Useimpien pk-yritysten on parannettava tietoturvan tasoa vuonna 2024 – NIS2 Kyberturvallisuusdirektiivi
Jaa sivu:
Euroopan parlamentti hyväksyi NIS2 – Kyberturvallisuusdirektiivin vuoden 2022 lopussa ja se tulee voimaan kansallisesti kaikissa EU-maissa lokakuussa 2024.
Suomen kansallinen lainsäädännön luonnos valmistuu loppuvuonna 2023 lausuntokierroksen jälkeen ja se siirtyy eduskunnan käsittelyyn vuoden 2024 alkupuoliskolla. Direktiiviä ryhdytään soveltamaan täysimääräisesti 18.10.2024.
Perusasioiden kuntoon laittamiseen ei siten ole enää hirvittävästi ylimääräistä aikaa, kun välissä on mm. vuoden 2024 kesälomat.
Ketä kyberturvallisuusdirektiivi sitten koskee?
NIS2-direktiiviä sovelletaan lähtökohtaisesti organisaatioihin, jotka toimivat direktiivissä määritellyillä kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria eli työllistävät 50 työntekijää, niiden liikevaihto tai taseen loppusumma on yli 10 miljoonaa euroa. Julkisten organisaatioiden lisäksi yritykset, joissa on yli 250 työntekijää kuuluvat automaattisesti NIS2:n piiriin riippumatta niiden liikevaihdosta. Mikäli yritys tarjoaa kriittistä palvelua, voidaan pienempikin yritys velvoittaa täyttämään NIS2:n vaatimukset.
Kriittiset toimialat eriteltynä:
KESKEISET
- Energia (vety- ja latauspisteiden
palveluntarjoajat) - Liikenne
- Pankkitoiminta
- Finanssimarkkinoiden infrastruktuuri
- Terveys
- Juomavesi
- Jätevesi
- Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN,
konesalit) - TVT-palvelujen hallinta (yritysten välinen)
- Julkishallinto
- Avaruus
TÄRKEÄT
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemikaalien valmistus, tuotanto ja jakelu
- Elintarvikkeiden tuotanto, jalostus ja jakelu
- Valmistus (mm. lääkintälaitteet, tietokoneet,
sähkölaitteet, kulkuneuvot) - Digitaalisen palvelun tarjoajat
(verkkoyhteisöalustojen tarjoajat) - Tutkimustoiminta
Esimerkkejä kyberturvallisuusdirektiivin käytännön vaatimuksista yritykselle
Uudessa lainsäädännössä on merkittäviä vaatimuksia tietoturvallisuuden / kyberturvan tason parantamisesta useille yrityksille. Konkreettisista toimista säädetään tarkemmin kyberturvallisuusdirektiivissä, mutta niiden tulee sisältää muun muassa seuraavia asioita:
– tietojärjestelmien turvallisuutta koskevat politiikat
– riskien arviointi ja hallintatoimien määrittäminen
– poikkeamien käsittely
– tietoturvallisuuskoulutuksen järjestäminen (koko henkilöstö ml. ylin johto ja hallitus)
– toimitusketjujen ja kumppaneiden turvallisuuden varmistaminen
– toiminnan jatkuvuuden ja kriisien hallinta
– kyberhygieniakäytännöt
Mahdolliset sanktiot
Direktiivin artiklojen rikkomisesta on säädetty pahimmillaan sakko, joka voi olla maksimissaan 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. Sanktiot ovat tuttuja jo EU:n yleisen tietosuoja-asetuksen GDPR tultua voimaan toukokuussa 2018. Suuret sakot eivät varmaankaan ole yrityksen suurin uhka ja niitä on määrätty varsin kohtuullisesti mm. tietosuojan osalta (n. 20 kpl lokakuussa 2023). Mutta on hyvä tiedostaa, että tällainenkin seuraamus on mahdollinen merkittävistä vahingoista ja/tai laiminlyönneistä.
Yrityksen johdon ja hallituksen on hyvä ymmärtää, että vastuu riittävän tietoturvan ja turvallisen toiminnan osalta on lopulta sillä itsellään. Juristit ovat kirjoittaneet muun muassa, että ns. hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. On siis kyse varsin vakavasta asiasta, johon on syytä syventyä ja laittaa asioita kuntoon.
Esittelemme tällä sivustolla Pro Kyberturva -palvelua, jonka avulla on mahdollista lähteä ketterästi liikkeelle helppokäyttöisen tietoturvallisuuden hallintajärjestelmän rakentamisessa.
