EU:n päivitetty verkko- ja tietoturvadirektiivi (NSI2) on jo voimassa. Se parantaa merkittävästi olennaisten palveluiden ja kriittisen infrastruktuurin sektorien kyberturvallisuusvelvoitteita. Varmista, että organisaatiosi pysyy turvassa, vastustuskykyisenä sekä kehittyvien kyberturvallisuusasetusten vaatimusten mukaisena nykypäivän yhä linkittyvämmässä digiympäristössä.
Verkko- ja tietoturvadirektiivi 2 (NIS2) on EU-direktiivi, joka parantaa olennaisten palveluiden ja kriittisen infrastruktuurin kyberturvallisuutta. Se laajentaa alkuperäisen NIS-direktiivin soveltamisalaa ja edellyttää esimerkiksi energia-, terveydenhoito- ja taloussektoreita hallitsemaan ja lieventämään kyberriskejä.
NIS2-direktiivissä säädetään tehokkaammista suojaustoimenpiteistä, tapahtumiin reagoimista koskevista protokollista ja yhteistyöstä kansallisten viranomaisten kanssa. Niiden avulla varmistetaan resilienssi kyberhyökkäyksiä vastaan ja suojataan kriittiset toiminnot eri aloilla.
EU:n NIS2-direktiivin vaatimustenmukaisuusmaiseman tutkiminen herättää useita kriittisiä kysymyksiä:
Mitkä ovat NIS2-direktiivin vaatimukset ja miten organisaationi voi noudattaa niitä?
NIS2-direktiivi asettaa merkittävästi tiukemmat kyberturvallisuusvaatimukset erityisesti kriittisen infrastruktuurin toimijoille. Siinä säädetään tiukemmista suojaustoimenpiteistä ja velvoitteesta ilmoittaa kyberturvallisuustapahtumista 24 tunnin kuluessa niiden havaitsemisesta, mikä tekee nopeasta ja tehokkaasta reagoinnista olennaisen tärkeää. Näin voit valmistautua:
Vahvista salaustekniikkaa ja salausta
NIS2-direktivi korostaa salausmenetelmien käyttöä arkaluonteisten tietojen suojaamisessa. Tähän kuuluu kriittisten tietojen salaaminen tallennuksen ja siirron aikana alan standardien mukaisesti.
Ota käyttöön vahvat todennusmenetelmät
Organisaatioiden on otettava käyttöön kattavat todennusprosessit, jotta ne voivat noudattaa NIS2-direktiivin tiukempia tietoturvavaatimuksia. Näin varmistetaan, että vain valtuutetut käyttäjät pääsevät käsiksi arkaluonteisiin järjestelmiin ja tietoihin.
Suorita säännöllisiä riskinarviointeja, tarkastuksia ja tietoturvasuunnitelmia
NIS2-direktiivi vaatii organisaatioita hallitsemaan ja lieventämään riskejä ennakoivasti johdonmukaisten arviointien, tietoturvatarkastuksien ja ajantasaisten tietoturvasuunnitelmien ylläpidon avulla.
Vältä noudattamatta jättämisestä aiheutuvat seuraamukse
NIS2-direktiivin vaatimusten noudattamatta jättäminen voi johtaa vakaviin taloudellisiin seuraamuksiin ja mainevahinkoihin. Organisaatioiden on pyrittävä täyttämään standardien vaatimukset ennakoivasti välttääkseen nämä seuraamukset.
NIS2-vaatimustenmukaisuutta koskevien vaatimusten noudattaminen organisaatiossasi
Organisaatiosi tulisi noudattaa seuraavia ohjeita NIS2-vaatimustenmukaisuuden saavuttamiseksi:
Arvioi riskit ja kehitä suunnitelmat
Tee IT- ja tietojärjestelmien kattava arviointi, jotta tunnistat haavoittuvuudet. Kehitä tehokkaat riskienhallintasuunnitelmat toiminnan jatkuvuuden ja katastrofeista palautumisen varmistamiseksi, jotta varmistat tehokkaan reagoinnin potentiaalisiin uhkiin.
Kouluta työntekijät
Turvallisuustietoisen yrityskulttuurin edistäminen edellyttää työntekijöiden kouluttamista kyberturvallisuuden parhaista käytännöistä ja NIS2-vaatimustenmukaisuudesta. Kehitä työntekijöiden tietoutta tarjoamalla asianmukaisia kursseja. Lisätietoja on NAVEXin vaatimustenmukaisuuskoulutuksen sivulla.
Kyberturvallisuustietoisuuden koulutus: Säännölliset tilaisuudet, joissa tunnistetaan uhkat ja turvalliset toimintatavat.
NIS2-vaatimustenmukaisuuskoulutus: NIS2-vaatimustenmukaisuuteen keskittyvät kurssit.
Hallinnoi tapauksia ja ilmoita niistä
Kehitä tapaustenhallintasuunnitelmia, joiden avulla voit reagoida kyberturvallisuustapauksiin ja potentiaalisiin hyökkäyksiin. Kannusta työntekijöitä ilmoittamaan tapauksista mahdollistamalla selkeät prosessit, kuten ilmoitusprotokollat, määräajat ja sisältövaatimukset.
Turvalliset toimitusketjut
Arvioi ja käsittele kyberuhkia toimitusketjujen ja toimittajasuhteiden kautta. Tee yhteistyötä toimittajien kanssa ja varmista, että he noudattavat vahvoja kyberturvallisuuskäytäntöjä, jotka vähentävät kolmansien osapuolten haavoittuvuuksiin liittyviä riskejä.
