NIS2-direktiivi asettaa vaatimuksia, joiden täyttäminen on yrityksen etujen mukaista
Lokakuussa 2024 voimaan tuleva EU:n verkko- ja tietoturvadirektiivi NIS2 korvaa aiemman NIS-direktiivin laajentaen sekä sen soveltamisalaa että vaatimuksia. Huomiota ovat kiinnittäneet erityisesti sen määrittelemät johdon vastuut ja rikkomuksista määritellyt sanktiot. Remodilla meitä kuitenkin kiinnostaa direktiivin konkreettiset vaatimukset ja motivaatio niiden takana. Direktiivin tarkoitus on lisätä EU:n jäsenmaiden kyberturvallisuuden tasoa erityisesti kansallisesti kriittiseksi määriteltyjen toimialojen ja toimijoiden osalta.
Vaatimusten luonnetta on helppo konkretisoida vertaamalla niitä rakennusmääräyksiin. Rakentamisen sääntely on luotu varmistamaan rakennusten turvallisuus ja tämän lisäksi on täysin normaalia, että esimerkiksi rekkojen ja työkoneiden tiheästi kulkemat tehtaan piha-alueet ovat aidattuja ulkopuolisen kulun välttämiseksi. Tehdashallilla on sopivat perustukset, seinät ja katto koska kalliita koneita tai niillä tuotettuja asioita ei voi altistaa tuulelle ja tuiskulle.
Emme tarvitse erityisosaamista tai tietyn alan asiantuntemusta ymmärtääksemme, ettei riitä että rakenteet ovat kunnossa kassakaapissa säilytetyissä piirustuksissa, vaan fyysisten rakenteiden pitää seistä toimintaa suojaamassa myös todellisuudessa. Pohjimmiltaan NIS2 luo nyt perustason "rakennusmääräyksiä" yritysten tietoteknisille rakenteille.
Yksikään yritys ei voi enää toimia ilman vähintään jonkinlaista tietoteknistä ympäristöä, joten lainsäätäjän kannalta on täysin luontaista alkaa kiinnittää huomiota yritysten kykyyn suojata omaa toimintaansa huonon sään lisäksi myös tietoteknisen toimintaympäristön ikävien ilmiöiden varalta. Tavoitteena ei siten pidäkään olla leima sertifiointipaperissa, vaan yrityksen tosiasiallinen kyky kehittää toimintaansa kestämään paremmin nykyisen toimintaympäristön todellisia uhkia.
Remodin näkökulmasta katsottuna tässä ei ole oikeastaan mitään vaikeaa, kysehän on pohjimmiltaan oikein toteutetusta tietohallinnosta yhdistettynä suunnitelmalliseen riskienhallintaan. Monet NIS2-vaatimukset ovatkin linjassa sen kanssa, että asioita tehdään tehokkaasti, sujuvasti ja henkilöriippuvuuksia välttäen. Kun eri tilanteisiin on suunniteltu ja dokumentoitu selkeä prosessi, vastaus löytyy ilman työlästä etsimistä, ilman avainhenkilöiden tarpeetonta vaivaamista vaikkapa heidän lomansa aikana. On varsin tavallista, että organisaatioissa on paljon esimerkiksi poikkeustilanteiden käsittelyyn liittyvää hiljaista, henkilökohtaiseen osaamiseen sidottua tietoa. Myös jatkuvuuden turvaamiselle on tärkeää siirtää osaaminen hiljaisesta tiedosta helposti saatavilla oleviin, kirjattuihin toimintamalleihin - siis ajantasaisena pidettyyn dokumentaatioon.
Koska yleisellä tasolla ajateltuna yritysten välillä on paljon yhteisiä piirteitä toiminnan käytännön ratkaisuissa, olemme työstäneet niiden pohjalta NIS2-vaatimusten läpikäynnin tueksi playbookia, jonka avulla perusasioita on helppo lähteä käymään läpi ja päästä vaatimusten täyttämisessä alkuun.
Tärkein tieto tulee aina kuitenkin yrityksen sisältä ja sen toiminnan erityispiirteiden ymmärryksestä:
- mitä teidän ydintekemisenne on?
- mitkä sen tarvitsemista tukitoiminnoista ovat kriittisiä siten, että häiriö niissä aiheuttaa välittömästi ongelmia?
- mitkä toiminnot taas kestävät häiriöitä pitempään ja aiheuttavat ongelmia vasta viiveellä?
- Entäpä minkä tiedon menettäminen tai vuotaminen voivat jopa tuhota toimintanne?
- Mitkä kolmannen osapuolen palvelut tai tuotteet ovat teidän toiminnan kannalta kriittisiä?
Kyberturvallisuuskulmastakin ajateltuna on oleellista tuntea puolustettava kokonaisuus, sillä näiden kysymysten vastaukset eivät ole yleistettävissä.
Haluamme tarjota materiaalia sekä vapaasti käytettäväksi että yhdessä toteutetun NIS2-prosessin tueksi. Itse näen tämän myös henkilökohtaisena etuna: materiaalin avulla yritys voi hoitaa helpoimmat osuudet omatoimisesti ja me Remodilla voimme tarjota tukea ja keskittyä ratkomaan esiin tulleita visaisempia pulmia. Työtä NIS2:n ympärillä on kuitenkin Suomen yrityskentässä enemmän kuin mihin yksin konsultit riittävät. Sitäpaitsi ne oleellisimmat tulokset ovat kuitenkin kunkin yrityksen itsensä jatkuvan toiminnan kehitys ja tarvittavien tietoturvakontrollien synnyttäminen osaksi yrityksen jokapäiväistä toimintaa. Tähän tavoitteeseen on mahdoton päästä vain ulkopuolisen konsultin tekemällä työllä.
