Yleistä kyberturvallisuusdirektiivistä ja tietoturvallisuuden johtamis- ja hallintajärjestelmästä

Kyberturvallisuusdirektiivi (NIS2-direktiivi) julkaistiin EU:n virallisessa lehdessä 27.12.2022. Uusi kyberturvallisuusdirektiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi). Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä.

Lopullisen muotonsa direktiivin velvoitteet saavat kansallisen lainsäädännön tultua hyväksytyksi eduskunnassa (talvi/kevät 2024). NIS2-direktiivi on saatettava osaksi kansallista lainsäädäntöä 17.10.2024 mennessä, ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024. Direktiivin soveltamisalaan kuuluvien yrityksien on kuitenkin suositeltavaa ryhtyä arvioimaan omia kyberturvallisuuskäytäntöjään sekä mahdollisten riskien hallintatoimenpiteitä jo hyvissä ajoin. Huomion arvoista lienee, että myös koko toimitusketjun ja yhteistyökumppaneiden kartoitus on tärkeää.

Uuden kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta. Direktiivin soveltamisala kattaa entistä laajemmin esimerkiksi energia- ja terveydenhuoltosektorilla toimivia tahoja sekä digitaalisen infrastruktuurin palveluntarjoajia. Direktiivin soveltamisalaa on laajennettu koskettamaan myös uusia sektoreita ja toimijoita, kuten julkishallintoa, elintarvikealaa ja jätehuoltoa.

(juttu jatkuu videon jälkeen)

Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana

Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.

Lataa kalvosarja (pdf)

HSEQ-järjestelmä videona

www.propilvipalvelut.fi/pro-palveluiden-esittely

Mikä muuttuu?

• suuret ja keskisuuret toimijat suoraan sääntelyn piirissä, pienet ja mikrotoimijat lähtökohtaisesti sääntelyn ulkopuolella, tietyt poikkeukset mahdollisia
• soveltamisala laajenee
• sektoreiden jaottelu keskeisiin ja tärkeisiin, merkityksellistä valvonnan ja seuraamusjärjestelmän kannalta (ennakko- ja jälkivalvonta)
• tarkemmat riskienhallintavelvoitteet
• kolmiportainen raportointivelvoite merkittävistä kyberpoikkeamista
• ennakko- ja jälkivalvonta riippuen toimijan kategoriasta (keskeinen / tärkeä)
• haavoittuvuuksien tunnistaminen ja varautuminen laajamittaisten kyberhäiriöiden varalle
• seuraamukset riskienhallintavelvoitteiden laiminlyönnistä

Lähde: Valtionvarainministeriön NIS2 direktiivin kansallinen toimeenpano julkishallinnossa – webinaari 4.5.2023

Ketä kyberturvallisuusdirektiivi koskee / NIS2 toimialat

Lähde: Valtionvarainministeriön NIS2 direktiivin kansallinen toimeenpano julkishallinnossa – webinaari 4.5.2023

Kuinka toteuttaa käytännössä kyberturvan / tietoturvallisuuden hallintajärjestelmän?

NIS2 velvoittaa suuren joukon yrityksiä tekemään tarvittavan perusdokumentaation, arvioimaan riskit, huolehtimaan tietoturvapoikkeamien käsittelystä, panostamaan henkilöstön koulutukseen, tutkimaan toimitusketjun / yhteistyökumppanit sekä rakentamaan lopulta itselle sopivan hallintajärjestelmän ja hyvät käytänteet.

Kuinka sitten rakennetaan toimiva tietoturvallisuuden hallintajärjestelmä? Esittelemme kaksi vaihtoehtoa:

Pro Kyberturva – Käytännönläheinen ja kevyempi tapa vastata direktiivin vaatimuksiin

Olemme kehittäneet pk-yrityksille helppokäyttöisen ja kustannustehokkaan pilvipalvelun, jonka avulla voitte täyttää kaikki direktiivin velvoitteet. Suurimman osan materiaaleista pystyy tekemään itse ja tarvittaessa voimme tarjota yhteistyökumppanimme asiantuntijoita avuksi niiden viimeistelyyn. Tällä tavalla tärkeä know-how jää teille itselle ja voitte kehittää dokumentaatiota ja järjestelmää omin resurssein. Myös projektiin osallistuva henkilöstö sitoutuu paremmin turvallisiin toimintatapoihin ja parhaimmillaan syntyy ns. oma tietoturvakulttuuri.

