Pinja Blogi

NIS2-direktiivi tiukentaa kyberturvallisuuden hallintaa – onko organisaatiosi valmis?

Kirjoittanut Jesse Ikola | 10.4.2024 6:56:32

Euroopan unionin päivitetty NIS-direktiivi tiukentaa tietoturvakäytäntöjä EU-alueella. Direktiivissä määritellään kyberturvallisuuteen sekä siihen liittyvien häiriöiden raportointia koskevia velvollisuuksia. Uusi NIS2-direktiivi astuu voimaan lokakuussa 2024.

NIS2-direktiivi määrittelee yhteiskunnallisesti kriittiset toimialat, joiden piirissä olevien yritysten on huomioitava uudet vaatimukset. Se kattaa suuren määrän toimijoita, mukaan lukien kriittisen infrastruktuurin tarjoajat ja toimijat esimerkiksi energia- ja terveysaloilla, liikenteessä, julkishallinnossa sekä valmistavassa teollisuudessa.

Kaikkien kriittisten toimialojen piirissä olevien keskisuurten ja suurten yritysten on siis huomioitava sääntely – myös pienempien toimijoiden, kun ne toimivat esimerkiksi osana NIS2-sääntelyn alaista arvoketjua. Vaikka direktiivin tuomat käytännön ohjeistukset tarkentuvat työn edetessä, organisaatioiden tulisi jo nyt edistää tehokkaita tietoturvakäytäntöjä. 

NIS2-direktiivi asettaa johdolle suuren vastuun kyberturvallisuuden takaamisessa

Velvollisuudet koskettavat kyberturvallisuutta yrityksen koko arvoketjussa, mukaan lukien alihankkijat ja toimittajat myös EU:n ulkopuolella. Direktiivin vaikutuspiirissä voivat siis olla myös sellaiset organisaatiot, joita sen vaatimukset eivät kosketa suoraan. 

Huomionarvoista on se, että uudessa direktiivissä vastuu tarvittavista kyberturvallisuusrakenteista on henkilökohtaisesti ylimmällä johdolla, ja mahdolliset sanktiot velvollisuuksien laiminlyönnistä voivat olla jopa 2 % liikevaihdosta. Vaikka direktiivi ei määrittele sitovia vaatimuksia käytännön tasolla, yritysten on jatkossa toteutettava tietoturvaa tiettyjen toimintamallien mukaisesti ja omaan ympäristöönsä soveltaen. ISO 27001 -sertifiointi takaa yrityksille vaatimusten noudattamisen, mutta myös kevyemmällä tietoturvanhallintajärjestelmällä voi luoda kattavan pohjan riittävän tietoturvaympäristön luomiseen, jos sertikaattia ei yritykseltä löydy.

Mikä NIS2-kyberturvallisuusdirektiivi?

  • Päivitys NIS-direktiiviin vuodelta 2022
  • Astuu voimaan 18.10.2024
  • Määrittelee ja yhtenäistää kyberturvallisuuskäytäntöjä EU-alueella
  • Soveltamisalaan kuuluvien yritysten ja julkisyhteisöjen määrä kasvaa. Sen piirissä olevat toimijat
    - toimivat yhteiskunnallisesti kriittisellä toimialalla ja
    - ovat kooltaan keskikokoisia tai suuria (50+ työntekijää, liikevoitto tai taseen loppusumma 10+ miljoonaa euroa)
  • Direktiivi asettaa kyberturvallisuuskäytännöille yleisiä vaatimuksia, joita yritykset soveltavat käytännössä. Se määrittelee muun muassa seuraavaa:
    - kattava riskienhallinta ja kyberturvallisuus koko arvoketjussa, mukaan lukien alihankkijat ja toimittajat
    - toiminnan jatkuvuuden varmistaminen
    - mahdollisista kyberturvapoikkeamista raportoiminen eteenpäin tiettyjä käytäntöjä noudattaen
    - ennakkovalvonta keskeisille toimijoille (suuret toimijat) ja jälkivalvonta (keskikokoiset toimijat)
  • Direktiivi asettaa johdolle henkilökohtaisen vastuun vaatimusten täyttymisen varmistamisesta. Rahalliset sanktiot velvollisuuksien laiminlyönnstä voivat olla huomattavia.
Lue lisää NIS2-direktiivistä.

Kyberturvallisuuteen kannattaa pureutua järjestelmällisesti

Uusiin vaatimuksiin vastaaminen on hyvä aloittaa tarkastelemalla kriittisesti organisaation olemassa olevia käytäntöjä: mitä vaaditaan, jotta tietoturva saadaan kestävälle ja direktiivinmukaiselle tolalle? DevSecOpsin mukaisesti turvallisuusnäkökulma tulisi ottaa mukaan alusta alkaen osaksi ohjelmistokehitystä ja teknisten ratkaisujen soveltamista. 

Teknologisten ratkaisujen valinnassa on tehokasta soveltaa ekosysteemiajattelua: esimerkiksi Microsoft-ympäristössä toimivalle organisaatiolle voidaan luoda Microsoft Defender XDR -tuoteperheen avulla monitasoinen valvontajärjestelmä kaikille laitteille ja IT-järjestelmille. Defender XDR on perusteltu ratkaisu, jos yrityksessä on käytössä esimerkiksi Windows-työasemia tai M365, vaikkei organisaatio olisikaan sitoutunut Microsoft Azuren käyttöön pilvipalveluissa.

