Yleistä kyberturvallisuusdirektiivistä ja tietoturvallisuuden johtamis- ja hallintajärjestelmästä

Kyberturvallisuusdirektiivi (NIS2-direktiivi) julkaistiin EU:n virallisessa lehdessä 27.12.2022. Uusi kyberturvallisuusdirektiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi). Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä.

Lopullisen muotonsa direktiivin velvoitteet saavat kansallisen lainsäädännön tultua hyväksytyksi eduskunnassa (talvi/kevät 2024). NIS2-direktiivi on saatettava osaksi kansallista lainsäädäntöä 17.10.2024 mennessä, ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024. Direktiivin soveltamisalaan kuuluvien yrityksien on kuitenkin suositeltavaa ryhtyä arvioimaan omia kyberturvallisuuskäytäntöjään sekä mahdollisten riskien hallintatoimenpiteitä jo hyvissä ajoin. Huomion arvoista lienee, että myös koko toimitusketjun ja yhteistyökumppaneiden kartoitus on tärkeää.

Uuden kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta. Direktiivin soveltamisala kattaa entistä laajemmin esimerkiksi energia- ja terveydenhuoltosektorilla toimivia tahoja sekä digitaalisen infrastruktuurin palveluntarjoajia. Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa ja jätehuoltoa.

(juttu jatkuu videon jälkeen)

Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana

Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.

Lataa kalvosarja (pdf)

HSEQ-järjestelmä videona

www.propilvipalvelut.fi/pro-palveluiden-esittely

Mikä muuttuu?

• suuret ja keskisuuret toimijat suoraan sääntelyn piirissä, pienet ja mikrotoimijat lähtökohtaisesti sääntelyn ulkopuolella, tietyt poikkeukset mahdollisia
• soveltamisala laajenee
• sektoreiden jaottelu keskeisiin ja tärkeisiin, merkityksellistä valvonnan ja seuraamusjärjestelmän kannalta (ennakko- ja jälkivalvonta)
• tarkemmat riskienhallintavelvoitteet
• kolmiportainen raportointivelvoite merkittävistä kyberpoikkeamista
• ennakko- ja jälkivalvonta riippuen toimijan kategoriasta (keskeinen / tärkeä)
• haavoittuvuuksien tunnistaminen ja varautuminen laajamittaisten kyberhäiriöiden varalle
• seuraamukset riskienhallintavelvoitteiden laiminlyönnistä

Lähde: Valtionvarainministeriön NIS2 direktiivin kansallinen toimeenpano julkishallinnossa – webinaari 4.5.2023

Ketä kyberturvallisuusdirektiivi koskee / NIS2 toimialat

Lähde: Valtionvarainministeriön NIS2 direktiivin kansallinen toimeenpano julkishallinnossa – webinaari 4.5.2023

Kuinka toteuttaa käytännössä kyberturvan / tietoturvallisuuden hallintajärjestelmän?

NIS2 velvoittaa suuren joukon yrityksiä tekemään tarvittavan perusdokumentaation, arvioimaan riskit, huolehtimaan tietoturvapoikkeamien käsittelystä, panostamaan henkilöstön koulutukseen, tutkimaan toimitusketjun / yhteistyökumppanit sekä rakentamaan lopulta itselle sopivan hallintajärjestelmän ja hyvät käytänteet.

Kuinka sitten rakennetaan toimiva tietoturvallisuuden hallintajärjestelmä? Esittelemme kolme vaihtoehtoa:

Kolme vaihtoehtoa toteuttaa teille sopiva direktiivin edellyttämä tietoturvallisuuden hallintajärjestelmä:

1. Pro Kyberturva -palvelun perusversio

• helppo lähteä liikkeelle ja kehittää omaa ensimmäinen / epävirallinen hallintajärjestelmä
• soveltuu erinomaisen toimitus-/arvoketjun pienemmille yrityksille
• ei ole ominaisuuksiltaan 100% NIS2-direktiivin vaatimusten mukainen
• soveltuu siirtymävaiheen työkaluksi, koska kaikki eivät todennäköisesti ehdi tehdä vaatimustenmukaista järjestelmää (soveltaminen alkaa 18.10.2024)
• soveltuu erittäin hyvin myös erilaisten tarjouspyyntöjen ja auditointien edellyttämän materiaalin toteuttamiseen (esim. IT-palveluntarjoajat)
• => laajennettavissa helposti laajaan versioon (seuraava vaihtoehto)

