*Tekven arvio NIS2-direktiivin eli kyberturvallisuuslain voimaantulemisesta Suomessa
Sisältö
Tapahtumat
Tekven asiantuntijat seuraavat NIS2-direktiivin eli kyberturvallisuuslain kansallista täytäntöönpanoa Suomessa.
12.12.2024: Perustuslakivaliokunta arvioi NIS2-direktiivin täytäntöönpanoa koskevan lainsäädännön perustuslainmukaisuutta ja totesi, että viranomaisten tiedonsaantioikeudet ovat perusteltuja ja lain soveltamisala tulee rajata siten, ettei se koske eduskunnan virastoja, jotta lakiehdotukset voidaan hyväksyä.
21.11.2024: ENISA:n raportti arvioi NIS-direktiivin vaikutusta organisaatioiden kyberturvallisuusinvestointeihin ja kypsyystasoon sekä tarjoaa lähtötilannekuvan NIS2-direktiivin uusista sektoreista ja toimijoista EU:ssa.
7.11.2024: ENISA pyytää sidosryhmiltä palautetta NIS2-direktiivin täytäntöönpanosäädöksen kyberturvatoimia koskevasta teknisestä ohjeistuksesta, joka on tarkoitettu kriittisille digitaalisen infrastruktuurin toimijoille.
17.10.2024: EU-komission täytäntöönpanoasetus (EU) 2024/2690 tarkentaa NIS2-direktiivin soveltamista määrittelemällä kyberturvallisuuden riskienhallintatoimenpiteiden tekniset ja menetelmälliset vaatimukset sekä täsmentämällä tapaukset, joissa poikkeama katsotaan merkittäväksi tietyille palveluntarjoajille.
19.9.2024: Hallintovaliokunta antoi lausunnon HaVL 15/2024, jossa se arvioi kyberturvallisuuslain säätämistä koskevaa hallituksen esitystä
5.9.2024: Valiokunnat antoivat asiantuntijalausunnot hallituksen esityksestä.
23.4.2024: Hallituksen esitys Eduskunnalle. Esityksessä ehdotetaan säädettäväksi kyberturvallisuuslaki. Ehdotetuilla laeilla pantaisiin täytäntöön EU:n kyberturvallisuusdirektiivi
Mikä on NIS2-direktiivi?
NIS2-direktiivi (Network and Information Security Directive 2) on Euroopan unionin päivitetty lainsäädäntö, joka asettaa uusia ja tiukempia vaatimuksia jäsenvaltioiden kriittisten ja tärkeiden toimialojen kyberturvallisuuden vahvistamiseksi.
Se on jatkoa alkuperäiselle NIS-direktiiville ja sen tavoitteena on parantaa EU:n kyberturvallisuuden tasoa yhtenäistämällä käytäntöjä ja vahvistamalla jäsenvaltioiden, yritysten ja muiden organisaatioiden yhteistyötä.
Itse direktiivi astui voimaan ja sen määräykset pitäisi olla jäsenvaltioiden kansallisessa lainsäädännössä 17.10.2024 mennessä. Tästä Suomi, muiden jäsenvaltioiden kanssa, on kuitenkin myöhästynyt ja arvioitu integroiminen tapahtuu aikaisintaan vuoden 2025 kevään aikana.
Keitä NIS2-direktiivi koskee?
NIS2-direktiivi laajentaa merkittävästi edeltäjänsä soveltamisalaa kattaen entistä useampia toimialoja ja organisaatioita.
Direktiivi jakaa toimijat suuriin ja keskisuuriin toimijoihin:
- Suuret toimijat: Yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa
- Keskisuuret toimijat: 50–249 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa
Direktiivi koskee sekä “keskeisiä” että “tärkeitä” toimijoita, jotka jakautuvat seuraavanlaisesti:
Keskeiset toimijat
Seuraavien toimialojen suuret yritykset. Näiden toimialojen keskisuuret yritykset kuuluvat tärkeisiin toimijoihin.
- Energia (sähkö, öljy, kaasu, kaukolämpö ja -jäähdytys, vety)
- Liikenne (ilma-, rautatie-, vesi- ja maantiekuljetus)
- Terveydenhuolto (julkiset sairaalat ja yksityiset klinikat)
- Vesihuolto (juomavesi, jätevesi)
- Digitaalinen infrastruktuuri (telekommunikaatio, DNS, TLD, pilvipalvelut, datakeskukset)
- Rahoitus (pankkitoiminta, rahoitusmarkkinainfrastruktuurit)
- Julkishallinto
- Avaruus
Tärkeät toimijat
Seuraavien toimialojen suuret ja keskisuuret toimijat.
