Suomalaiset tietoturvayhtiöt aloittavat yhteistyön ensi vuonna tulevien EU-tietoturvamääräysten toteuttamiseksi. Mukana yhteistyössä ovat suomalaisista yhtiöistä Netox, Nixu, GoFore, Insta, Wärtsilä, WithSecure, TietoEvry, SSH, Loihde, Cyberwatch Finland, Vectra, Mideye sekä Teknologiateollisuus-järjestö.
Uudenlaisen tietoturvayhteistyön taustalla on ensi vuoden lokakuussa julkistettava NIS2-tietoturvasäädöstö, jonka aktivoijana suomalaisyrityksetkin joutuvat lisäämään investointejaan tieto- ja kyberturvaan kahden vuoden aikana.
Lokakuussa 2034 voimaan tulee EU:n NIS2-tietoturvasääntely, joka laajentaa huomattavasti kriittisten toimijoiden määritelmää. Esimerkiksi jatkossa esimerkiksi yhteiskunnan kannalta kriittisiä palveluita ja teknologiaa toimittavan yhtiön alihankintaketjussa olevat yhtiöt kuuluvat kriittisten toimijoiden määritelmän piiriin.
Vuonna 2025 voimaan astuu myös CRA-direktiivi, joka vaikuttaa kaikkiin yrityksiin, jotka valmistavat tai tuovat markkinoille tietoverkkoon kytkettäviä laitteita tai ohjelmistoja. Tämä koskee esimerkiksi laajasti valmistavaa teollisuutta. Siksi sen merkitys on entistä isompi koko Suomelle.
”Tarvitsemme tieto- ja kyberturvan tasonnoston, joka ei saa perustua juristivetoiseen sääntelyvaatimusten tulkitsemiseen’’, sanoo myös alan järjestön Finnish Information Security Clusterin (FISC) hallituksen puheenjohtaja Niko Candelin (kuvassa). Hän toimii suomalaisen tietoturvayhtiö Netoxin tutkimusjohtajana.
Ennen määräaikoja yritysten on selvitettävä, kuuluuko yritys NIS2:n kriittisen toimijan tai CRA-asetuksen piiriin. Varsinkin jos uuden tietoturvadirektiivin ja tulevan kansallisen lainsäädännön vaatimukset eivät täyty, yritykselle voidaan langettaa sakko, tai toiminta voidaan keskeyttää turvallisuuspuutteiden vuoksi.
”Pelkona on, että toistamme jälleen GDPR:n virheet. Silloin yritykset tekivät omia ratkaisujaan pitkälti juristivetoisesti, eikä sääntelystä, sen vaikutuksista tai parhaista käytänteistä syntynyt yhteisymmärrystä yritysten välille. Nyt uhkatekijät ovat niin vakavia, että tätä virhettä emme halua toistaa”, FISC:n Candelin arvioi.
Yhteistyöhankkeen kautta on tulossa ensi vuoden ensimmäisellä neljänneksellä tietoa tietoturvan parhaista käytänteitä ja vaatimuksista. Silti Candelin painottaa myös, että tieto- ja kyberturvassa ei ole kyse vain siitä, että yritykset osaavat tulkita lakipykälien vähimmäistason.
Candelin peräänkuuluttaa nyt laajaa keskustelua yritysten tieto- ja kyberturvan merkityksestä osana Suomen kokonaisturvallisuutta. Varsinkin kun merkittävä osa Suomen kriittisestä infrasta on yksityisessä omistuksessa. ”Nyt viimeistään on yritysten herättävä uusiin uhkiin. Kyse ei ole vain suoraan huoltovarmuuskriittisestä toiminnasta vastaavista yhtiöistä, vaan jatkossa esimerkiksi valmistavassa teollisuudessa alihankintaketjun yritykset ovat uuden sääntelyn piirissä’’, taustoittaa asian merkitystä FISC:n hallituksen puheenjohtaja Niko Candelin.
Lisää: EU NIS2-tietoa (LINKKI) ja FISC (LINKKI).
Kuvituskuva: Shutterstock