Microsoft Defender XDR:ssä voidaan toteuttaa muun muassa seuraavaa:

  • Identiteettien ja käyttöoikeuksien valvonta
    Defender XDR:n avulla voidaan valvoa identiteettien, päätelaitteiden ja pilvipalveluiden käyttöä reaaliaikaisesti. Identiteettien käytön valvontaa voidaan automatisoida, mahdollisissa hyökkäyksissä pääsy järjestelmiin voidaan estää nopeasti ja hyökkäykseen johtaneita tapahtumia on mahdollista arvioida jälkikäteen.  
  • Kyberturvallisuuden kypsyyden kasvattaminen
    Alusta ehdottaa, mihin kehitystyö kannattaa ohjata laitteista käyttäjiin asti. Sillä voidaan myös tunnistaa organisaation palvelimilla olevia haavoittuvuuksia ja henkilöt, jotka ovat alttiimpia esimerkiksi tietojen kalastelulle. Sähköpostiliikenne ja liitteet voidaan suojata ja tietovuodot ehkäistä automatisoidulla valvonnalla.
  • Haittaohjelmien uhkien minimoiminen
    Haittaohjelmia voidaan ehkäistä, tunnistaa nopeasti ja tutkia lähemmin. Kun havaitut ohjelmat ajetaan turvallisesti Defender XDR:n hiekkalaatikkotoiminnon läpi, saadaan esimerkiksi tietoa siitä, mitä ohjelma yritti tehdä. 

Defender XDR:n avulla kyberturvallisuutta tukevia käytäntöjä ja tietoja voidaan keskittää helposti pilveen. Prosessien automatisoiminen Defender XDR -tuoteperheen avulla myös minimoi manuaaliseen työhön liittyvät riskit ja mahdollistaa nopean reagoinnin mahdollisen hyökkäyksen kriittisten ensimmäisten minuuttien aikana.

Nykyaikaisen toimintaympäristön huomioiminen on tärkeää

Jos aiemmin on painotettu sisäverkon, palomuurien ja VPN:n merkitystä kyberriskien hallinnassa, nyt panostetaan toimintaympäristön arkkitehtuuriin, jossa riskit minimoidaan monitasoisesti. NIS2-direktiivissä määritellään, että organisaatioiden on perustettava ja dokumentoitava kyberturvallisuuden toimintamalli, jossa huomioidaan kaikki vaaratekijät. 

Esimerkiksi Zero Trust -suojausmallissa keskitytään organisaation kyberturvallisuuden monitasoiseen suojaamiseen sekä ennakoiviin rakenteisiin. Zero Trust -suojausmallissa – jonka nimi jo kertoo ajattelutavasta olennaisen – toimitaan sillä oletuksella, että tietomurrot ovat aina mahdollisia, ja niihin täytyy varautua jokaisen järjestelmän osalta. Työntekijöiden näkökulmasta suojausmalli tuo mukanaan arkea helpottavia muutoksia: käytät yrityksen järjestelmiä juuri samalla tavalla toimistolta, kotikonttorilta tai vaikka kahvilasta käsin. Zero Trust noudattaa kolmea ohjaavaa periaatetta:

  • Tarkista nimenomaisesti
    Pelkkä VPN ei siis riitä varmistamaan käyttäjän identiteettiä – tunnistamiseen on käytettävä muitakin mekanismeja, kuten esimerkiksi monivaiheista tunnistautumista myös sisäisissä järjestelmissä.
  • Käytä vähimpien oikeuksien periaatetta
    Käyttöoikeuksia tulisi jakaa harkitusti ja perustellusti – vain oikeaan tarpeeseen.
  • Hallitse tietomurtoja
    Tietomurtojen vaikutuksia tulisi pyrkiä minimoimaan esimerkiksi datan salaamisella, palauttamiskyvyn varmistamisella sekä erilaisilla palautumissuunnitelmilla. 

Kaikki lähtee omien tarpeiden tunnistamisesta

Luotettava kumppani on usein hyvä ratkaisu alkukartoitukseen ja toteutukseen, jos vaadittavaa osaamista ei löydy talon sisältä. Pinja toteuttaa monipuolisesti tietoturvapalveluita penetraatiotestauksesta aina eri ratkaisujen, kuten Microsoft Defender XDR:n tuotteiden, käyttöönottoon yrityksissä – myös muissa kuin Microsoftin ympäristössä toimivissa organisaatioissa. Raportoimme havainnoistamme ja annamme suosituksia kyberturvallisuuden parantamiseksi organisaation sisällä. 

Mietityttävätkö NIS2-direktiivin merkitys ja oman organisaatiosi kyberturvallisuuden taso? Ota yhteyttä, niin pohditaan tilannetta yhdessä ja etsitään parhaat ratkaisut.

Microsoft Defender XDR 

Microsoftin tuoteperhe, jolla voi luoda kokonaisen ympäristön tietoturvatoiminnoille.
Sen avulla voi mm. 

  • ehkäistä kyberuhkia,
  • tunnistaa haavoittuvuuksia organisaatioissa,
  • hallita hyökkäyksiä ja 
  • valvoa identiteettejä. 

Zero Trust -suojausmalli

Tietoturvaa ohjaava ajattelumalli, jonka avulla voidaan vastata nykyaikaisen toimintaympäristön haasteisiin. Sillä pureudutaan laitteiden suojaamiseen, kyberuhkien vähentämiseen ja ennakoivaan toimintaan hyökkäyksien ehkäisemisessä.

Lue lisää:

Mitä valmistavassa teollisuudessa pitää tietää DevSecOps-toimintamallista? Poimi neljä tärppiä omaan organisaatioon
Ohjelmistokehitys ja kumppanuus palvelusivusto
Finnish Information Security Cluster (FISC) – Kyberala ry:n EU:n verkko- ja tietoturvallisuusdirektiivi NIS2:n kansallisen soveltamisopas
Tietoturvapalveluiden asiantuntijapalvelut - varmista liiketoimintasi jatkuvuus
Näytä koko julkaisu