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemikaalit (Valmistus, tuotanto ja jakelu)
- Elintarvikkeet (Teollinen tuotanto, jalostus ja tukkukauppa)
- Valmistus (Lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset tuotteet, sähkölaitteet, muut koneet ja laitteet, moottoriajoneuvot ja perävaunut sekä puoliperävaunut, muut kulkuneuvot)
- Digitaalisen palvelun tarjoajat (Verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat)
- Tutkimustoiminta
- Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat
Muut
NIS2-direktiiviä sovelletaan myös toimijoihin niiden koosta riippumatta seuraavissa tilanteissa:
- Toimija on ainoa palveluntarjoaja jäsenvaltiossa, ja sen palvelut ovat välttämättömiä yhteiskunnan tai talouden kriittisten toimintojen ylläpitämiseksi.
- Toimijan palvelussa ilmenevä häiriö voisi vakavasti heikentää yleistä järjestystä, turvallisuutta tai kansanterveyttä.
- Palveluhäiriö voi aiheuttaa merkittäviä rajat ylittäviä vaikutuksia, erityisesti toimialoilla, joissa häiriö voi johtaa systeemisiin riskeihin.
- Toimija on erittäin tärkeä kansallisella tai alueellisella tasolla toimialansa tai palvelutyyppinsä kannalta tai muiden keskinäisriippuvaisten toimialojen kannalta.
NIS2-direktiivi koskee CER-direktiivin nojalla kriittisiksi määriteltyjä toimijoita, riippumatta niiden koosta. Näiden ns. CER-kriittisten toimijoiden tunnistaminen on suunniteltu tapahtuvaksi vuoteen 2026 mennessä.
Kaikki yllä mainitut poikkeusperusteiset ja CER-kriittiset toimijat luokitellaan keskeisiksi toimijoiksi NIS2-direktiivin mukaan.
Keskeiset toimijat
Seuraavien toimialojen suuret yritykset. Näiden toimialojen keskisuuret yritykset kuuluvat tärkeisiin toimijoihin.
- Energia (Sähkö, kaukolämmitys ja -jäähdytys, kaasu, vety, öljy, latauspalvelujen tarjoajat loppukäyttäjille)
- Liikenne (Ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne)
- Pankkiala (Luottolaitokset)
- Finanssimarkkinoiden infrastruktuurit (Kauppapaikkojen ylläpitäjät ja keskusvastapuolet)
- Terveys (Terveydenhuoltopalvelujen tarjoajat, EU:n vertailulaboratoriot, lääkkeiden tutkimus ja kehitys, farmaseuttisten perustuotteiden ja -valmisteiden valmistus, kansanterveyden kriittisten lääkinnällisten laitteiden valmistus hätätilanteessa)
- Vesihuolto (juomavesi, jätevesi)
- Digitaalinen infrastruktuuri (Hyväksytyt luottamuspalveluntarjoajat, ei-hyväksytyt luottamuspalveluntarjoajat, DNS-palveluntarjoajat (lukuun ottamatta juurinimipalvelimia), aluetunnusrekisterit, yleisten sähköisten viestintäverkkojen tarjoajat, yleisesti saatavilla olevat sähköisten viestintäpalveluiden tarjoajat, internetin yhdysliikennepisteiden tarjoajat, pilvipalveluntarjoajat, datakeskuspalveluntarjoajat, sisällönjakeluverkkojen tarjoajat)
- Yritysten välinen TVT-palvelujenhallinta (Hallintapalveluntarjoajat, tietoturvapalveluntarjoajat)
- Julkishallinto
- Avaruus (Maanpäällisen infrastruktuurin ylläpitäjät)
Tärkeät toimijat
Seuraavien toimialojen suuret ja keskisuuret toimijat.