ISO 27001 -standardin mukainen järjestelmä

Toinen yleisesti tarjottu vaihtoehto on rakentaa ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä. Direktiivin ja standardin vaatimukset ovat hyvin lähellä toisiaan, joten etenkin sertifioitu järjestelmä on perinteinen tapa osoittaa asioiden olevan kunnossa. Organisaation täytyy toki olla itse aktiivisesti mukana tämänkin rakentamisessa, koska liian konsulttivetoinen ja pahimmillaan kiireessä tehty järjestelmä saattaa rapautua yllättävän nopeasti.

Monille ISO 27001 on kuitenkin melko raskas ja kallis tapa osoittaa oman toiminnan laatu ja turvallisuus. Projekti voi kestää liian kauan ja sen ylläpitoon on myös varattava niin henkilö- kuin rahallisia resursseja. Koska siirtymäaika umpeutuu jo lokakuussa 2024, ei kaikille välttämättä riitä laadukkaita palveluntarjoajia ja hinnat saattavat nousta kysynnän mukana. Monelle muistuu varmasti mieleen kevät 2018, kun EU:n yleistä tietosuoja-asetusta (GDPR) ryhdyttiin soveltamaan täysimääräisesti 25.5.2018.

Haluamme tarjota kevyen ja kustannustehokkaan vaihtoehdon raskaalle järjestelmälle ja esittelemme teille tällä sivustolla Pro Kyberturva -palvelun ominaisuuksia ja työkaluja.

Tutustu palvelun ominaisuuksiin ja tilaa demo – se ei velvoita mihinkään!

---

TIVI-lehden mielenkiintoinen juttu tämän vuoden helmikuulta aiheeseen liittyvästä problematiikasta:

Tietoturvasertifikaatit käyvät kaupaksi – niihin liittyy kuitenkin väärinymmärryksiä

Aleksi Kolehmainen 8.2.2023

ISO 27001 -sertifioinnin suosio kasvaa, mutta toisin kuin joskus luullaan sertifikaattia ei voida myöntää yrityksen tuotteelle.

ISO 27001 -tietoturvasertifikaattien suosio on viime vuosina kasvanut. Suomessa on nykyisin noin 200 sertifioitua organisaatiota, ja määrä on kasvussa.

Toisin kuin joskus luullaan, ISO 27001 -sertifikaattia ei voida myöntää yrityksen tuotteelle.

”Sertifiointi kertoo, millä tasolla organisaation yleiset tietoturvakäytännöt ovat. Toki ne heijastuvat myös tuotteiden turvallisuuteen ja voivat kattaa esimerkiksi tuotteen kehityksen ja ylläpidon prosesseja”, korostaa Mika Laaksonen, joka vastaa KPMG:n tietoturva- ja it-konsultoinnin palveluista Suomessa.

Käytännössä ainoa tapa saada virallinen varmennusraportti tuotteen tietoturvasta on pyytää sille auditointi, jonka pohjalta laaditaan niin sanottu ISAE3000-lausunto. Tämä voi olla hyödyksi etenkin kansainvälisille markkinoille aikoville.

Myös sertifioinnin laajuudesta on syytä olla tarkkana. Sertifikaattiin merkitään, mitä prosesseja ja fyysisiä sijainteja se kattaa. Sertifikaatin haltija voi esimerkiksi jättää mainitsematta sertifioinnin koskevan vain yhtä sen monista datakeskuksista.

ISO 27001 -SERTIFIOINTI ei ole kertaluonteinen hanke vaan edellyttää, että organisaatio sitoutuu ylläpitämään ja kehittämään tietoturvaansa. Sertifikaatti on lähtökohtaisesti voimassa kolme vuotta. Myös sertifioinnin voimassaolon aikana tehdään seuranta-audintointeja.

Niillä varmistetaan, että esimerkiksi auditoinneissa ilmi käyneisiin epäkohtiin on puututtu. Tarvittaessa myönnetty sertifikaatti voidaan myös peruuttaa.

”Olemme itsekin joutuneet kerran jäädyttämään yhden ISO 27001 -sertifikaatin”, Laaksonen kertoo.

Vaikka ISO 27001 -sertifiointi on standardoitu prosessi, auditoinneissa voi käytännössä olla eroja. KPMG kertoo törmänneensä tapauksiin, joissa jo aiemmin toisten tahojen sertifioimista yrityksistä on uudelleensertifioinnin yhteydessä löytynyt merkittävä määrä toimenpiteitä vaativia asioita.

ISO 27001 -sertifiointi maksaa tyypillisesti noin 15 000–50 000 euroa. Tarkka summa riippuu sen laajuudesta.