EU:n kyberturvallisuusdirektiivi NIS2.0 – Mikä se on ja miten sinun tulisi toimia?
NIS2.0, uusi EU:n laajuinen kyberturvallisuusdirektiivi, on tulossa vuonna 2024. Tässä blogikirjoituksessa kerromme mikä se on, miksi ja miten sinun tulisi toimia ja mitkä ovat Microsoftin ratkaisut NIS2-vaatimusten noudattamiseen. Määräaika tulee vastaan 17. lokakuuta 2024.
Mitä NIS2 tarkoittaa minulle?
Kaksi pääaluetta, joilla NIS2 vaikuttaa, ovat:
- Kyberturvallisuusriskien hallintatoimenpiteet
- Vaaratilanteista ilmoittamista koskevat velvoitteet
Lähde: Microsoft Security
Yhteenveto C-tason johdolle
NIS2.0 on EU:n uusi verkko- ja tietoturvadirektiivi, jonka tavoitteena on parantaa kriittisten toimialojen ja keskeisten palveluiden häiriönsietokykyä ja valmiutta kyberuhkia vastaan. Se tulee voimaan lokakuussa 2024 ja koskee organisaatioita, joissa on yli 250 henkilöä. Siinä edellytetään, että organisaatiot noudattavat tiettyjä standardeja ja velvoitteita, kuten poikkeamista ilmoittamista, riskinarviointien tekemistä, turvatoimien toteuttamista ja yhteistyötä kansallisten viranomaisten kanssa.
Jos työskentelet C-tason johdossa, sinun on oltava tietoinen NIS2.0:n vaikutuksista organisaatioosi ja asiakkaisiisi. Sinun on varmistettava, että IT-järjestelmäsi, prosessisi ja henkilöstösi turvamenettelyt ovat uusien vaatimusten mukaisia ja että sinulla on selkeä strategia ja toimintasuunnitelma vaatimustenmukaisuuden saavuttamiseksi. Sinun on myös kommunikoitava asiakkaidesi kanssa NIS2.0:n eduista ja siitä, miten se parantaa heidän turvallisuuttaan ja luottamustaan palveluihisi.
NIS2:lla on merkittävä vaikutus liiketoimintaan, maineeseen ja kilpailukykyyn. NIS2 edellyttää, että yritykset investoivat enemmän kyberturvallisuuteen, noudattavat uusia sääntöjä ja standardeja ja tekevät yhteistyötä kansallisten viranomaisten ja muiden sidosryhmien kanssa.
Jos näin ei tehdä, seurauksena voi olla sakkoja, jotka voivat olla jopa 10 prosenttia vuotuisesta liikevaihdosta, maineen vahingoittumista ja asiakkaiden luottamuksen menettämistä. Toisaalta NIS2:n noudattaminen voi myös tuoda etuja, kuten parempaa resilienssiä, innovaatioita ja markkinamahdollisuuksia.
NIS2 ei ole vain haaste, vaan myös mahdollisuus johdolle osoittaa johtajuutensa ja sitoutumisensa kyberturvallisuuteen.
Sulava tarjoaa palveluita mm. tiedon suojauksen ja tietoturvan konfigurointiin ja toteutukseen sekä tietoturva-auditointeihin, henkilöstön koulutukseen ja hallintamalleihin. Tuemme organisaatiotasi palveluiden ja toiminnallisuuksien käyttöönotossa. Lue jutun lopusta lisää.
Sukelletaan syvemmälle: Mikä NIS2.0 on ja mitkä ovat tärkeimmät muutokset?
Lähdetään sitten tutustumaan aiheeseen pintaa syvemmälle. NIS2 on uusi eurooppalainen kyberturvallisuusdirektiivi, joka korvaa nykyisen verkko- ja tietoturvadirektiivin (NIS1-direktiivin) lokakuussa 2024. NIS2 laajentaa aiemman NIS1-direktiivin soveltamisalaa.
NIS2 on tähän mennessä kattavin EU:n kyberturvallisuuslainsäädäntö, joka kattaa 15 alaa, mukaan lukien uudet alat, kuten valmistusteollisuus ja tutkimus. Direktiivi sisältää keskikokoisia yrityksiä, jotka on määritelty kuuluvaksi kriittiseen infrastruktuuriin.
