EU:n kyberturvallisuus-direktiivi NIS2.0 – Mikä se on ja miten sinun tulisi toimia?
Johdanto
NIS2.0, uusi EU:n laajuinen kyberturvallisuusdirektiivi, on tulossa vuonna 2024. Tässä blogikirjoituksessa kerromme mikä se on, miksi ja miten sinun tulisi toimia ja mitkä ovat Microsoftin ratkaisut NIS2-vaatimusten noudattamiseen. Määräaika tulee vastaan 17. lokakuuta 2024.
Mitä NIS2 tarkoittaa minulle?
Kaksi pääaluetta, joilla NIS2 vaikuttaa, ovat:
Kyberturvallisuusriskien hallintatoimenpiteet
Vaaratilanteista ilmoittamista koskevat velvoitteet
Yhteenveto C-tason johdolle
NIS2.0 on EU:n uusi verkko- ja tietoturvadirektiivi, jonka tavoitteena on parantaa kriittisten toimialojen ja keskeisten palveluiden häiriönsietokykyä ja valmiutta kyberuhkia vastaan. Se tulee voimaan lokakuussa 2024 ja koskee organisaatioita, joissa on yli 250 henkilöä. NIS2 koskee organisaatiota joko:
a) suoraan jos organisaationne toimii direktiivin määrittämällä alalla, tai
b) jos asiakkaanne kuuluu organisaatioihin, joita NIS2 koskee. Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat ovat mukana direktiivissä.
NIS2-direktiivissä edellytetään, että organisaatiot noudattavat tiettyjä standardeja ja velvoitteita, kuten poikkeamista ilmoittamista, riskinarviointien tekemistä, turvatoimien toteuttamista ja yhteistyötä kansallisten viranomaisten kanssa.
Jos työskentelet C-tason johdossa, sinun on oltava tietoinen NIS2.0:n vaikutuksista organisaatioosi ja asiakkaisiisi. Sinun on varmistettava, että IT-järjestelmäsi, prosessisi ja henkilöstösi turvamenettelyt ovat uusien vaatimusten mukaisia ja että sinulla on selkeä strategia ja toimintasuunnitelma vaatimustenmukaisuuden saavuttamiseksi. Sinun on myös kommunikoitava asiakkaidesi kanssa NIS2.0:n eduista ja siitä, miten se parantaa heidän turvallisuuttaan ja luottamustaan palveluihisi.
NIS2:lla on merkittävä vaikutus liiketoimintaan, maineeseen ja kilpailukykyyn. NIS2 edellyttää, että yritykset investoivat enemmän kyberturvallisuuteen, noudattavat uusia sääntöjä ja standardeja ja tekevät yhteistyötä kansallisten viranomaisten ja muiden sidosryhmien kanssa.
Jos näin ei tehdä, seurauksena voi olla sakkoja, jotka voivat olla jopa 10 prosenttia vuotuisesta liikevaihdosta, maineen vahingoittumista ja asiakkaiden luottamuksen menettämistä. Toisaalta NIS2:n noudattaminen voi myös tuoda etuja, kuten parempaa resilienssiä, innovaatioita ja markkinamahdollisuuksia.
NIS2 ei ole vain haaste, vaan myös mahdollisuus johdolle osoittaa johtajuutensa ja sitoutumisensa kyberturvallisuuteen.
Sukelletaan syvemmälle: Mikä NIS2.0 on ja mitkä ovat tärkeimmät muutokset?
Lähdetään sitten tutustumaan aiheeseen pintaa syvemmälle. NIS2 on uusi eurooppalainen kyberturvallisuusdirektiivi, joka korvaa nykyisen verkko- ja tietoturvadirektiivin (NIS1-direktiivin) lokakuussa 2024. NIS2 laajentaa aiemman NIS1-direktiivin soveltamisalaa.
NIS2 on tähän mennessä kattavin EU:n kyberturvallisuuslainsäädäntö, joka kattaa 15 alaa, mukaan lukien uudet alat, kuten valmistusteollisuus ja tutkimus. Direktiivi sisältää keskikokoisia yrityksiä, jotka on määritelty kuuluvaksi kriittiseen infrastruktuuriin.
Kenelle?
