistus
    • Näiden ja niihin liittyvien toimenpiteiden dokumentointi ja seuranta
    • Sidosryhmien vaatimusten ja niihin liittyvien riskien tunnistaminen
    • Perustason kyberhygieniakäytännöt, kuten hyvä salasanapolitiikka
    • Häiriöiden ilmoittaminen direktiivin vaatiman määräajan sisällä viranomaisille ja sidosryhmille, joita häiriö koskee

NIS2-puuteanalyysin metodologia

NIS2-puuteanalyysin metodologia, eli toteutustapa, perustuu 2NS:n pitkään kokemukseen erilaisista tietoturvan sertifikaateista ja asiakkaiden tukemisesta erilaisten vaatimusten täyttämisestä. Asiantuntijoillamme on laaja kokemus tietoturvan hallintajärjestelmistä, joista erityisesti ISO 27001 on hyvin lähellä NIS2:sta sisällöltään.

Työpajoissa verrataan direktiivin asettamia vaatimuksia yrityksen nykyiseen toiminnan tilaan. Asiantuntijamme tarkastelee lisäksi asiakkaan dokumentaation, mikäli sellaista on jo olemassa. Näiden pohjalta kartoitetaan nykytila, jota verrataan direktiivin asettamiin vaatimuksiin. Tila arvioidaan kerättyjen tietojen pohjalta kypsyysmallilla, joka antaa kattavan näkemyksen yrityksen toiminnan tilaan ja siihen, miltä osa-alueilta löytyy eniten kehitettävää. Kypsyysmallin pisteytetty rakenne helpottaa asioiden esittämistä ylimmälle johdolle ja muille sidosryhmille, joissa ei välttämättä ole niin suurta osaamista itse tietoturvan saralla. Osa-alueittain esitetty tieto auttaa lisäksi käsittämään, kuinka laajasta kokonaisuudesta on lopulta kyse.

Mihin puuteanalyysin jälkeen?

NIS2-puuteanalyysin jälkeen on hyvä käsitys niistä toimista, joita organisaatiossa täytyy toteuttaa, jotta direktiivin vaatimukset voi täyttää. Puuteanalyysin jälkeen suosittelujen toimien toteuttaminen voi olla tehokkainta palkatun asiantuntijan kanssa. 2NS tarjoaa tähän tarpeeseen esimerkiksi CISO as a service -palvelua tai dokumentoidun hallintajärjestelmän rakentamiseen keskittyvää konsultaatiota. Puuteanalyysin jälkeen on hyvä miettiä kannattaako samalla lähteä tavoittelemaan ISO 27001 -sertifiointia. Kolmannen osapuolen auditoimalla sertifikaatilla voi olla usein tehokkainta osoittaa, että toiminta on NIS2:n vaatimusten mukaista.

Onko NIS2 sama asia kuin ISO27001?

Monet tietoturvan asiantuntijat puhuvat päällekkäin tai rinnakkain NIS2:sta, joka on EU:n direktiivi, ja ISO/IEC 27001-standardista, joka on ISO-standardiorganisaation määrittämä tietoturvan hallintajärjestelmän standardi. Rinnakkainen puhe johtuu siitä, että NIS2:n vaatimukset voi hyvin pitkälti kattaa ISO27001:n mukaan rakennetulla tietoturvan hallintajärjestelmällä. Samalla NIS2:n alaisia toimijoita kannustetaan hankkimaan ISO/IEC 27001 -sertifiointi, sillä kolmannen osapuolen sertifikaatilla on helpompaa osoittaa toiminnan vaaatimustenmukaisuus, kuin erikseen todistamalla, että toiminta on NIS2:n mukaista.

NIS2-direktiivin vaatimuksien täyttäminen ei kuitenkaan vaadi erikseen ISO/IEC 27001 -sertifiointia. EU:n direktiivi ei mainitse lainkaan ISO/IEC 27001 –standardia ja direktiivin ehdot on mahdollista täyttää ilman sen vaatimaa sertifiointia.

Haluatko tietää, millaisilla toimenpiteillä yrityksesi kannattaa lähteä kohti NIS2-valmiutta?