NIS2-direktiivi tekee CSOC-tietoturvapalveluista entistä arvokkaampia

NIS2 on Euroopan Unionin uusi verkko- ja tietoturvadirektiivi, joka astuu voimaan lokakuussa 2024. Edeltäjäänsä laajempi ja tiukempi direktiivi linjaa esimerkiksi, että yrityksellä on oltava tietoturvan kannalta näkyvyys koko organisaatioon ja että poikkeustilanteissa on toimittava nopeasti niin sisäisesti kuin ulkoistenkin sidosryhmien osalta. Lisäksi NIS2 korostaa erityisesti johtoportaan vastuuta organisaation tietoturvasta ja määrää velvoitteiden rikkomisesta kovia sakkoja.

Osa NIS2-vaatimuksista voi tuntua tiukoilta, mutta ne ovat EU:n näkökulmasta ja monipuolistuvien kyberuhkien vuoksi perusteltuja. On myös hyvä muistaa, että NIS2-vaatimuksia ei tarvitse – tai todennäköisesti edes kannata – lähteä täyttämään yksin, vaan tukea voi hakea luotetuilta kumppaniorganisaatioilta. Esimerkiksi CSOC-palveluntarjoajat voivat auttaa asiakkaitaan useiden NIS2-vaatimusten täyttämisessä.

Poikkeamatilanteiden havainnointi ja hallinta

CSOC (Cyber Security Operation Center) -palvelussa valitut teknologiat ja tietoturva-asiantuntijoiden tiimi valvovat asiakkaan järjestelmiä, tunnistavat ja analysoivat poikkeamia sekä reagoivat tarvittaessa havaittuihin tietoturvauhkiin. CSOC-palvelutoteutuksessa järjestelmiä valvotaan ja turvataan sekä poikkeamiin reagoidaan ympäri vuorokauden.

NIS2 tulee jatkossa määrittämään turvallisuusriskien hallintatoimenpiteet, joita organisaatioiden täytyy verkko- ja tietojärjestelmien suojaamiseksi tehdä. Näihin lukeutuvat poikkeamatilanteiden käsittely ja raportointi. Erityisesti merkittävät poikkeamat täytyy raportoida määrätyille viranomaistahoille nopeasti, sillä ennakkovaroitus on annettava jo vuorokauden kuluessa.

Jotta poikkeamatilanteet voidaan käsitellä vaaditulla tavalla, ne täytyy tietysti havaita. Lisäksi organisaatiolla on oltava tarkkaan dokumentoidut peruskäytännöt ja menetelmät kyberturvallisuuden ylläpitämiseksi. Näissä CSOC-kyberturvallisuuskeskus voi tarjota arvokasta apua, sillä asiakkaan tietojärjestelmien valvonta sekä poikkeamien havaitseminen ja eskalointi ovat tietoturvavalvomoiden ydintekemistä.

Haavoittuvuudet ja oman kyvykkyyden testaus

NIS2 asettaa myös vaatimuksia organisaation haavoittuvuuksien hallinnalle ja edellyttää, että omaa kyvykkyyttä harjoitellaan ja testataan riittävästi. Kyseessä on keskeinen osa kyberturvallisuutta, sillä haavoittuvuudet tietojärjestelmissä voivat sallia uhkatoimijoille pääsyn järjestelmiin ja johtaa vakaviin tietomurtoihin.

CSOC-palveluntarjoaja on luonteva apu haavoittuvuuksien havaitsemisessa ja korjaamisessa. Lisäksi CSOC-tiimit ovat usein mukana poikkeamatilanteisiin valmistautumisessa ja asiakkaan kyvykkyyden testaamisessa. Esimerkiksi Red Team -harjoituksella voidaan testata, miten organisaation tieto- ja turvajärjestelmät kestävät sekä digitaalisia että tarvittaessa myös fyysisiä murtoyrityksiä.

CSOC-kumppani sekä jakaa että laajentaa vastuuta

NIS2-dirvektiivi tekee CSOC-palveluista entistä tärkeämpiä ja kriittisempiä. Organisaatioiden on jatkossa jollain tavalla hoidettava haavoittuvuuksien ja kriisitilanteiden hallinta sekä harjoittelu, ja ilman osaavaa kyberturvallisuuskumppania tämä voi olla monille organisaatioille haastavaa.

Samalla on toki hyvä huomata, että NIS2-direktiivin myötä yrityksillä on velvollisuus suojata ja valvoa koko toimitusverkostoaan tietoturvauhilta. Koska vastuu ei rajoitu ainoastaan omaan yritykseen, CSOC-palveluntarjoaja on toimitusverkoston jatkeena osa riskiä – vaikka se samalla tarjoaa arvokasta tukea. Oikean kumppanin valinta on siis elintärkeää. Tässä CGI:n kaltainen laajan palvelutarjonnan IT-talo onkin vahva vaihtoehto, sillä CSOC-palvelujen lisäksi voimme tarjota muuta kyberturvallisuuskonsultointia ja luoda asiakkaalle juuri heidän tarpeisiinsa sopivan, kokonaisvaltaisen paketin.

Mitä seuraavaksi?

NIS2-direktiiviin valmistautuminen kannattaa aloittaa pian, joko ulkoisen kyberturvallisuuskumppanin kanssa tai itsenäisesti. Tärkeimmät askelmerkit tuleville kuukausille ovat:

• Varmista, että ymmärrät organisaatioosi kohdistuvan uhkatilanteen. Mitä tietoturvauhkia alallasi ja sijainnissasi on? Onko kyberturvan riskirekisteri ajan tasalla ja näkyvyys kyberturvapoikkeamiin hyvällä tasolla?
• Valuta tieto uhista läpi koko organisaatiosi: miten uhkakuvan toteutuminen vaikuttaisi yrityksen toimintaan eri tasoilla, ja onko poikkeamatilanteita harjoiteltu?
• Tunnista assettisi: mitä palvelimia ja laitteita organisaatiossa on, ja voidaanko niitä valvoa? Oma hyökkäyspinta-ala on tärkeä ymmärtää niin ulkoverkon kuin sisäverkon puolelta. Oman ympäristön tunteminen ja varjo-IT:n minimointi on lähtöpiste paremman resilienssin rakentamiselle.
• Luo strateginen riskiarvio ja riittävät riskinhallintatoimet, jotka jalkautetaan koko organisaatioon.

Lopuksi on hyvä muistaa, että tietoturva on jatkuva prosessi. Uusia uhkia ja haavoittuvuuksia ilmenee jatkuvasti, ja siksi tietoturvan parissa tehtävää työtä ei voi koskaan pitää valmiina. Onneksi ei tarvitse olla yksin – luotettavat kumppanit ovat valmiita auttamaan yrityksiä tässä tärkeässä tehtävässä. Näin voimme yhdessä varmistaa, että Euroopan digitaalinen infrastruktuuri on turvallinen ja luotettava nyt ja tulevaisuudessa.