NIS-direktiivin jälkeläinen laajentaa kyberturvallisuusvelvoitteita – ketä se koskee ja mistä kannattaa aloittaa?

Vuonna 2020 Euroopan unioni lanseerasi kyberturvallisuusstrategian, jonka päämääränä on parantaa kyberuhkien kestävyyttä ja taata, että Euroopassa voidaan hyötyä turvallisista palveluista sekä digitaalisista työkaluista. Tämän strategian tueksi lanseerattiin NIS2-kyberturvallisuusdirektiivi (Directive of Security of Network and Information Systems, 2022/2555), joka astui voimaan 16. tammikuuta 2023. Jäsenmailla on direktiivin voimaantulosta 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöään.

Mistä on kyse?

Direktiivin avulla pyritään harmonisoimaan kyberturvallisuuden riskienhallinnan ja raportointivelvollisuuksien vähimmäistasot kriittisillä toimialoilla. Direktiivi takaa, että EU:n jäsenvaltiot ovat varustautuneet asianmukaisesti tietoturvaloukkausten varalle ja että ne edistävät yhteistyötä ja strategista tiedonvaihtoa keskenään. Direktiivin vaikutusalue ulottuu yli viranomaisten yhteistyön, käsittäen talouden ja yhteiskunnan kriittiset sektorit, kuten energian, liikenteen ja terveydenhuollon. Soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa ja jätehuoltoa.

Direktiivin uudet tärkeimmät vaatimukset voidaan jaotella kyberturvallisuusriskienhallintaan sekä raportointivelvollisuuteen silloin, kun havaitaan merkittävä kyberturvallisuuteen liittyvä poikkeama. Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä.

Ketkä sitten kuuluvat NIS2:n soveltamisalaan?

Direktiivi määrittää sen soveltamisalaan kuuluvat toiminnot sekä yritysluokat. Karkeasti voidaan sanoa, että olettama soveltamisalaan kuulumisesta syntyy, mikäli yritys kuuluu huoltovarmuuden piiriin, tuottaa jotakin palvelua huoltovarmuuden piirissä olevalle toimijalle tai on yhteiskunnan toimivuuden kannalta keskeisellä alalla.

Direktiivi jakaa toimijat lisäksi keskeisiin ja tärkeisiin toimijoihin: keskeisiä toimijoita ovat esimerkiksi talousvesilaitokset, kun taas tärkeisiin toimijoihin luetaan keskisuuret ja suuret elintarvikeyritykset, jotka harjoittavat tukkukauppaa sekä teollista tuotantoa ja jalostusta. Lisäksi yrityksen on työllistettävä yli 50 henkeä ja sen vuosiliikevaihdon on ylitettävä 10 miljoonaa euroa – tästä poikkeuksena ovat tietyt toimialat, jotka kuuluvat ainakin osittain soveltamisalan piiriin niiden koosta huolimatta. Esimerkiksi verkkotunnusvälittäjät kuuluvat tähän joukkoon, vaikka kyseessä olisi yksinyrittäjä tai yksityishenkilö.

Kuinka lähteä liikkeelle?

Direktiivi tulee voimaan myös Suomessa viimeistään loppuvuodesta 2024, eli nyt on oikea aika ryhtyä toimeen. Keskeinen viesti on, että mikäli yritys on toiminnassaan jo ottanut tietoturvallisuuden hallinnan vakavasti, ollaan jo pitkällä. Jonkin verran tarvitaan toki erilaisia hallinnollisia kuvauksia, ja näiden todentamiseen ja käytäntöön viemiseen myös tekniikkaa. Esimerkiksi tietoturvastandardi ISO 27001:n hallintamallin mukainen, jopa sertifioitu, toiminta varmistaa sen, että työ on jo pitkällä. Älä kuitenkaan anna ”sertifikaattipesun” häikäistä – standardin ulkopuolellakin riittää tarkistettavaa.

1. Ensimmäinen tehtävä on selvittää, kuuluuko itse direktiivin soveltamisalaan suoraan tai välillisesti. Kyberturvallisuuskeskus tarjoaa listan direktiivin piiriin kuuluvista sektoreista, toimijoista sekä valvovista viranomaisista.
2. Sen jälkeen on syytä selvittää, millä tasolla oman yrityksen kyberturvallisuus on. Kyberturvallisuuskeskus tarjoaa tähänkin hyvän työkalun, Kybermittarin. Se on kaikille toimijoille ilmainen ja konkreettinen kyberturvallisuuden arviointi- ja kehittämispalvelu.
3.  Tee kartoitus liiketoiminnastasi, toimitusketjuistasi sekä yhteistyökumppaneistasi – näkyvyys kokonaisuuteen on ensisijaisen tärkeää. Mikäli havaitset haavoittuvuuksia, valmistele strategia niiden korjaamiseksi. Kyberturvan hallintajärjestelmä on suositeltava työkalu.
4. Kyberturvallisuus on otettava vakavasti – myös siksi, että se todellakin on ensimmäinen askel uuden direktiivin vaatimusten täyttämiseen. Yrityksen johdon on omaksuttava aito omistajuus kyberturvallisuuden kehittämisestä ja ylläpidosta. Vastuut on jaettava nimenomaisesti. Perustele, miksi kyberturvallisuus on olennaista; kyseessä ei ole vain NIS2-vaatimusboksien merkkailu! On mietittävä aidosti, miten toimintaa parannetaan, eikä vain sitä, miten helpoiten ollaan vaatimusten mukaisia.
5. Kyberturvallisuus on joukkuepeliä, eli velvoitteiden täyttämiseen on sitoutettava koko henkilöstö. Voisitko esimerkiksi palkita henkilöstöä silloin, kun joku havaitsee poikkeaman?
6. Jätä arvailu pois – ota käyttöön asianmukainen teknologia. Toimiva infra on työkaveri, ei pelkkä kulurivi. Vastaavasti osaavan kyberturvallisuusasiantuntijan käyttäminen maksanee palkkionsa moninkertaisesti takaisin.
7. Kuten GDPR:n kanssa, mahdolliset sakot tai muut sanktiot ovat vain viimeinen silaus. Kyberturvallisuuspoikkeama aiheuttaa suurimman vahingon liiketoiminnallesi jo sillä hetkellä, kun vahinko käy. Porkkana toimii siis tässäkin paremmin kuin keppi.
8. Muista, että kyberturvallisuus ja NIS2 on matka, ei piste.”

Kybermittarin avulla johto saa näkymän toiminnalle tärkeiden kyberkyvykkyyksien kypsyystasoon osa-alueittain ja tavoitteittain. Mittari näyttää, millä tasolla kyberriskien tunnistaminen, suojautuminen, havainnointi, reagointi ja palautuminen ovat organisaatiossa. Mittari tuo näkymän myös toimitusketjun ja ulkoisten riippuvuuksien hallintaan liittyvään kypsyystasoon. Lisäksi yritysjohto saa arvokasta tietoa siitä, miten oma kyberriskeihin varautuminen vertautuu toimialan keskiarvoon.” [Kyberturvallisuuskeskus]

Oletko vastuussa toimintanne lainmukaisuudesta (kyber)turvallisuusasioissa? Ota yhteyttä, niin kerron, miten me voimme auttaa sinua ja organisaatiotasi lakisääteisten vaatimusten tunnistamisessa, toimintasi vaatimustenmukaisuuden arvioinnissa ja toimenpiteiden dokumentoinnissa.