NIS2-direktiivi on Suomessa toimeenpantu Kyberturvallisuuslailla, joka velvoittaa kriittisillä toimialoilla toimivia organisaatioita hallitsemaan kyberturvallisuusriskejä aiempaa järjestelmällisemmin. Kyse ei ole yksittäisestä teknisestä vaatimuksesta, vaan koko organisaation toimintamallista, jossa riskienhallinta, identiteetinhallinta, pääsynhallinta, toimitusketjun turvallisuus, poikkeamien hallinta ja johdon vastuut muodostavat yhtenäisen kokonaisuuden.
Mitä Kyberturvallisuuslaki edellyttää käytännössä??
Kyberturvallisuuslain tavoitteena on varmistaa, että organisaatio kykenee ehkäisemään kyberuhkia, havaitsemaan poikkeamat nopeasti ja ylläpitämään toimintansa jatkuvuuden myös häiriötilanteissa.
Keskeisiä vaatimuksia ovat esimerkiksi:
- riskienhallinnan ja kyberturvallisuuden johtaminen
- identiteettien ja käyttöoikeuksien hallinta (IAM / IGA)
- vahva tunnistautuminen ja monivaiheinen tunnistautuminen (MFA)
- etuoikeutettujen käyttöoikeuksien hallinta (PAM)
- toimitusketjun kyberturvallisuuden hallinta
- päätelaitteiden ja mobiililaitteiden turvallinen käyttö
- poikkeamien havaitseminen, käsittely ja raportointi
- jatkuvuuden hallinta ja palautumiskyky
- henkilöstön kyberturvallisuus- ja kyberhygieniakoulutus
- johdon vastuut ja vaatimusten osoittaminen auditoinneissa.
Kyberturvallisuus on ennen kaikkea identiteettien hallintaa
Valtaosa nykyaikaisista kyberhyökkäyksistä kohdistuu käyttäjätunnuksiin, käyttöoikeuksiin tai etuoikeutettuihin ylläpitotunnuksiin. Siksi identiteetin- ja pääsynhallinta muodostaa yhden NIS2:n keskeisimmistä osa-alueista.
Hyvin toteutettu IAM-ratkaisu auttaa organisaatiota:
- varmistamaan, että oikeilla henkilöillä on oikeat käyttöoikeudet
- poistamaan tarpeettomat käyttöoikeudet nopeasti
- suojaamaan ylläpitotunnukset väärinkäytöksiltä
- toteuttamaan Zero Trust -periaatteita
- tuottamaan auditointia varten tarvittavat lokit ja raportit
- vähentämään sekä tietoturvariskejä että hallinnollista työtä.
NIS2 ei ole projekti vaan jatkuva toimintamalli
Kyberturvallisuuslain noudattaminen ei tarkoita yhtä käyttöönottoa tai auditointia. Organisaation on kyettävä jatkuvasti arvioimaan riskejään, kehittämään kyberturvallisuuttaan ja osoittamaan vaatimusten täyttyminen myös tulevaisuudessa.
Syvennä osaamistasi
Olemme koonneet NIS2:sta ja Kyberturvallisuuslaista useita asiantuntija-artikkeleita, joissa käsittelemme muun muassa:
- mitä NIS2 tarkoittaa käytännössä
- mitä hyvä kyberhygienia sisältää
- miten NIS2:n edellyttämä kyberhygienia toteutetaan käytännössä
- miten identiteetin- ja pääsynhallinta tukee vaatimusten täyttämistä
- miten vahva tunnistautuminen, PAM ja käyttövaltuushallinta pienentävät kyberriskejä.
Tutustu NIS2-aiheisiin blogiartikkeleihimme:
NIS2-direktiivi - mitä ja kenelle NIS2 direktiivi ja kyberhygienia NIS2 (kyberturvallisuuslaki) käytännössäSeuraa meitä
Haluatko tietää lisää identiteetinhallinnan ja pääsynhallinnan ratkaisuistamme?
Jätä meille viesti, otamme yhteyttä mahdollisimman pian.