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemikaalit (Valmistus, tuotanto ja jakelu)
- Elintarvikkeet (Teollinen tuotanto, jalostus ja tukkukauppa)
- Valmistus (Lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset tuotteet, sähkölaitteet, muut koneet ja laitteet, moottoriajoneuvot ja perävaunut sekä puoliperävaunut, muut kulkuneuvot)
- Digitaalisen palvelun tarjoajat (Verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat)
- Tutkimustoiminta
- Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat
NIS2-direktiiviä sovelletaan myös toimijoihin niiden koosta riippumatta seuraavissa tilanteissa:
- Toimija on ainoa palveluntarjoaja jäsenvaltiossa, ja sen palvelut ovat välttämättömiä yhteiskunnan tai talouden kriittisten toimintojen ylläpitämiseksi.
- Toimijan palvelussa ilmenevä häiriö voisi vakavasti heikentää yleistä järjestystä, turvallisuutta tai kansanterveyttä.
- Palveluhäiriö voi aiheuttaa merkittäviä rajat ylittäviä vaikutuksia, erityisesti toimialoilla, joissa häiriö voi johtaa systeemisiin riskeihin.
- Toimija on erittäin tärkeä kansallisella tai alueellisella tasolla toimialansa tai palvelutyyppinsä kannalta tai muiden keskinäisriippuvaisten toimialojen kannalta.
NIS2-direktiivi koskee CER-direktiivin nojalla kriittisiksi määriteltyjä toimijoita, riippumatta niiden koosta. Näiden ns. CER-kriittisten toimijoiden tunnistaminen on suunniteltu tapahtuvaksi vuoteen 2026 mennessä.
Kaikki yllä mainitut poikkeusperusteiset ja CER-kriittiset toimijat luokitellaan keskeisiksi toimijoiksi NIS2-direktiivin mukaan.
HUOM!
NIS2-direktiivi edellyttää, että sen piiriin kuuluvat organisaatiot varmistavat myös alihankkijoidensa ja toimitusketjunsa kyberturvallisuuden tason. Direktiivin mukaan organisaatioiden on toteutettava toimenpiteitä toimitusketjun turvallisuuden varmistamiseksi, mukaan lukien suhteet välittömiin toimittajiin ja palveluntarjoajiin.
Tämä tarkoittaa, että NIS2-direktiivin alaiset organisaatiot voivat asettaa kyberturvallisuusvaatimuksia alihankkijoilleen varmistaakseen koko toimitusketjun turvallisuuden.
Mitä vaatimuksia NIS2-direktiivi sisältää?
NIS2-direktiivi asettaa seuraavat keskeiset vaatimukset organisaatioille.
Kyberturvallisuuden riskienhallinta
Organisaatiolla on oltava ajantasainen riskienhallinnan toimintamalli viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi.
Riskienhallinnan toimintamallin tulee sisältää seuraavat keskeiset kohdat:
Riskianalyysit ja tietojärjestelmien turvallisuutta koskevat politiikat
Organisaation on tehtävä säännöllisiä, dokumentoituja riskianalyysejä, laadittava ja ylläpidettävä politiikat, joiden mukaan riskianalyysejä tehdään ja tietojärjestelmien suojaamisesta huolehditaan.
Poikkeamien käsittely
Poikkeamien käsittelyä koskevat ohjeet ja prosessit määritellään selkeästi etukäteen, jotta tietoturvaloukkauksiin tai -häiriöihin voidaan reagoida nopeasti ja tehokkaasti.
Organisaation on tiedettävä, miten poikkeamat, kuten varastetut laitteet, tietojenkalastelutapaukset tai luvattomat tunkeutumiset toimitiloihin, raportoidaan ja miten ne tutkitaan.
Toiminnan jatkuvuuden hallinta
Toiminnan jatkuvuuden hallinta varmistaa, että organisaatio pystyy jatkamaan keskeisiä toimintoja myös tietoturvaloukkauksen tai muun vakavan häiriön sattuessa. Tähän sisältyvät varmuuskopiointisuunnitelmat, palautumissuunnitelmat ja kriisinhallintatoimet.
Varmuuskopioiden säännöllisyys ja säilytystapa on määriteltävä selkeästi, ja palautumissuunnitelmien on oltava testattuja, jotta niistä voidaan olla varmoja poikkeamatilanteessa.
Kriisinhallintaan kuuluvat myös roolit ja vastuut poikkeamatilanteen johtamisessa sekä viestintä sisäisten ja ulkoisten sidosryhmien kanssa.