2. Laajempi versio täyttää NIS2-direktiivin vaatimukset

• Pro Kyberturvan laaja versio sisältää kattavamman lomakepaketin ja ohjeita dokumentointiin
• NIS2-direktiivi ei pakota tekemään ISO 27001 -standardin mukaista järjestelmää
• direktiivin ja ISO 27001 -standardin vaatimukset ovat kuitenkin hyvin lähellä toisiaan
• kaikki eivät halua tehdä liian raskasta ja kallista järjestelmää
• täyttää hyvin toteutettuna NIS2-direktiivin vaatimukset
• tärkeimmät dokumentit myös englanninkielisinä
• => mahdollista jalostaa sertifioituun ISO 27001 -järjestelmään (kolmas vaihtoehto)

3. Aidosti ISO 27001 -standardin vaatimusten mukainen järjestelmä

• kustannustehokas vaihtoehto toteuttaa standardin mukainen tietoturvallisuuden hallintajärjestelmä
• valittavana kaksi palvelua, joko Pro Kyberturva tai Pro Laadunhallinta (uusilla työkaluilla ja ohjeilla)
• Pro Laadunhallinta -palvelulla voi ylläpitää myös ISO 9001, ISO 14001 ja ISO 45001 -standardien mukaisia järjestelmiä samalla lisenssillä
• tärkeimmät dokumentit myös englanninkielisinä
• hallintajärjestelmä voidaan tarvittaessa sertifioida

Haluamme tarjota kevyen ja kustannustehokkaan vaihtoehdon raskaalle järjestelmälle ja esittelemme teille tällä sivustolla Pro Kyberturva -palvelun ominaisuuksia ja työkaluja.

Tutustu palvelun ominaisuuksiin ja tilaa demo – se ei velvoita mihinkään!

---

TIVI-lehden mielenkiintoinen juttu tämän vuoden helmikuulta aiheeseen liittyvästä problematiikasta:

Tietoturvasertifikaatit käyvät kaupaksi – niihin liittyy kuitenkin väärinymmärryksiä

Aleksi Kolehmainen 8.2.2023

ISO 27001 -sertifioinnin suosio kasvaa, mutta toisin kuin joskus luullaan sertifikaattia ei voida myöntää yrityksen tuotteelle.

ISO 27001 -tietoturvasertifikaattien suosio on viime vuosina kasvanut. Suomessa on nykyisin noin 200 sertifioitua organisaatiota, ja määrä on kasvussa.

Toisin kuin joskus luullaan, ISO 27001 -sertifikaattia ei voida myöntää yrityksen tuotteelle.

”Sertifiointi kertoo, millä tasolla organisaation yleiset tietoturvakäytännöt ovat. Toki ne heijastuvat myös tuotteiden turvallisuuteen ja voivat kattaa esimerkiksi tuotteen kehityksen ja ylläpidon prosesseja”, korostaa Mika Laaksonen, joka vastaa KPMG:n tietoturva- ja it-konsultoinnin palveluista Suomessa.

Käytännössä ainoa tapa saada virallinen varmennusraportti tuotteen tietoturvasta on pyytää sille auditointi, jonka pohjalta laaditaan niin sanottu ISAE3000-lausunto. Tämä voi olla hyödyksi etenkin kansainvälisille markkinoille aikoville.

Myös sertifioinnin laajuudesta on syytä olla tarkkana. Sertifikaattiin merkitään, mitä prosesseja ja fyysisiä sijainteja se kattaa. Sertifikaatin haltija voi esimerkiksi jättää mainitsematta sertifioinnin koskevan vain yhtä sen monista datakeskuksista.

ISO 27001 -SERTIFIOINTI ei ole kertaluonteinen hanke vaan edellyttää, että organisaatio sitoutuu ylläpitämään ja kehittämään tietoturvaansa. Sertifikaatti on lähtökohtaisesti voimassa kolme vuotta. Myös sertifioinnin voimassaolon aikana tehdään seuranta-audintointeja.

Niillä varmistetaan, että esimerkiksi auditoinneissa ilmi käyneisiin epäkohtiin on puututtu. Tarvittaessa myönnetty sertifikaatti voidaan myös peruuttaa.

”Olemme itsekin joutuneet kerran jäädyttämään yhden ISO 27001 -sertifikaatin”, Laaksonen kertoo.

Vaikka ISO 27001 -sertifiointi on standardoitu prosessi, auditoinneissa voi käytännössä olla eroja. KPMG kertoo törmänneensä tapauksiin, joissa jo aiemmin toisten tahojen sertifioimista yrityksistä on uudelleensertifioinnin yhteydessä löytynyt merkittävä määrä toimenpiteitä vaativia asioita.

ISO 27001 -sertifiointi maksaa tyypillisesti noin 15 000–50 000 euroa. Tarkka summa riippuu sen laajuudesta.