Euroopan unionin uusi NIS2-kyberturvallisuusdirektiivi tulee käyttöön ja tuonee yhdenmukaiset puitteet kaikkialle Eurooppaan. Uuden direktiivin noudattamiseen tietoturvayhtiö Check Point on laatinut yrityksille 10 kohdan ohjeiston direktiivin noudattamiseksi.

Yli eurooppalaisen 160 000 yrityksen ja laitoksen tulee noudattaa NIS2:n vaatimuksia  27 EU:n jäsenvaltiossa lokakuuhun 2024 mennessä. Samalla myös jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään.

Direktiivi vaatii yrityksiä toteuttamaan uudet vaatimukset ja toimittamaan ensimmäisen tarkastuksen vuoden 2028 loppuun mennessä. Vaikka direktiivi ei sisällä konkreettista vähimmäisvaatimusten luetteloa, se vaatii, että yritykset toteuttavat ”asianmukaiset ja suhteelliset tekniset, operatiiviset ja organisatoriset toimenpiteet, jotka vastaavat nykytekniikan tasoa ja soveltuvia standardeja”.

”Vähimmäisvaatimuksia voidaan olettaa olevan esimerkiksi palomuuri- ja tunkeutumisenestoteknologioiden käyttö verkossa, riittävä päätelaitteiden suojaus, monivaiheisen tunnistautumisen käyttöönotto, tiedon salaus ja pääsyn rajoittaminen sekä muut parhaat käytännöt”, kiteyttää tietoturvayhtiö Check Pointin EMEA-alueen johtoon kuuluva Peter Sandkuijl.

Direktiivi on selkeä siinä, että vaatimusten noudattaminen on pystyttävä osoittamaan, eikä tietoisuuden puute ole hyväksyttävä syy laiminlyönnille. NIS2 vaikuttaa erityisesti johtotasoon, sillä direktiivi edellyttää, että yritysten johtohenkilöstö osallistuu kyberturvallisuuskoulutuksiin ja vastaa kyberturvallisuusriskeistä. Lisäksi, jos kyberturvallisuudessa epäonnistutaan, johtajat voivat joutua henkilökohtaisesti vastuuseen kyberturvallisuuspuutteista.

Uuden EU:n NIS2-direktiivin tavoitteena on parantaa ja yhdenmukaistaa merkittävien yritysten ja laitosten kyberturvallisuustoimia.  Esimerkiksi tietoturvayhtiö Check Point Software Technologiesin Suomen ja Baltian maajohtaja Viivi Tynjälä korostaa NIS2:n merkitystä Suomelle. Geopoliittisen tilanteen muutokset Euroopassa ja erityisesti Itämeren alueella ovat tehneet kyberturvallisuudesta entistäkin kriittisemmän kysymyksen.

Lisää: Check Pointin NIS2-tietoa  ja kuvia toteuttamisesta (LINKKI) ja (Infgraafi). Traficomin NIS2-sivusto (LINKKI) ja EU:n NIST2-direktiivi (LINKKI).

Kymmenen hallintatoimenpidettä NIS2-direktiivista

1. Laadi riskianalyysi ja tietojärjestelmien turvallisuutta koskevat politiikat.
2. Suunnittele ja dokumentoi poikkeamien käsittely.
3. Dokumentoi toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta.
4. Varmista toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat.
5. Suunnittele ja dokumentoi verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen.
6. Laadi lista toimintaperiaatteista ja menettelyistä, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.
7. Määrittele ja jalkauta perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus.
8. Tunnista toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä.
9. Varmista henkilöstöturvallisuus, luo pääsynhallintaperiaatteet ja huomioi omaisuudenhallinta.
10. Suunnittele ja jalkauta tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toiminnassa.

Lähde: Check Point ja Euroopan unionin NIS2-direktiivi 2022/2555M (LINKKI)