Toimitusketjun turvallisuus
Toimitusketjun turvallisuus edellyttää, että organisaatio arvioi sekä omat tietojärjestelmänsä että hankintaketjuunsa kuuluvien toimittajien ja palveluntarjoajien turvallisuusnäkökulmat.
Tämä tarkoittaa muun muassa alihankkijoiden, yhteistyökumppaneiden ja toimittajien kykyä tunnistaa ja hallita tietoturvariskejä. Sopimuksissa tulisi huomioida tietoturvavelvoitteet ja varmistaa, että mahdolliset haavoittuvuudet tai loukkaukset tulevat ilmi nopeasti.
Hyvin hallittu toimitusketju ehkäisee välillisiä riskejä, joissa alihankkijan tai toimittajan tietoturva-aukko voi heijastua suoraan organisaation toimintaan.
Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
Tietoturvan tulee olla kiinteä osa kaikkia järjestelmien hankintaan, kehittämiseen ja ylläpitoon liittyviä prosesseja.
Uusia järjestelmiä hankittaessa on varmistettava, että tietoturva- ja tietosuojaominaisuudet täyttävät vähintään direktiivin ja lainsäädännön vaatimukset. Kehitystyössä otetaan huomioon tietoturva “by design” -periaate, eli turvallisuus rakennetaan järjestelmään jo suunnitteluvaiheessa. Ylläpidon puolella panostetaan säännöllisiin päivityksiin, haavoittuvuuksien tunnistamiseen ja niiden julkistamiseen sekä nopeaan korjaamiseen.
Riskienhallintatoimenpiteiden tehokkuuden arviointi
Organisaatiolla on oltava selkeät toimintaperiaatteet ja menetelmät sen varmistamiseksi, että valitut hallintatoimenpiteet ovat tehokkaita ja tarkoituksenmukaisia.
Tähän kuuluu mittareiden ja auditointiprosessien käyttöönotto eli seurataan esimerkiksi havaittujen poikkeamien määriä, koulutettujen työntekijöiden osuutta tai palautumissuunnitelmien testauksesta saatuja tuloksia.
Säännölliset arvioinnit ja kehitystoimet auttavat pitämään turvallisuustason ajan tasalla muuttuvassa uhkaympäristössä.
Kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
Kyberhygieniakäytännöt (perustason tietoturvakäytännöt) muodostavat tärkeän pohjan organisaation kyberturvallisuudelle. Traficomin laatiman suositusluonnoksen mukaan vähintään seuraavat toimet tulisi ottaa huomioon:
- Toimija on ohjeistanut perustason tietoturvakäytännöt henkilöstölle, alihankkijoille ja muille kumppaneille,
- Toimija on tunnistanut kriittisimmän omaisuutensa,
- Toimija on suojannut viestintäverkkonsa ja tietojärjestelmänsä,
- Toimija on erottanut kriittiset ja haavoittuvat viestintäverkot ja tietojärjestelmät muista ympäristöistä,
- Toimija on suojannut viestintäverkkonsa ja tietojärjestelmänsä haitallisia ja luvattomia ohjelmistoja vastaan,
- Toimija on järjestänyt tunnistautumisen sisäisiin ja ulkoisiin palveluihinsa ja laitteisiinsa turvallisesti,
- Toimija on erottanut järjestelmiensä pääkäyttäjätunnukset ja korotettujen oikeuksien tunnukset muista tunnuksista,
- Toimija on varmistanut, että sen luottamuksellista tietoa käsitellään turvallisesti,
- Toimija on huolehtinut, että sen järjestelmiä päivitetään säännöllisesti ja kriittiset päivitykset asennetaan viivytyksettä,
- Toimija on huolehtinut, että sen palvelut ja laitteet on turvallisesti konfiguroitu,
- Toimija on huolehtinut, että sen kriittiset palvelut ja tieto-omaisuus on varmuuskopioitu,
- Toimija on varautunut, miten sen toiminta voidaan ylläpitää vakavissa poikkeamissa ja
- Toimijalla on käytössään kriittisten toimintojen tapahtumakirjaus.
Näiden lisäksi on hyvä harkita muita perustason käytäntöjä, kuten säännöllisiä turvallisuustestauksia (penetration testing) ja toimitusketjujen kyberturvallisuuden arviointia. Mikäli organisaatio kuuluu NIS2-sääntelyn piiriin, on tärkeää, että myös yhteistyökumppanit ja alihankkijat noudattavat näitä periaatteita.
