NIS2 tulee – jäitä hattuun

Tässä kohtaa vuotta 2024 ei enää pitäisi kenellekään NIS2:n uuden soveltuvuusalan piiriin kuuluvalle tulla yllätyksenä, että velvoitteita on alettava noudattamaan lokakuussa. Mitä nämä velvoitteet tarkemmin ottaen pitävät sisällään, tästä ei ole toistaiseksi varmaa tietoa. Eikä yksityiskohtaista tietoa todennäköisesti ole tiedossakaan.

Mintly NIS2 2024

Direktiivissä (2022/2555) esitetyt velvoitteet ovat vähimmäisvaatimuksia sekä hyvin ylätasolla ja riittävä taso noudattamiselle määräytyy lopulta valvovan viranomaisen arvion mukaan. Luvassa on toki ohjeistuksia, mutta nekin tulevat olemaan suurilta osin suuntaa-antavia, sillä uuden direktiivin soveltamisaloihin mahtuu yrityksiä laidasta laitaan. Monesti ratkaisuna markkinoitu ISO27001-sertifiointi ei sekään ole suora vastaus tuleviin vaatimuksiin. Riippuvathan standardin velvoittavat vaatimukset ja kontrollit oleellisesti organisaatio kohtaisesta soveltamisalasta.

Direktiivissä annetut vaatimukset ovat vähimmäisvaatimuksia, joka tarkoittaa sitä, että kyseinen kyvykkyys tai prosessi on oltava olemassa ja jalkautettuna. Eritoten oleellista on, että organisaatio arvioi itse kunkin toteutustavan sopivuuden ja riittävyyden toimintansa luonteeseen, laajuuteen ja riskiprofiiliin nähden. Riskilähtöisyys ja itsearviointi ovatkin myös NIS2-vaatimusten osalta toiminnan ja toimenpiteiden suunnittelun perusta. Vaatimusten noudattaminen ei siis välttämättä tarkoita mittavia investointeja ja uuden rakentamista, mikäli olette aidosti ja kriittisesti arvioineet oman toimintanne kyvykkyydet ja riskit. Siispä jäitä hattuun.

Mintlylläkään ei siis ole one size fits all -ratkaisua NIS2-vaatimuuksiin, mutta näissä alla olevan listan kuvatuissa vaatimuksissa voimme kuitenkin olla avuksi. Listauksen kohdat a-j ovat EU:n artikla 21:n NIS2-vaatimukset:

a. Riskien ja tietoturvan prosessien kehittäminen – Hallinnollinen tietoturva

b. Tietoturvapoikkeamien hallinta – Managed SIEM, SOC

c. Jatkuvuudenhallinta – Hallinnollinen tietoturva

d. Palvelutuottajaketjun tietoturva – Haavoittuvuuksien hallinta

e. Haavoittuvuuksien hallinnan tekniset ratkaisut ja prosessien suunnittelu – Verkon arkkitehtuuri

f. Tietojärjestelmien ja -verkkojen infrastruktuurien hallinta

g. Tietoturvallisuuskoulutus ja sparraus – Kalasteluviestien simulointi- ja raportointipalvelu – PhishMan

h. Omaisuudenhallinnan tekniset ratkaisut – Laitekannan hallinta – Asset Management

i. Henkilöstöhallinnon tietoturva

j. Monivaiheisen tunnistautumisen tekniset ratkaisut sekä varmennepalvelut – Varmennepalvelut ja varmennehallinta

Lähde: NIS2-vaatimukset DIRECTIVE (EU) 2022/2555, Article 21, Cybersecurity risk-management measures

Takaisin