Lue lisää kyberturvallisuusdirektiivistä osoitteessa:
www.kyberturvallisuusdirektiivi.com
Hyödyllisiä leikkeitä direktiivistä:
Artikla 20 – Hallinnointi
1. Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelimet hyväksyvät näiden toimijoiden 21 artiklan noudattamiseksi toteuttamat kyberturvallisuusriskien hallintatoimenpiteet ja valvovat mainitun artiklan täytäntöönpanoa ja että nämä hallintoelimet voidaan saattaa vastuuseen, jos toimijat rikkovat kyseistä artiklaa.
Tämän kohdan soveltaminen ei rajoita kansallisen lainsäädännön soveltamista, kun on kyse julkisiin laitoksiin sovellettavista vastuusäännöistä taikka virkamiesten tai vaalilla valittujen tai nimettyjen toimenhaltijoiden vastuusta.
2. Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelinten jäsenillä on velvollisuus osallistua koulutukseen, ja kannustettava keskeisiä ja tärkeitä toimijoita tarjoamaan säännöllisesti vastaavaa koulutusta työntekijöilleen, jotta he voivat hankkia riittävät tiedot ja taidot kyetäkseen tunnistamaan riskejä ja arvioimaan kyberturvallisuusriskien hallintakäytäntöjä ja niiden vaikutusta toimijan tarjoamiin palveluihin.
Artikla 21 – Kyberturvallisuusriskien hallintatoimenpiteet
1. Jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.
Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, ensimmäisessä alakohdassa tarkoitetuilla toimenpiteillä on varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset.
2. Edellä 1 kohdassa tarkoitettujen toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta, ja niihin on sisällyttävä vähintään seuraavat:
a) riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
b) poikkeamien käsittely;
c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta;
d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
3. Jäsenvaltioiden on varmistettava, että toimijoiden harkitessa, mitkä tämän artiklan 2 kohdan d alakohdassa tarkoitetuista toimenpiteistä ovat asianmukaisia, toimijat ottavat huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, niiden tuotteiden yleisen laadun sekä toimittajiensa ja palveluntarjoajiensa kyberturvallisuuskäytännöt, mukaan lukien tuotekehityksen suojausmenettelyt. Jäsenvaltioiden on myös varmistettava, että toimijoiden harkitessa, mitkä kyseisessä alakohdassa tarkoitetuista toimenpiteistä ovat asianmukaisia, toimijoita vaaditaan ottamaan huomioon 22 artiklan 1 kohdan mukaisesti tehtyjen kriittisiä toimitusketjuja koskevien koordinoitujen riskinarviointien tulokset.
4. Jäsenvaltioiden on varmistettava, että toimija, joka toteaa, ettei se noudata 2 kohdassa säädettyjä toimenpiteitä, toteuttaa ilman aiheetonta viivytystä kaikki tarvittavat, asianmukaiset ja oikeasuhteiset korjaavat toimenpiteet.
5. Komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 täytäntöönpanosäädöksiä, joilla vahvistetaan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset, jotka koskevat DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia.
Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset, jotka koskevat muita keskeisiä ja tärkeitä toimijoita kuin tämän kohdan ensimmäisessä alakohdassa tarkoitettuja toimijoita.
Valmistellessaan tämän kohdan ensimmäisessä ja toisessa alakohdassa tarkoitettuja täytäntöönpanosäädöksiä komissio noudattaa mahdollisimman pitkälle eurooppalaisia ja kansainvälisiä standardeja sekä asiaankuuluvia teknisiä eritelmiä. Komissio vaihtaa neuvoja ja tekee yhteistyötä yhteistyöryhmän ja ENISAn kanssa 14 artiklan 4 kohdan e alakohdan mukaisesti, kun kyse on ehdotuksista täytäntöönpanosäädöksiksi.
Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Kyberhyökkäyksistä on aiheutunut kustannuksia joka kolmannelle suomalaiselle suuryritykselle
16.10.2023 Joona Komonen
Yritykset ja organisaatiot ovat osoittautuneet kyberhyökkääjien kohteeksi.
Suomen kyberturvallisuudessa keskeisiä pelaajia ovat organisaatiot ja yritykset, joista 71 prosenttia on Elisan kyselytutkimuksen mukaan kiihdyttänyt varautumistaan kyberhyökkäyksiin.
Yrityksiä velvoitetaan suojautumaan kyberhyökkäyksiltä vuonna 2024 voimaanastuvassa NIS2-direktiivissä.
Suurista ja keskisuurista yrityksistä joka toinen arvioi, että tietomurtojen, murron yritysten ja kiristyshaittaohjelmien määrä on kasvanut viimeisen vuoden aikana. Joka kolmas yli 500 henkilöä työllistävä yritys on saanut kuuden kuukauden aikana liiketoiminnallisia kustannuksia kyberhyökkäyksistä johtuen, tiedotteessa kerrotaan.