Organisaation henkilöstöä on koulutettava säännöllisesti, jotta se osaa tunnistaa kyberuhkia ja toimia ohjeiden mukaisesti poikkeamatilanteissa. Vahva turvallisuuskulttuuri rakentuu ennen kaikkea ihmisten tietotaidolle ja heidän sitoutumiselleen tietoturvakäytäntöihin.
Kryptografia ja salaus
Kryptografian ja salauksen käytössä organisaation on määriteltävä, missä tilanteissa ja millä tasolla salaus on tarpeen.
Käytännönläheisesti tämä voi tarkoittaa esimerkiksi sähköpostin, tiedonsiirron ja tallennustilojen salausta sekä luottamuksellisten tietojen suojaamista. On tärkeää varmistaa, että valitut salausmenetelmät ovat turvallisia ja ajan tasalla sekä että avainhallinta on asianmukaista.
Henkilöstöturvallisuus, pääsynhallinta ja omaisuudenhallinta
Henkilöstöturvallisuuden turvaamiseksi organisaatio hyödyntää luotettavia rekrytointikäytäntöjä, tarvittaessa turvaselvityksiä ja säännöllisiä tietoturvakoulutuksia.
Pääsynhallinnassa on tärkeää noudattaa vähimpien oikeuksien periaatetta, jotta käyttäjillä on pääsy vain niihin järjestelmiin ja tietoihin, joita he tarvitsevat työtehtävissään. Omaisuudenhallinta sisältää laitteiden, sovellusten ja tiedon kattavan luetteloinnin ja seurannan.
Monivaiheinen todennus ja suojatut viestintäratkaisut
Kriittisissä järjestelmissä tai erityisen luottamuksellisia tietoja käsiteltäessä tulisi hyödyntää monivaiheista todennusta (MFA) tai jatkuvaa todennusta.
Organisaation tulee myös harkita suojattuja puhe-, video- ja tekstiviestintäratkaisuja sekä suojattuja hätäviestintäjärjestelmiä, jotka takaavat toimivan tiedonkulun myös kriisitilanteissa.
NIS2-direktiivi asettaa laaja-alaisen velvoitteen kehittää ja ylläpitää organisaation kyberturvallisuutta kattavasti. Edellä kuvatut osa-alueet muodostavat perustan sille, miten riskienhallinnan toimintamalli rakennetaan ja miten se pidetään jatkuvasti ajan tasalla muuttuvan uhkaympäristön keskellä. Kun nämä kymmenen osa-aluetta otetaan johdonmukaisesti huomioon, organisaatio täyttää direktiivin vaatimukset ja kykenee suojaamaan toimintaansa vakavilta tietoturvauhilta.
Ilmoitusvelvollisuus merkittävistä poikkeamista
Merkittävä poikkeama on tapahtuma, joka voi aiheuttaa toiminnan vakavan häiriön tai taloudellisia tappioita, tai aiheuttaa vahinkoa muille toimijoille tai yksityishenkilöille.
Ilmoitus on tehtävä kolmessa vaiheessa:
- Ensi-ilmoitus 24 tunnin kuluessa poikkeaman havaitsemisesta.
- Jatkoilmoitus 72 tunnin kuluessa.
- Loppuraportti poikkeamatilanteen päätyttyä.
Ilmoitus tehdään valvovalle viranomaiselle, mutta Suomessa sitä varten kehitetään keskitettyä NIS2-ilmoitussovellusta Traficomin Kyberturvallisuuskeskuksessa.
Seuraamusmaksut
NIS2-direktiivin mukaiset hallinnolliset seuraamusmaksut määrää uusi seuraamusmaksulautakunta valvovan viranomaisen esityksestä, ja maksut ohjataan valtiolle. Lautakunta arvioi kunkin toimijan tapauksen erikseen ja päättää maksun suuruuden direktiivin asettamien raja-arvojen puitteissa.
Keskeisille toimijoille seuraamusmaksun enimmäismäärä on joko 10 000 000 euroa tai 2 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, riippuen siitä, kumpi näistä on suurempi.
Muille toimijoille enimmäismäärä on puolestaan 7 000 000 euroa tai 1,4 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, valiten jälleen suurempi summa.
