NIS-2 direktiivi astuu voimaan 17.10.24
Selvitä tietoturvasi nykytaso
- Direktiivi korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia.
- Selvitys, joka huomioi toimialan, lähtötason ja liiketoiminnan vaatimukset, tarjoaa selkeän polun vaatimustenmukaisuuden saavuttamiseksi.
- Tilaaja saa kattavan käsityksen toimintaympäristöstään NIS2-vaatimusten suhteen sekä konkreettisen toimintasuunnitelman vaatimusten täyttämiseksi.
- Alkuraportti määrittelee nykytilanteen. Loppuraportti kokoaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi.
- Alkuraportti: 980€
- Selvityksen hinta (alku- & loppuraportti): 2840€ - 4900€
Mitä direktiivin voimaantulo tarkoittaa ja ketä se koskee?
NIS2-direktiivi laajenee
NIS2-direktiivi aktivoituu viimeistään 17.10.24
- NIS2-direktiivi on EU:n laajuinen lainsäädäntö, joka pyrkii yhtenäistämään ja parantamaan kyberturvallisuuden tasoa.
- Direktiivi asettaa vähimmäistoimenpiteet, jotka toimijoiden on toteutettava.
- NIS2 korostaa riskienhallintaa ja tuo uutena vaatimuksena mukaan fyysisen turvallisuuden.
- Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti -tilanteista.
- Keskeisiä toimijoita valvotaan aktiivisesti etukäteen ja tärkeitä toimijoita passiivisesti jälkikäteen.
- Hallinnolliset seuraamukset voivat olla merkittäviä.
- Direktiivin sisällyttäminen kansalliseen lainsäädäntöön on tehtävä viimeistään 17.10.2024.
- KATSO lisätietoja Kyberturvallisuuskeskus / Traficom
Direktiivin 13 osa-aluetta
Riskienhallinta ja järjestelmäturvallisuus
Häiriöiden hallinta ja raportointi
Lokitus ja häiriöiden havaitseminen
Toiminnan jatkuvuus ja varmuuskopiot
Toimitusketjun tietoturva
Turvallinen järjestelmähankinta ja -kehitys
Tietoturvahygienian käytännöt ja koulutus
Tietoturvatoimien tehokkuuden arviointi
Salaus
Henkilöstön tietoturva
Pääsynhallinta
Suojattavan omaisuuden hallinta
Monivaiheinen tunnistaminen (MFA)
Ketkä kuuluvat direktiivin piiriin?
- Direktiivi kattaa automaattisesti kaikki keskisuuret ja suuret yritykset, joiden liikevaihto ylittää 10 miljoonaa euroa ja jotka toimivat kriittisillä toimialoilla.
- Lisäksi direktiivi koskee kaikkia kansallisesti kriittisiksi määriteltyjä toimijoita, koosta riippumatta. Näille toimijoille ilmoitetaan asiasta, ja heidät jaetaan keskeisiin ja tärkeisiin toimijoihin.
Direktiivin piiriin kuuluvat toimijat
Keskeiset toimijat:
- Avaruus, energia, IT-infra, IT-palvelut, julkishallinto, liikenne, finanssi, terveys, vesi.
Tärkeät toimijat:
- Digipalvelut, elintarvikkeet, jätehuolto, kemikaalit, posti, tutkimus, valmistava teollisuus.
KATSO Kyberturvallisuuskeskuksen ylläpitämä Kybermittarin arviointityökalu
Muutokset
- Direktiivin piiriin kuuluvien toimialojen yritysten määrä kasvaa.
- Mahdolliset sanktiot.
- Raportointivaatimukset tiukentuvat.
- Riskien hallinnan merkitys korostuu.
- Tietoturvaan tulee lisää vaatimuksia.
- Toimitusketjujen hallinta tehostuu.
- Viranomaisten valvonta ja ohjaus lisääntyvät
Sanktiot
- Hallinnollinen sakko keskeiselle toimijalle enintään 10 miljoonaa euroa tai 2% liikevaihdosta.
- Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4% liikevaihdosta.
- Liiketoiminnan keskeyttäminen väliaikaisesti.
- Toimitusjohtajan tai vastaavan laillisen edustajan kielto osallistua johtotehtäviin.
- KATSO Traficomin julkaisema "Kyberturvallisuus ja yrityksen hallituksen vastuu"
Rakenna polku
(i) Selvitä asemasi
Polun määritys käynnistyy nykytilan läpikäymisestä
- Selvitys, joka huomioi yrityksen toimialan, lähtötason ja liiketoiminnan vaatimukset, tarjoaa selkeän polun vaatimustenmukaisuuden saavuttamiseksi.
- Tilaaja saa kattavan käsityksen toimintaympäristöstään NIS2-vaatimusten suhteen sekä konkreettisen toimintasuunnitelman vaatimusten täyttämiseksi.
- Alkuraportti määrittelee nykytilanteen. Loppuraportti kokoaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi.
(ii) Kytke
Kytke hallintajärjestelmä sekä riskien arvioinnille ylläpitoprosessi
- Hallintajärjestelmän avulla voit hallita tietoturvan kehitystä keskitetysti.
- Järjestelmä kattaa NIS2-direktiivin lisäksi myös muut yleisimmät tietoturvan ja tietosuojan vaatimukset, kuten ISO 27001, GDPR, Tiedonhallintalaki ja Katakri.
- Hallintamalli on helposti käytettävissä Microsoft Teamsissa tai selaimella.
Hallintajärjestelmä sisältää:
- Hallintamalli sisältää:
- Automaattiset raporttiohjeistukset
- Dokumentoinnin työkalut
- Henkilöstön ohjeistukset
- Tietoturvatoimenpiteiden hallinnan