Käytännön toteutuksessa NIS2-vaatimuksiin vastatessa hyvä peruslähtökohta on minimoida tarve luoda täysin uusia prosesseja ja dokumentaatiota. Kun aukot vaatimusten täyttymisessä tunnistetaan, ratkaisut kannattaa yhdistää yrityksen olemassaoleviin prosesseihin ja jo ennestään aktiivisessa käytössä olevaan dokumentaatioon. Usein voi riittää esimerkiksi uuden sarakkeen tai välilehden lisääminen taulukkoon, tai uuden alaotsikon lisääminen olemassaolevaan dokumenttiin, jossa samaa aihealuetta käsitellään NIS2:n näkökulmasta. Aktiivisesti käytetyt dokumentit on myös luontevampaa pitää ajan tasalla. Tarkoitus ei ole olla pikamatka vaan pysyvä osa yrityksen arkea ja toimintaa!
Tietoturvallista toimintaa ja jatkuvuuden varmistamista ei pidä myydä pelottelulla, vaikka se onkin helposti näkyvyyttä ja huomiota saava tapa. Kannattaa silti lähestyä asiaa ajattelemalla "ei jos vaan kun jotain tapahtuu", sillä erilaisia tietoturvapoikkeamia tapahtuu jatkuvasti ja uhkamaisema muuttuu ja elää koko ajan.
Toiminnan eri osa-alueisiin sijoittuvilla varautumis- ja suojakeinoilla on kaikilla tärkeä rooli, jotta ongelmiin päästään vaikuttamaan kaikissa vaiheissa: minimoidaan todennäköisyys tietoturvapoikkeaman toteutumiselle, varmistetaan toteutuneen poikkeaman mahdollisimman nopea havainnointi ja rajataan sekä minimoidaan sen aiheuttamat vahingot, ja varmistetaan mahdollisuus toipua siitä mahdollisimman nopeasti ja pienin vaurioin.
Jokaiselta riskiltä ei koskaan voi suojautua täydellisesti eikä kaikkiin tunnistetuihin riskeihin yleisesti kannata vastata tehokkaimmalla ja usein myös kalleimmalla mahdollisella keinolla. Sen sijaan ymmärtämällä yrityksen liiketoiminnan voi vahvimmat suojatoimet keskittää jatkuvuuden ja tuotantoketjun vaikutusten kannalta oleellisimpien kohteiden turvaamiseen. Muilta osin monesti riittää hyvät ja ajantasaiset kyberhygienian ja tietoturvan peruskäytännöt, joita toteutetaan läpi yrityksen kaikkien toimintojen.
Riskienhallinnan lisäksi NIS2-vaatimuksissa on huomioitu havaittujen poikkeamien oikea käsittely. Yllättävässä tilanteessa on iso apu selkeistä toimintaohjeista. Mitä nappia painetaan, kenelle soitetaan, mitä täytyy tehdä ja mitä välttää? Yleisten hallinnollisten ja teknisten tietoturvakäytänteiden lisäksi NIS2-sääntelyssä on yksiselitteinen vaatimus vakavien tietoturvapoikkeamien ilmoittamisesta kansalliselle viranomaiselle. Suomessa tämä viranomainen on Traficomin Kyberturvallisuuskeskus (KTK).
KTK:lle on tehtävä ennakkoilmoitus 24 tunnin kuluessa vakavan tietoturvapoikkeaman havaitsemisesta, poikkeamailmoitus 72 tunnin sisällä ja loppuraportti viimeistään kuukauden kuluttua poikkeaman käsittelyn valmistumisesta. Lisäksi mahdolliseen lisäselvityspyyntöön on vastattava 24 tunnin kuluessa. Ilmoitusvelvollisuuden täyttäminen on vaadittu yksiselitteisesti lainsäädännössä ja lainsäädäntö asettaa näin myös oletuksen siitä, että yrityksellä on kyky havaita teitoturvapoikkeamat ja reagoida niihin.
Oikeanlaisella varautumisella on mitattavien hyötyjen lisäksi myös pehmeä etu: se tuo mielenrauhaa. Riskit eivät ole kadonneet mihinkään, vaan ne on tunnistettu, arvioitu suhteessa toiminnan tarpeisiin, ja toimenpiteet niihin vastaamiseksi on mitoitettu suhteessa riskin merkitykseen. Jos jotain menee pieleen se tapahtui siitä huolimatta, että teitte parhaanne – ei siksi, että turvallisuudesta huolehtiminen olisi laiminlyöty.
Eihän rakennusmääräyksilläkään pyritä estämään lumimyrskyä, vaan varmistamaan ettei lunta tule tupaan puuttumaan jääneestä seinästä ja että rakennuksen käyttäjä voi luottaa katon kantavuuden olevan oikein mitoitettu meidän ilmastolle tyypillisille lumikuormille.
Älä tee NIS2:sta paperitiikeriä, jolla ei ole vaikutusta Ö-mapin ulkopuolella, vaan keskity niihin sinänsä lopulta yksinkertaisiin toimiin, joilla suojaat yrityksesi todellista liiketoimintaa ja ehkäiset kybersään aiheuttamat yllätykset.