Kenelle?
| Keskeiset alat: | Tärkeät alat: |
|---|---|
| Energia | Posti- ja kuriiripalvelut |
| Kuljetus | Jätehuolto |
| Pankkitoiminta | Kemikaalit |
| Rahoitusmarkkinoiden infrastruktuuri | Ruoka |
| Terveysala | Lääkinnällisten laitteiden valmistus |
| Juomavesi | Digitaaliset palveluntarjoajat |
| Jätevesi | Tutkimusorganisaatiot |
| Digitaalinen infrastruktuuri | |
| IT-palveluiden hallinta | |
| Julkishallinto | |
| Avaruus |
Direktiivin tarkoituksena on vahvistaa digitaalisten palveluiden- ja keskeisten palvelujen tarjoajia koskevien vähimmäisturvatoimenpiteiden perustasoja, lieventää kyberhyökkäysten riskiä ja parantaa kyberturvallisuuden yleistä tasoa EU:ssa.
Tärkeimmät muutokset NIS1-direktiivistä NIS2-direktiiviin
• NIS2 asettaa vähimmäistoimenpiteiden vertailupisteen:
Yritysten on ryhdyttävä toimiin kyberturvallisuuden tilan parantamiseksi. Näitä ovat riskinarviointien tekeminen, monivaiheisen todennuksen toteuttaminen sekä suunnitelmat tapahtumiin reagoimiseksi ja toimitusketjun turvaamiseksi.
• NIS2 tiukentaa täytäntöönpanoa:
Tehostetaan toimenpiteitä ja seuraamuksia direktiivin noudattamatta jättämisestä sekä tiukennetaan kansallisten viranomaisten valvontatoimenpiteitä.
• NIS2 luo puitteet haavoittuvuuksien koordinoidulle julkistamiselle ja perustetaan EU:n haavoittuvuusrekisteri, jota ylläpitää Euroopan unionin kyberturvallisuusvirasto ENISA.
• NIS2 tehostaa myös yhteistyötä ja tiedon jakamista jäsenvaltioiden ja niiden viranomaisten välillä, myös kyberkriisinhallinnan osalta.
NIS2:n noudattamiseksi sinun on suoritettava seuraavat vaiheet:
- Tunnista NIS2-direktiivin mukainen roolisi ja velvollisuutesi. Roolistasi riippuen sinulla on erilaisia vastuita ja vaatimuksia.
2. Arvioi kyberturvallisuutesi nykyinen taso ja tunnista mahdolliset aukot tai heikkoudet. Sinun on noudatettava turvallisuutta ja resilienssiä koskevia yhteisiä standardeja ja suuntaviivoja, jotka ENISA ja Euroopan komissio laativat.
3. Ota käyttöön asianmukaiset turvatoimet ja käytännöt järjestelmien ja tietojen suojaamiseksi kyberuhilta. Sinun on omaksuttava riskiperusteinen lähestymistapa ja varmistettava, että turvatoimet ovat oikeassa suhteessa kohtaamaasi riskitasoon nähden.
4. Raportoi huomattavista tai merkittävistä poikkeamista kansallisille viranomaisille ja ENISAlle. Sinun on noudatettava vaaratilanteista ilmoittamista koskevaa yhdenmukaistettua kehystä, jossa määritetään raportoinnin kynnysarvot, muodot ja menettelyt.
5. Tee yhteistyötä kansallisten viranomaisten ja muiden sidosryhmien kanssa. Sinun on osallistuttava kansallisten viranomaisten säännöllisiin auditointeihin ja tarkastuksiin sekä jaettava tietoja ja parhaita käytäntöjä muiden alan toimijoiden kanssa tai eri alojen kesken.
Lisätietoja kyberturvallisuusriskien hallintatoimenpiteistä ja poikkeamien raportoinnista
Kyberturvallisuusriskien hallintatoimenpiteet
NIS 2 soveltaa riskiperusteista, tuloskeskeistä lähestymistapaa toimenpiteisiin, joilla puututaan:
- riskianalyysi ja tietojärjestelmien turvallisuusperiaatteet;
- poikkeamien käsittely;
- toiminnan jatkuvuus ja kriisinhallinta;
- toimitusketjun turvaaminen;
- verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja paljastaminen;
- toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- kyberturvallisuutta koskeva perushygienia ja koulutus;
- salaustekniikkaa ja enkryptausta koskevat toimintaperiaatteet ja menettelyt;
- henkilöstöön liittyvä turvallisuus, mukaan lukien kulunvalvontaperiaatteet ja omaisuudenhallinta; ja
- MFA:n (Zero Trust -suojausmalli) ja muiden teknisten valvontatoimien käyttö.
