Uusi NIS2-direktiivi (Directive of Security of Network and Information Systems) on paranneltu ja paremmin nykyisen kyberympäristön haasteet huomioiva versio alkuperäisestä NIS-direktiivistä. NIS2 terävöittää suojautumisen vähimmäisvaatimukset entistä korkeammalle tasolle ja kattaa kriittisten toimialojen lisäksi uusia sektoreita, julkisia organisaatioita ja yli 50 työntekijän yrityksiä. 

NIS-direktiivi otettiin käyttöön EU-tasolla jo 2016 ja se on ollut osana Suomen lainsäädäntöä vuodesta 2018 lähtien. NIS-direktiivin tarkoitus on ollut parantaa EU-jäsenmaiden kyberturvallisuutta. Käytännössä tavoitetta lähestyttiin asettamalla kriittisten toimialojen organisaatioille yhteinen kyberturvallisuuden vähimmäistaso. Nyt NIS2 tiukentaa näitä vaatimuksia ja laajentaa merkittävästi niiden kohteena olevien organisaatioiden määrää. NIS2-direktiivi hyväksyttiin EU-tasolla 16.1.2023 ja se tulee saattaa osaksi kansallista lainsäädäntöä 16.10.2024 mennessä, jolloin se terävöittää suojautumisen vähimmäisvaatimukset entistä korkeammalle tasolle.

Kyberhyökkäysten kasvun ja digitalisoitumisen laajenemisen aikakautena NIS2 pyrkii varmistamaan jäsenmaiden kollektiivisen tietoturvan parantamisen sekä yhteisen pohjatason minimivelvoitteineen. Direktiivillä myös perustetaan täysin reaaliajassa toimiva EU:n kyberturvallisuusoperaatiokeskus (SOC), jonka tehtävänä on raportoida ja välittää tietoa EU-maiden kriittisistä infrastruktuureista.

Tällä asetuksella EU-parlamentti haluaa lisätä tietoisuutta ja terävöittää velvoitteita sekä vahvistaa riskienhallinnan, raportoinnin ja tiedonvaihdon minimivelvoitteita. Vaatimukset kattavat muun muassa reagointisuunnitelman ja toiminnan jatkuvuusvalmistelun, toimitusketjun turvallisuuden, poikkeamanhallintamenetelmän, salauksen ja haavoittuvuuksien paljastamisen.

Tavoite: vähentää menetyksiä vuosittain 11,3 miljardia euroa

NIS2:n tavoitteena on kyberturvallisuuden tason nostaminen Euroopassa ja vähentää kyberrikollisuuden menetyksiä 11,3 miljardilla eurolla vuosittain. Jotta tavoite toteutuisi, kyberturvallisuuden torjumisen kokonaisbudjettia on nostettava arviolta 22 prosenttia uusien velvoiteorganisaatioiden osalta ja 12 prosenttia jo vuoden 2016 julkaistun direktiivin alaisten organisaatioiden alla. 

Direktiivin voimaantulon jälkeen asianomaisten organisaatioiden on turvattava verkko- ja tietojärjestelmät asianmukaisilla toimenpiteillä ja raportoitava tapauksista, jotka vaikuttavat merkittävästi palveluiden jatkuvuuteen. 

NIS2 parantaa edelleen niin julkisen kuin yksityisen sektorin kyberturvallisuutta asettamalla minimivaatimukset suojautumiselle, ja säännöt oikeussuojakeinoille ja seuraamuksille sekä vahvistamalla turvallisuus- ja raportointivaatimuksia.

NIS2:n myötä otetaan käyttöön yhdenmukaistettuja seuraamuksia koko EU:ssa. Nämä sisältävät muun muassa sakot ja muut seuraamukset kyberturvallisuuden käytäntöjen turvallisuustoimenpiteiden noudattamatta jättämisestä. Organisaatioiden toimitusjohtajat ovat henkilökohtaisesti vastuussa toimenpiteiden noudattamisesta. Laki sisältää lisäksi tiukennetun viranomaisvalvonnan ja tarkat täytäntöönpanovaatimukset.

Kenen täytyy täyttää NIS2:n vaatimukset?

Uusi direktiivi laajentaa NIS1:n velvoittamien “kriittisten toimialojen” joukkoa lisäämällä vähimmäisvaatimusten täyttämiseen velvoitetuiksi myös “tärkeiden toimialojen” organisaatioita. 

Kriittiset toimialat: 

  • Energia
  • Kuljetus
  • Pankki- ja finanssimarkkinat
  • Terveydenhuolto
  • Juomavesi ja 
  • Jätevesi 
  • Digitaalinen infrastruktuuri 
  • ICT-palveluiden hallinta
  • Julkishallinto
  • Avaruusteollisuus

Tärkeät toimialat

  • Posti- ja muut kuljetuspalvelut
  • Jätehuolto
  • Valmistava teollisuus
  • Kemianteollisuus ja –jakelu
  • Ruoantuotanto, -prosessointi ja –jakelu
  • Digitaaliset palvelut ja niiden tuotanto
  • Tutkimuslaitokset

Julkisten organisaatioiden lisäksi yritykset, joissa on yli 250 työntekijää kuuluvat automaattisesti NIS2:n piiriin riippumatta liikevaihdosta. Myös yritykset joissa on yli 50 työntekijää, ja joiden vuotuinen liikevaihto tai vuositase on yli 10 milj. euroa sovelletaan NIS2:ta. Myös pieniä kriittistä palvelua tarjoavia yrityksiä voivat viranomaiset velvoittaa täyttämään NIS2:n vaatimukset. Uuteen direktiiviin kannattaa tutustua jo nyt, sillä uudet vaatimukset otetaan käyttöön 27 kuukauden kuluttua NIS2-direktiivin voimaantulosta.