Kyberhyökkääjät ovat ottaneet yritykset ja organisaatiot kohteekseen, sillä niissä käsitellään erilaisia tietoja ja suomalaisten luottamukseen voidaan vaikuttaa lamauttamalla niiden toimintaa.
”Kalastelua tehdään yhä älykkäämmin ja myös hyödyntäen yhä enemmän tekoälyä. Taustalla voi olla monenlaisia motiiveja – muitakin kuin suora rahallinen hyöty”, Elisan yritysliiketoiminnan johtaja Timo Katajisto sanoo tiedotteessa. ”Luottamuksen säilyttäminen instituutioihin ja toisaalta kriittisyys ovat näinä aikoina keskeisiä kansalais- ja työntekijätaitoja ihan jokaiselle.”
Kyberturvallisuuden huomioiminen yrityksissä ja organisaatioissa on tutkimuksen mukaan yleisesti hyvällä tasolla. Organisaatioista 63 prosenttia arvioi kybervalmiuksiaan hyviksi ja 64 prosentilla on kyberturvallisuusstrategia. Puutteita kyberturvallisuuden suhteen tunnistetaan eniten teollisuusyrityksissä, joista 62 prosenttia arvioi valmiuksia kohtalaisiksi.
Yrityksillä ja organisaatioilla on kuitenkin kehitettävää. Organisaatioiden päättäjistä yli puolet ajattelevat, että tietoturvapoikkeamien havainnointi- ja reagointipalveluihin ja henkilöstön koulutukseen tarvitsee panostaa erityisesti.
Yritykset saavat uusia tietoturvavaatimuksia – ”voi tulla haastavaa, jos NIS on uusi asia”
12.10.2023 Toni Stubin
Euroopan unionin uusi kyberturvadirektiivi edellyttää yrityksiltä entistä enemmän panostusta tietoturvaan.
Kun päivitetty NIS2-kyberturvallisuusdirektiivi tulee voimaan lokakuussa 2024, yhä useampi yritys joutuu ottamaan kyberturvalusikan kauniiseen käteen.
NIS2:n soveltamisala on selvästi entistä laajempi. Sen tavoitteena on suojata kriittiset toimialat ja varmistaa, että yhteiskunta pystyy toimimaan myös poikkeusoloissa.
”Tässä vaiheessa yritysten ei kannata jäädä odottamaan ylhäältäpäin tulevaa tietoa mukaan kuulumisesta, vaan tehdä kotiläksynsä ja selvittää itse, koskeeko NIS2 heitä”, sanoo WithSecuren johtava tietoturvakonsultti Antti Laatikainen.
Direktiivi etenee tasaisen tappavaa tahtia. Jäsenvaltioiden on otettava se käyttöön viimeistään 18. lokakuuta 2024, jolloin aiemman verkko- ja tietoturvadirektiivin NIS:n voimassaolo lakkaa.
Tänä syksynä odotetaan esitystä siitä, miten NIS2:n velvoitteet nivelletään Suomen lainsäädäntöön. Lausuntokierroksen jälkeen hallitus käsittelee asiaa kevään 2024 aikana.
Kuinka helppoa NIS2:n vaatimusten täyttäminen on? Laatikaisen mukaan tähän vaikuttaa se, miten hyvin yritys ymmärtää kyberturvan vaikutukset toiminnan jatkuvuuteen.
”Yritysten täytyy tunnistaa suojausta tarvitsevat pääliiketoimintaprosessit, joiden katkokset vaarantaisivat liiketoiminnan.”
ERILAISET LÄHTÖKOHDAT yrityksissä tuovat Laatikaisen mukaan omat vaikeutensa direktiivin vaatimusten toteuttamiseen.
”Kehittyneempään tietoturvaan kuten tietojen palautuksiin ja poikkeamien havaitsemiseen on panostettu vaihtelevasti. Myös toimittajien hallinnassa voi olla tekemistä: onko mietitty tilannetta, jossa hyökkääjä salaa tai varastaa tärkeän toimittajan tiedot?”
Raportoinninkin vaatimukset kasvavat direktiivin myötä. Ei riitä, että turva on hoidettu kunnolla, vaan tilanne pitää pystyä myös osoittamaan valvovalle viranomaiselle.
”Tästä voi tulla haastavaa etenkin niille yrityksille, joille koko NIS on uusi asia. Riskienhallinnan kuvantamisesta ei välttämättä ole kaikilla kokemusta”, Laatikainen sanoo.