Tällä tavoin varmistetaan, että seuraamusmaksu vastaa toimijan taloudellista kokoluokkaa sekä rikkeen vakavuutta, ja kannustaa noudattamaan NIS2-direktiivin koskevia säännöksiä.
Miten NIS2 otetaan käyttöön Suomessa?
Suomessa toteutetaan EU:n uutta kyberturvallisuusdirektiiviä (NIS2) hallituksen 23.5.2024 antaman esityksen mukaisesti säätämällä kokonaan uusi kyberturvallisuuslaki. Uusi laki korvaa aiemman NIS-direktiivin kansallisen täytäntöönpanon. Tavoitteena on vahvistaa kyberturvallisuuden tasoa erityisesti yhteiskunnan toiminnan kannalta keskeisillä toimialoilla ja varmistaa, että keski- ja suurikokoiset, sekä tietyin perustein myös pienemmät kriittiset toimijat, kykenevät hallitsemaan tietojärjestelmiinsä ja viestintäverkkoihinsa kohdistuvia riskejä.
Keskeisenä lähtökohtana on noudattaa direktiivin vähimmäistasoa laajentamatta soveltamisalaa kansallisin lisäyksin.
Uuden kyberturvallisuuslain mukaisesti valvonta hajautetaan toimialakohtaisille viranomaisille, kuten Traficomille, Energiavirastolle, Ruokavirastolle ja Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviralle. Samalla Liikenne- ja viestintävirasto Traficom koordinoi valvontaviranomaisten yhteistyötä ja vastaa kansallisen CSIRT-yksikön (Computer Security Incident Response Team) tehtävistä Kyberturvallisuuskeskuksessaan.
Hallinnollisia seuraamusmaksuja määrää erikseen perustettava seuraamusmaksulautakunta, johon nimetyt jäsenet tulevat valvovista viranomaisista.
Miten voit täyttää NIS2-direktiivin vaatimukset?
Tekven asiantuntijoilla on kokemusta tietoturvan johtamisesta ja ISO 27001 -standardin vaatimusten implementoinnista. NIS2-direktiivin vaatimukset mukailevat pitkälti ISO 27001 -standardin periaatteita, joten hyödynnämme asiantuntemustamme ja käytännönläheistä lähestymistapaamme varmistaaksemme, että organisaatiosi täyttää direktiivin vaatimukset.
Tekven NIS2-prosessi auttaa organisaatiotasi saavuttamaan NIS2-direktiivin vaatimukset:
1. Nykytilan arviointi
Suoritamme kattavan analyysin organisaatiosi kyberturvallisuuskäytännöistä ja -prosesseista. Tunnistamme puutteet suhteessa NIS2-direktiivin vaatimuksiin ja autamme määrittämään direktiivin soveltamisalan organisaatiossasi.
2. Riskienhallinnan kehittäminen
Autamme luomaan ja ottamaan käyttöön riskienhallintaprosessin, joka kattaa tietoturvariskien tunnistamisen, arvioinnin ja hallinnan. Tämä mahdollistaa toimenpiteiden priorisoinnin ja resurssien kohdentamisen oikein.
3. Tietoturvapolitiikkojen ja -prosessien päivitys
Päivitämme organisaatiosi tietoturvapolitiikat ja -prosessit vastaamaan NIS2-direktiivin vaatimuksia. Tähän sisältyy järjestelmien ja tilojen turvallisuus, poikkeamien käsittely, liiketoiminnan jatkuvuuden hallinta sekä seuranta ja testaus.
4. Henkilöstön koulutus
Järjestämme säännöllistä kyberturvallisuuskoulutusta kaikille työntekijöille, mukaan lukien johto. Tämä varmistaa, että henkilöstö tuntee tietoturvakäytännöt ja osaa toimia oikein mahdollisissa uhkatilanteissa.
5. Toimitusketjun turvallisuuden varmistaminen
Arvioimme ja hallitsemme toimitusketjun turvallisuutta varmistamalla, että myös alihankkijat ja kumppanit noudattavat tarvittavia tietoturvatoimenpiteitä.
6. Poikkeamien hallinta ja raportointi
Määritämme prosessit tietoturvapoikkeamien havaitsemiseksi, käsittelemiseksi ja raportoinniksi. NIS2-direktiivi edellyttää, että merkittävistä poikkeamista ilmoitetaan valvovalle viranomaiselle viipymättä, viimeistään 24 tunnin kuluessa havaitsemisesta.