Gartner: 30% kriittisen infrastruktuurin organisaatioista kokee tietoturvaloukkauksen vuoteen 2025 mennessä

Gartner ennusti vuosi sitten, että 30% kriittisen infrastruktuurin organisaatioista kokee tietoturvaloukkauksen vuoteen 2025 mennessä – viimeisimpien tutkimusten mukaan ennuste jopa ylittyy. 

Viimeaikaisen kyberrikollisuuden kehityksen ja digitalisoinnin kasvun myötä infrastruktuurin turvallisuudesta on tullut ensisijainen huolenaihe hallituksille ympäri maailmaa. Joissakin maissa infra on valtion omistamaa, kun taas toisissa yksityisten yritysten hallinnassa. 

Huolestuttavan ennusteen mukaan rikolliset ja muut toimijat suunnittelevat toimenpiteitä, jotka myös vahingoittavat ja tappavat ihmisiä. Kriittisten organisaatioiden turvallisuus- ja riskienhallinnasta vastaavien henkilöiden tulisi huomioida tämä, ja kehittää verkkojen sekä järjestelmien turvallisuutta ja tietojen suojaamista kokonaisvaltaisesti.

NIS2-direktiivin tavoitteena on asetettujen velvoitteiden myötä parantaa verkkojen ja tietojärjestelmien turvallisuutta kaikkialla Euroopan unionissa.

Tänä päivänä joka kolmas tietoturvaloukkaus tulee organisaation sisältä – se jää usein huomioimatta tietoturvaa kehitettäessä

Tutkimusten mukaan joka kolmanteen tietoturvaloukkaukseen liittyy organisaatioiden sisäisiä käyttäjiä, tai heidän tunnuksiaan. Sisäisiä uhkia muodostavat työntekijät, alihankkijat, harjoittelijat, konsultit, ja kaikki kolmannet osapuolet, joilla on pääsy järjestelmiin. Uhat eivät aina synny tahallisesti, vaan käyttäjät voivat olla huolimattomia, jättää istuntoja auki, tehdä virheitä ja sitä kautta aiheuttaa riskejä. 

Organisaation sisällä tapahtuvista tietoturvaloukkauksista 64% on juuri huolimattomuudesta johtuvia, kun taas 23% liittyy rikolliseen toimintaan ja 13% käyttäjän tunnistetietojen väärinkäyttöön.

Organisaatioiden sisältä tulevat tietoturvaloukkaukset huomataan keskimäärin vasta 73 päivän kuluttua tapahtuneesta ja vain 16% tapauksista saadaan selville 30 päivän sisällä. Näin pitkän ajan kuluessa, loukkauksesta aiheutuvat vahingot voivat kasvaa suuriksi ja asettaa organisaatiot alttiiksi myös mittaville talous- ja maineriskeille. 

Organisaation sisäiset tietoturvaloukkaukset maksavat vuosittain miljoonia.

Rikolliseen toimintaan liittyvät tietoturvaloukkaukset saavat huomiota, ja niistä aiheutuvat kulut ovat suuria. Yleensä huomiotta jäävät käyttäjien toiminnasta aiheutuvat kulut ovat kuitenkin tutkimusten mukaan vielä suurempia. Yhdysvaltalaisen tutkimuksen mukaan huolimattomuuksista aiheutuneet kulut olivat organisaatioissa keskimäärin 3,5 milj €, rikollisen toiminnan 2,8 mijl € ja käyttäjätietojen väärinkäytön 1,8 milj €. 

Luottamuksellisen tiedon väärinkäyttöyritysten havaitsemiseksi ja estämiseksi tarvitaan käyttö- ja tietoturvatapahtumien hallintaratkaisu, joka automaattisesti havaitsee poikkeavan ja luvattoman käyttäytymisen.

Käyttövaltuushallinta on tietoturvan ytimessä

Käyttövaltuushallinnan (identiteettien mastertiedon hallinta, käyttövaltuuksien hallinta, pääsynhallinta sekä turvallisuus- ja käyttötietojen valvonta) kokonaisuus on keskeinen organisaatioiden tietoturvaa ja tietosuojaa rakennettaessa. NIS2-direktiivi edellyttää, että muun muassa käyttäjien tunnistaminen, käyttövaltuuksien hallinta, käyttäjien tunnistautuminen, kriittisten tietojen suojaaminen ja tietoturva-/käyttötapahtumien seuranta sekä raportointi ovat kunnossa. Lue lisää käyttövaltuushallinnan kokonaisuudesta.

Käyttövaltuushallintaa ja tietoturvaa ei voi kehittää kuin tilkkutäkkiä – pitää olla hyvin selvillä nykytila ja tavoitetila, jotta kehittämisen lopputuloksena on helppokäyttöinen ja tietoturvallinen ratkaisu.

Onko organisaatiossasi käyttövaltuushallinnan tilannekuva selvillä? Vaikka tietoturvaa ja käyttövaltuushallintaa olisikin systemaattisesti kehitetty, niin aika-ajoin kannattaa selvittää nykytilan tilannekuva. Toimintaympäristö ja vaatimukset (kuten nyt NIS2-direktiivi) myös koko ajan elävät, joten tavoitetilan päivittäminen on välillä tarpeen. Kun nykytila ja tavoitetila ovat selvillä, niin kehittäminen on helpompaa. Lue tilannekuvapalvelustamme, ja ole yhteydessä. Annamme mielellämme käyttöönne koko asiantuntemuksemme tilannekuvan selvityksessä ja turvallisen sekä helppokäyttöisen käyttövaltuushallinnan kehittämisessä.