Jokaisella organisaatiolla on oma tärkeä roolinsa yhteiskunnan kyberturvallisuuden varmistamisessa. Syksyllä 2024 astuu voimaan uusi kansallinen kyberturvallisuuslaki, jolla Suomessa pannaan täytäntöön EU:n uudistettu kyberturvallisuusdirektiivi (NIS2). Tämän myötä yritysten on kyettävä vastaamaan entistä paremmin moderneihin kyberuhkiin.

Euroopan unionin aiempi verkko- ja tietoturvadirektiivi (ns. NIS-direktiivi) sääti tietoturvavelvoitteista ja häiriöraportoinnista tietyillä kriittisillä sektoreilla. Kyberuhat muuttuvat kuitenkin jatkuvasti, ja Euroopan komissio on jo tovi sitten todennut, että aika on ajanut nykyisten vaatimusten ohi.

Uuden kyberturvallisuusdirektiivin (NIS2) tavoitteena on kyberturvallisuuden vähimmäistason varmistaminen yhä laajemmin yhteiskunnan eri kriittisten sektoreiden osalta. Suomessa direktiivi toimeenpannaan pääsääntöisesti uudella kansallisella kyberturvallisuuslailla sekä tiedonhallintalain muutoksella.

Tutustu direktiivin vaatimiin vähimmäistoimenpiteisiin kyberturvallisuusriskien hallinnassa

Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka direktiivin kohteena olevien toimijoiden on toteutettava hallitakseen toimintaansa kohdistuvia kyberturvallisuusriskejä.

"Nyt on hyvä aika tutustua uuden direktiivin asettamiin vaatimuksiin ja arvioida, mitä toimia se edellyttää omalta organisaatiolta", kehottaa Traficomin Kyberturvallisuuskeskuksen päällikkö Miikka Salonen.

Traficomin Kyberturvallisuuskeskuksen verkkosivuille on koottu tietopaketti NIS2-direktiivistä. Sivuilta löydät muun muassa tietoa siitä, mitä organisaatioita direktiivi koskee ja millaisia vaatimuksia se asettaa.

>> NIS2 - Euroopan unionin kyberturvallisuusdirektiivi

Uusi suositus kokoaa yhteen perustason tietoturvakäytännöt

Traficom laatii parhaillaan suositusta NIS2-direktiivin mukaisista kyberturvallisuuden riskienhallinnan toimenpiteistä. Suosituksen tarkoituksena on tukea valvovia viranomaisia ja NIS2-direktiivin kohteena olevia organisaatioita kyberturvallisuusvaatimusten täyttämisessä. Suositusluonnoksessa esitellään myös perustason tietoturvakäytännöt, jotka kuvaavat millaisilla toimilla organisaatio voi suojautua yleisimmiltä kyberuhilta, kuten tietomurroilta tai kiristyshaittaohjelmilta.

"Perustason tietoturvakäytäntöjä seuraamalla mikä tahansa organisaatio voi ylläpitää ja kehittää omaa kyberturvallisuuden tasoaan, vaikka ei kuuluisikaan NIS-sääntelyn soveltamisalaan", Salonen kertoo.

Suositus on parhaillaan lausuntokierroksella. Kirjalliset lausunnot suosituksesta pyydetään toimittamaan lausuntopalvelu.fi:n kautta viimeistään 31.5.2024.

>> lausuntopalvelu.fi

Poikkeamista ilmoittamalla autat kokoamaan kyberturvallisuuden kansallista tilannekuvaa

NIS2-direktiivin soveltamisalaan kuuluvan organisaation on ilmoitettava sen palveluun kohdistuvasta merkittävästä tietoturvapoikkeamasta valvovalle viranomaiselle. Traficomin Kyberturvallisuuskeskus valmistelee parhaillaan ilmoituslomaketta, josta tieto välittyy samalla kertaa sekä valvovalle viranomaiselle että Kyberturvallisuuskeskuksen yhteydessä toimivalle tietoturvaloukkauksiin reagoivalle ja niitä tutkivalle CSIRT-yksikölle. Jokainen ilmoitus auttaa rakentamaan kyberturvallisuuden kansallista tilannekuvaa, jota organisaatiot puolestaan voivat hyödyntää kyberuhkiin varautumisessa.

Näin valmistaudut NIS2-direktiivin voimaantuloon

1. Varmista, kuuluuko organisaatiosi NIS2-direktiivin soveltamisalaan.
2. Arvioi organisaatiosi tietoturvariskit ja niiden vaikutus kriittisiin palveluihin. Apuna voit käyttää esimerkiksi Traficomin Kyberturvallisuuskeskuksen Kybermittari-palvelua.
3. Kehitä ja toteuta tietoturvatoimenpiteitä organisaatiosi toiminnan suojaamiseksi.
4. Tarkastele ja tarvittaessa kehitä organisaatiosi poikkeamailmoitusprosesseja, joiden avulla ilmoitat toimintaan kohdistuneista tietoturvapoikkeamista viranomaisille.
5. Seuraa lainvalmistelun etenemistä.