Tietoturvailmoituksen tekemistä koskevat velvoitteet
Raportoitava ”poikkeamista, joilla on merkittävä vaikutus palvelujen tarjoamiseen” = jotka aiheuttavat vakavia toiminnallisia häiriöitä palveluun tai taloudellisia menetyksiä; vaikuttavat muihin henkilöihin aiheuttamalla huomattavia aineellisia tai aineettomia vahinkoja.
- annettava asianomaiselle viranomaiselle ennakkovaroitus 24 tunnin kuluessa.
- toimitettava viipymättä lieventämistä ja ehkäisemistä koskevat tiedot.
- toimitettava poikkeamailmoitus 72 tunnin kuluessa (arviointi, vakavuus, kompromissin indikaattorit).
- antaa sääntelyviranomaisen pyynnöstä väliraportteja.
- kuukauden kuluessa siitä, kun on saanut alustavan tiedon, on toimitettava joko loppuraportti tai edistymisraportti. Kuukausittain on lähetettävä uusi edistymisraportti, kunnes lopullinen raportti on saatu.
Microsoftin ratkaisut NIS2-vaatimusten täyttämiseksi
Riskien arviointi:
Microsoft 365 Compliance Managerin ja Microsoft Defender for Cloudin avulla voit arvioida riskejä ja noudattaa säädöksiä. Microsoft 365 Compliance Manager tarjoaa jo arviointimalleja, joissa on yksityiskohtaisia suosituksia NIS1-direktiiviä varten. NIS2-arviointimallit toimitetaan pian.
Salauksen käyttö:
Hyödynnä Microsoft Azure Key Vaultia ja Microsoft Defender for Cloudia turvalliseen avainten hallintaan ja salaukseen.
Järjestelmien hankinnan turvallisuus:
Käytä Microsoft Intune and Microsoft Defender for Endpoint laitteiden hallintaan ja suojauksen hallinnan varmistamiseen.
Työntekijöiden turvamenettelyt:
Pääsy arkaluonteisiin tai tärkeisiin tietoihin: Ota käyttöön käyttäjätietojen ja käyttöoikeuksien hallintaratkaisut, kuten Entra ID (ent. Azure Active Directory) ja Privileged Identity Management, jotta voit hallita arkaluonteisten tietojen käyttöä.
Microsoft Information Protection, mukaan lukien Data Loss Prevention, voi auttaa suojaamaan tietoja ja rajoittamaan niiden käyttöä. Lisäksi Microsoft Insider Risk Management voi auttaa havaitsemaan sisäpiiriläisten riskialtista käyttäytymistä ja seuraamaan sitä.
Monivaiheinen todennus:
Entra ID Multi Factor Authentication -todennuksen avulla voit lisätä uuden suojauskerroksen käyttäjien kirjautumisiin.
Käytännöt ja menettelyt:
Suojaustoimenpiteiden tehokkuuden arviointi: Microsoft Defender -ohjelmistopaketin ja Microsoft Sentinelin avulla voit valvoa ja havaita tietoturvauhkia reaaliajassa.
Suunnitelma tietoturvapoikkeamien käsittelemiseksi:
Microsoft Information Protection, mukaan lukien Data Loss Prevention ja Microsoft Insider Risk Management, tarjoavat omat hälytysten ja tapahtumien hallintanäkymänsä.
Kyberturvallisuuskoulutus ja tietokoneen perushygienian käytännöt:
Hyödynnä Microsoft 365 Learn -oppimispolkuja ja Microsoft Defender for Office 365:tä kouluttaaksesi työntekijöitäsi kyberturvallisuuden parhaista käytännöistä.
Voimme tietysti auttaa sinua tässäkin! IT-henkilöstön ja loppukäyttäjien tietoturva- ja tiedon suojausosaamisen varmistamiseksi Sulava tarjoaa laajan valikoiman koulutusmahdollisuuksia. Tarjoamme laajan valikoiman kursseja englanniksi ja suomeksi, sekä Microsoftin virallisia kursseja että omiamme. Tutustu lisää artikkelin lopussa.
Suunnitelma liiketoiminnan johtamisesta tietoturvatapahtuman aikana ja sen jälkeen:
Microsoft Azure Site Recovery and Backupin avulla voit varmistaa liiketoiminnan jatkuvuuden tietoturvatapahtuman sattuessa.