Keskeiset alat:
Energia
Kuljetus
Pankkitoiminta
Rahoitusmarkkinoiden infrastruktuuri
Terveysala
Juomavesi
Jätevesi
Digitaalinen infrastruktuuri
IT-palveluiden hallinta
Julkishallinto
Avaruus
Tärkeät alat:
Posti- ja kuriiripalvelut
Jätehuolto
Kemikaalit
Ruoka
Lääkinnällisten laitteiden valmistus
Digitaaliset palveluntarjoajat
Tutkimusorganisaatiot
Direktiivin tarkoituksena on vahvistaa digitaalisten palveluiden- ja keskeisten palvelujen tarjoajia koskevien vähimmäisturvatoimenpiteiden perustasoja, lieventää kyberhyökkäysten riskiä ja parantaa kyberturvallisuuden yleistä tasoa EU:ssa.
Tärkeimmät muutokset NIS1-direktiivistä NIS2-direktiiviin
NIS2 asettaa vähimmäistoimenpiteiden vertailupisteen:
Yritysten on ryhdyttävä toimiin kyberturvallisuuden tilan parantamiseksi. Näitä ovat riskinarviointien tekeminen, monivaiheisen todennuksen toteuttaminen sekä suunnitelmat tapahtumiin reagoimiseksi ja toimitusketjun turvaamiseksi.NIS2 tiukentaa täytäntöönpanoa:
Tehostetaan toimenpiteitä ja seuraamuksia direktiivin noudattamatta jättämisestä sekä tiukennetaan kansallisten viranomaisten valvontatoimenpiteitä.NIS2 luo puitteet haavoittuvuuksien koordinoidulle julkistamiselle ja perustetaan EU:n haavoittuvuusrekisteri, jota ylläpitää Euroopan unionin kyberturvallisuusvirasto ENISA.
NIS2 tehostaa myös yhteistyötä ja tiedon jakamista jäsenvaltioiden ja niiden viranomaisten välillä, myös kyberkriisinhallinnan osalta.
NIS2:n noudattamiseksi sinun on suoritettava seuraavat vaiheet:
Tunnista NIS2-direktiivin mukainen roolisi ja velvollisuutesi. Roolistasi riippuen sinulla on erilaisia vastuita ja vaatimuksia.
Arvioi kyberturvallisuutesi nykyinen taso ja tunnista mahdolliset aukot tai heikkoudet. Sinun on noudatettava turvallisuutta ja resilienssiä koskevia yhteisiä standardeja ja suuntaviivoja, jotka ENISA ja Euroopan komissio laativat.
Ota käyttöön asianmukaiset turvatoimet ja käytännöt järjestelmien ja tietojen suojaamiseksi kyberuhilta. Sinun on omaksuttava riskiperusteinen lähestymistapa ja varmistettava, että turvatoimet ovat oikeassa suhteessa kohtaamaasi riskitasoon nähden.
Raportoi huomattavista tai merkittävistä poikkeamista kansallisille viranomaisille ja ENISAlle. Sinun on noudatettava vaaratilanteista ilmoittamista koskevaa yhdenmukaistettua kehystä, jossa määritetään raportoinnin kynnysarvot, muodot ja menettelyt.
Tee yhteistyötä kansallisten viranomaisten ja muiden sidosryhmien kanssa. Sinun on osallistuttava kansallisten viranomaisten säännöllisiin auditointeihin ja tarkastuksiin sekä jaettava tietoja ja parhaita käytäntöjä muiden alan toimijoiden kanssa tai eri alojen kesken.
Lisätietoja kyberturvallisuusriskien hallintatoimenpiteistä ja poikkeamien raportoinnista
Kyberturvallisuusriskien hallintatoimenpiteet
NIS 2 soveltaa riskiperusteista, tuloskeskeistä lähestymistapaa toimenpiteisiin, joilla puututaan:
riskianalyysi ja tietojärjestelmien turvallisuusperiaatteet;
poikkeamien käsittely;
toiminnan jatkuvuus ja kriisinhallinta;
toimitusketjun turvaaminen;
verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja paljastaminen;
toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
kyberturvallisuutta koskeva perushygienia ja koulutus;
salaustekniikkaa ja enkryptausta koskevat toimintaperiaatteet ja menettelyt;
henkilöstöön liittyvä turvallisuus, mukaan lukien kulunvalvontaperiaatteet ja omaisuudenhallinta; ja
MFA:n (Zero Trust -suojausmalli) ja muiden teknisten valvontatoimien käyttö.