Suorita säännöllisesti sisäisiä tarkastuksia ja korjaa ongelmat
Järjestä säännöllisiä sisäisiä tarkastuksia, joiden avulla varmistat NIS2-vaatimustenmukaisuuden ja riskienhallintasuunnitelmien olennaisuuden. Toteuta korjaavat toimenpiteet viipymättä havaituille ongelmille tietoturvan parantamiseksi.
Tiimisi tulisi olla ylpeä voidessaan työskennellä yrityksessä, joka arvostaa oikeudellisia ja eettisiä standardeja. NAVEX Onen avulla tarjoat organisaatiollesi ja työntekijöillesi kaikki tarvittavat työkalut vaatimustenmukaisuuden varmistamiseen ja näiden kriittisten periaatteiden ylläpitämiseen.
Hallitse politiikkojen ja dokumenttien koko elinkaarta keskitetysti.
Lue lisää
Varmista säännösten noudattaminen, sitouta henkilöstösi ja rakenna luottamusta maineeseesi NAVEX-ratkaisuilla.
Lue lisää
Kouluta ja sitouta henkilöstösi verkkokoulutuksilla, jotka ovat saatavissa eri kielillä ja yrityksenne näköisellä kustomoinnilla.
Lue lisää
Tunnista helposti kolmannet osapuolet, jotka jakavat visiosi ja turvaa arvokkaimmat kumppanuutesi NAVEX One -ratkaisulla.
Lue lisää
Nopea käyttöönotto – NAVEX IRM on nopea ja valmis ratkaisu kolmansien osapuolten riskienhallintaan.
Lue lisää
Euroopan unioni hyväksyi NIS2-direktiivin muodollisesti joulukuussa 2020, ja EU-maat ovat implementoimassa sitä parhaillaan osaksi kansallisia lakeja. Organisaatioiden tulee valvoa oman maansa viranomaisten toimeenpanoaikajanaa ja valmistautua vaatimustenmukaisuuden täyttämiseen määräajan lähestyessä.
NIS2-vaatimustenmukaisuutta vaaditaan keskisuurilta ja suurilta yrityksiltä, jotka toimivat kriittisillä infrastruktuurisektoreilla, kuten energia-alalla, kuljetuksessa, terveydenhuollossa ja digitaalisissa palveluissa. EU:ssa toimivien tai EU:n markkinoille palveluita toimittavien yritysten on myös noudatettava direktiiviä koosta riippumatta, mukaan lukien uudet alat, kuten elintarvikehuolto ja avaruuspalvelut.
NIS2-direktiivin vaatimustenmukaisuuden noudattamatta jättämisestä määrättäviä seuraamuksia voivat olla huomattavat sakot, jotka lasketaan yleensä prosenttiosuutena yrityksen vuosituloista ja jotka voivat nousta miljooniin euroihin. Lisäksi organisaatioille voi aiheutua mainehaittoja ja toimintarajoituksia.
NIS2 laajentaa alkuperäistä NIS1-direktiiviä sisällyttämällä laajemman alueen olennaisia palveluita, esittelemällä tiukemmat tietoturvavaatimukset ja tehostamalla tapausten ilmoittamisvelvoitetta.
NIST (National Institute of Standards and Technology) keskittyy kyberturvallisuusstandardien ja ohjeiden kehittämiseen ensisijaisesti Yhdysvaltojen liittovaltion viranomaisille ja urakoitsijoille, kun taas NIS2 on EU:n direktiivi, jossa säädetään tietyistä kyberturvallisuustoimenpiteistä jäsenmaiden olennaisten palvelujen osalta. Lue lisää NIST-vaatimustenmukaisuudesta.
NIS2 keskittyy ensisijaisesti kyberturvallisuusvaatimuksiin olennaisille ja kriittisille entiteeteille eri aloilla, kun taas DORA (Digital Operational Resilience Act) keskittyy erityisesti finanssialan uhkiin ja korostaa häiriönsietokykyä digitaalisten uhkien yhteydessä. Lue lisää DORA-vaatimustenmukaisuudesta.
NIS2-direktiivissä säädetään, että organisaatioilla on oltava poikkeustilanteisiin vastaamisen suunnitelmat, jotka sisältävät selkeät toimintatavat poikkeustilanteiden havaitsemista, niistä raportointia ja niihin reagointia varten. Organisaatioiden on myös ilmoitettava merkittävistä poikkeustilanteista asianmukaisille viranomaisille 24 tunnin kuluessa havaitsemisesta.
Organisaatioiden on arvioitava ja hallittava verkko- ja tietojärjestelmien riskejä, toteutettava tarvittavat suojaustoimenpiteet, ilmoitettava häiriöistä ja osallistuttava kyberturvallisuuskoulutukseen. Vaatimustenmukaisuuteen kuuluvat myös säännölliset tarkastukset ja riskinarvioinnit, joiden avulla varmistetaan vaatimusten jatkuva noudattaminen.
Yhdysvaltojen vastine NIS2:lle ovat viitekehykset, kuten CISA:n (Cybersecurity and Infrastructure Security Agency) ohjeet ja sektorikohtaiset säännökset, kuten NIST Cybersecurity Framework, jonka tavoitteena on parantaa kyberturvallisuutta kriittisen infrastruktuurin sektoreilla. Saat lisätietoja muista resursseista.