Toimitusketjujen turvallisuus sekä yrityksen ja suoran toimittajan välinen suhde:
Microsoft Defender for Endpointin avulla voit suojata laitteesi ja verkkosi toimitusketjuun kohdistetuilta hyökkäyksiltä.
Sulava tarjoaa palveluita mm. tiedon suojauksen ja tietoturvan konfigurointiin ja toteutukseen sekä tietoturva-auditointeihin, henkilöstön koulutukseen ja hallintamalleihin. Tuemme organisaatiotasi palveluiden ja toiminnallisuuksien käyttöönotossa. Lue jutun lopusta lisää.
NIS2-tavoitteet ja Microsoft-tuotteet
| NIS-periaatteet | Microsoft-ratkaisu |
|---|---|
| Hallinto | Defender CSPM, Entra |
| Riskienhallinta | Defender XDR ja Purview Compl. Mgr. & Insider Risk |
| Omaisuuden hallinta | Defender CSPM, Defender for Endpoint |
| Toimitusketju | Defender XDR, Entra ja DevOps |
| Palvelun suojaus | Defender for API |
| Identiteetti ja pääsyoikeus | Entra |
| Tiedon turvallisuus | Purview |
| Järjestelmän turvallisuus | Defender for Endpoint, Defender for loT ja Intune |
| Häiriönsietokykyiset verkot | Azure Network Security |
| Henkilöstön tietoisuus | O365 Tietojenkalastelun simulointi ja oppimispolut |
| Turvallisuuden valvonta | Microsoft Sentinel |
| Ennakoiva tietoturva | Defender XDR |
| Reagointi ja toipuminen | Defender XDR, Azure Backup and Recovery |
| Saadut kokemukset | N/A |
Tarvitsetko apua? Tutustu palveluihimme!
Käytä hyödyksesi asiantuntemuksemme tietoturvasta ja tiedon suojauksesta!
Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.
Sulava tarjoaa palveluita mm. tiedon suojauksen ja tietoturvan konfigurointiin ja toteutukseen sekä tietoturva-auditointeihin ja hallintamalleihin. Tuemme organisaatiotasi palveluiden ja toiminnallisuuksien käyttöönotossa. Tarvittaessa hoidamme puolestasi myös koko valvonnan.
Varmistaaksemme sekä IT:n että loppukäyttäjien tietoturvaosaamisen, tarjoamme laajan valikoiman koulutusmahdollisuuksia, sekä julkisia, kaikille avoimia kursseja että yrityskohtaisina.
Lue lisää tietoturvapalveluistamme, ota meihin yhteyttä ja ala hyödyntää pilven tietoturvaa!
Tietoturva nyt! – Ajankohtainen katsaus IT-ammattilaisille
Koulutus on suunnattu IT-ammattilaiselle, jonka toimenkuvana on kehittää oman organisaation tietoturvaa. Kurssilla käsitellään ajankohtaisia uhkia ja niihin suojautumista, sekä kartoitetaan oman organisaation tarpeita suunnittelemalla tietoturvan kehityksen tiekarttaa.
Koulutuksessa käydään läpi myös mitä tulee ottaa huomioon NIS2-direktiivin myötä.
Tietotyöläinen tiedon turvaajana – Organisaatiokohtainen tietoturvakoulutus
Tämä koko henkilöstön tietoturvakoulutus antaa eväät ymmärtää nykypäivän kyberuhkia ja ohjeistaa henkilöstöä toimimaan oikein organisaation määrittelemien sääntöjen ja tietoturvapolitiikan puitteissa.
Koulutuksessa käydään läpi organisaation sääntelyyn pohjautuen vahvan tunnistautumisen pelisäännöt, kybersää ja modernin tietotyöläisen parhaat käytännöt havaita, varoa ja varmistaa turvallinen toiminta kaikissa tilanteissa.
Hyödyllisiä linkkejä
NIS Regulations: Cyber Assessment Framework (itgovernance.co.uk)
Hallituksen esitys Euroopan unionin kyberturvallisuusdirektiivin (NIS2-direktiivi) täytäntöönpanemiseksi (valtioneuvosto.fi)
Microsoftin video: What is NIS2.0 and how to prepare your organization and customers for it
Kirjoittajat: Jussi Metso & Tatu Seppälä