Tietoturvailmoituksen tekemistä koskevat velvoitteet
Raportoitava ”poikkeamista, joilla on merkittävä vaikutus palvelujen tarjoamiseen” = jotka aiheuttavat vakavia toiminnallisia häiriöitä palveluun tai taloudellisia menetyksiä; vaikuttavat muihin henkilöihin aiheuttamalla huomattavia aineellisia tai aineettomia vahinkoja.
annettava asianomaiselle viranomaiselle ennakkovaroitus 24 tunnin kuluessa.
toimitettava viipymättä lieventämistä ja ehkäisemistä koskevat tiedot.
toimitettava poikkeamailmoitus 72 tunnin kuluessa (arviointi, vakavuus, kompromissin indikaattorit).
antaa sääntelyviranomaisen pyynnöstä väliraportteja.
kuukauden kuluessa siitä, kun on saanut alustavan tiedon, on toimitettava joko loppuraportti tai edistymisraportti. Kuukausittain on lähetettävä uusi edistymisraportti, kunnes lopullinen raportti on saatu.
Microsoftin ratkaisut NIS2-vaatimusten täyttämiseksi
Riskien arviointi:
Microsoft 365 Compliance Managerin ja Microsoft Defender for Cloudin avulla voit arvioida riskejä ja noudattaa säädöksiä. Microsoft 365 Compliance Manager tarjoaa jo arviointimalleja, joissa on yksityiskohtaisia suosituksia NIS1-direktiiviä varten. NIS2-arviointimallit toimitetaan pian.
Salauksen käyttö:
Hyödynnä Microsoft Azure Key Vaultia ja Microsoft Defender for Cloudia turvalliseen avainten hallintaan ja salaukseen.
Järjestelmien hankinnan turvallisuus:
Käytä Microsoft Intune and Microsoft Defender for Endpoint laitteiden hallintaan ja suojauksen hallinnan varmistamiseen.
Työntekijöiden turvamenettelyt:
Pääsy arkaluonteisiin tai tärkeisiin tietoihin: Ota käyttöön käyttäjätietojen ja käyttöoikeuksien hallintaratkaisut, kuten Entra ID (ent. Azure Active Directory) ja Privileged Identity Management, jotta voit hallita arkaluonteisten tietojen käyttöä.
Microsoft Information Protection, mukaan lukien Data Loss Prevention, voi auttaa suojaamaan tietoja ja rajoittamaan niiden käyttöä. Lisäksi Microsoft Insider Risk Management voi auttaa havaitsemaan sisäpiiriläisten riskialtista käyttäytymistä ja seuraamaan sitä.
Monivaiheinen todennus:
Entra ID Multi Factor Authentication -todennuksen avulla voit lisätä uuden suojauskerroksen käyttäjien kirjautumisiin.
Käytännöt ja menettelyt:
Suojaustoimenpiteiden tehokkuuden arviointi: Microsoft Defender -ohjelmistopaketin ja Microsoft Sentinelin avulla voit valvoa ja havaita tietoturvauhkia reaaliajassa.
Suunnitelma tietoturvapoikkeamien käsittelemiseksi:
Microsoft Information Protection, mukaan lukien Data Loss Prevention ja Microsoft Insider Risk Management, tarjoavat omat hälytysten ja tapahtumien hallintanäkymänsä.
Kyberturvallisuuskoulutus ja tietokoneen perushygienian käytännöt:
Hyödynnä Microsoft 365 Learn -oppimispolkuja ja Microsoft Defender for Office 365:tä kouluttaaksesi työntekijöitäsi kyberturvallisuuden parhaista käytännöistä.
Voimme tietysti auttaa sinua tässäkin! IT-henkilöstön ja loppukäyttäjien tietoturva- ja tiedon suojausosaamisen varmistamiseksi Context& tarjoaa laajan valikoiman koulutusmahdollisuuksia. Tarjoamme laajan valikoiman kursseja englanniksi ja suomeksi, sekä Microsoftin virallisia kursseja että omiamme. Tutustu lisää artikkelin lopussa.
Suunnitelma liiketoiminnan johtamisesta tietoturvatapahtuman aikana ja sen jälkeen:
Microsoft Azure Site Recovery and Backupin avulla voit varmistaa liiketoiminnan jatkuvuuden tietoturvatapahtuman sattuessa.
Toimitusketjujen turvallisuus sekä yrityksen ja suoran toimittajan välinen suhde:
Microsoft Defender for Endpointin avulla voit suojata laitteesi ja verkkosi toimitusketjuun kohdistetuilta hyökkäyksiltä.
NIS2-tavoitteet ja Microsoft-tuotteet
