kyberturvallisuusyksikön johtava tietoturva-asiantuntija Ilmari Luoma

Ilmari Luoma

kyberturvallisuusyksikön johtava tietoturva-asiantuntija

Lokakuussa 2024 voimaan astuvat kaksi keskeistä EU-direktiiviä, verkko- ja tietoturvadirektiivi NIS2 ja resilienssidirektiivi CER. 

NIS2- ja CER-direktiivit tuovat mukanaan merkittäviä velvoitteita, mutta tarjoavat samalla selkeät toimintalinjat organisaatioille, joiden on turvattava kriittiset palvelut ja infrastruktuuri. Direktiivien keskeisenä tavoitteena on varmistaa, että organisaatio kykenee hallitsemaan kyberturvallisuusriskit tehokkaasti ja säilyttämään palveluiden toimintavarmuus myös häiriötilanteissa. 

NIS2-direktiivi asettaa erityisen painoarvon tietoturvan hallintaan ja raportointivelvoitteisiin, mikä tarkoittaa, että kyberturvatoimenpiteiden on oltava kunnossa.  

CER-direktiivi puolestaan korostaa liiketoiminnan jatkuvuuden suunnittelua ja kykyä palautua häiriötilanteista mahdollisimman nopeasti. 

Molempien direktiivien päämääränä on suojata yhteiskunnan kannalta elintärkeitä palveluita ja varmistaa niiden keskeytymätön toiminta. Lisäksi NIS2-direktiivi on sanktioitu eli siinä voidaan määrätään kyberturvallisuusriskien hallintaa ja raportointia koskevien velvoitteiden rikkomisesta kovia sakkoja. Lisäksi yritysten johtajia voidaan yksilötasolla hyllyttää tehtävistään, mikäli he eivät onnistu valvomaan tietoturvan tilaa tai reagoimaan poikkeamiin vaaditulla tavalla. 

Molemmat direktiivit tuovat organisaatioille pakollisia velvoitteita 

NIS2-direktiivi nostaa EU:n ja jäsenvaltioiden kyberturvallisuuden tasoa, tuoden mukanaan raportointivelvoitteita ja minimitason vaatimuksia. CER-direktiivi taas painottaa jatkuvuussuunnittelua ja kriisinsietokykyä, varmistaen, että kriittiset palvelut selviävät myös häiriötilanteissa. NIS2-direktiivi koskee lisäksi kaikkia niitä toimijoita, jotka on luokiteltu kriittisiksi CER-direktiivin perusteella. 

Direktiivi CER-direktiivi NIS2-direktiivi
Mistä on kysymys Euroopan Unionin CER-direktiivi, eli “Critical Entities Resilience Directive” tavoitteena on yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn (eli resilienssin) parantaminen.  NIS2- eli Network and Information Security -direktiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta. 
Astuu voimaan Tulee osaksi kansallista lainsäädäntöä 17.10.2024 mennessä.  Tulee osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. 
Soveltamisalat

Kriittiset toimialat 

  • Liikenne 
  • Energia 
  • Pankki 
  • Finanssimarkkina 
  • Terveys 
  • Vesihuolto 
  • Jätevesihuolto 
  • Digitaalinen infrastruktuuri 
  • Julkishallinto 
  • Avaruus 
  • Elintarvikkeiden tuotanto, jalostus ja jakelu  

Erittäin kriittiset toimialat:  

  • Liikenne  
  • Energia 
  • Pankkitoiminta  
  • Finanssimarkkinoiden infrastruktuurit  
  • Terveys  
  • Vesihuolto 
  • Jätevesihuolto 
  • Digitaalinen infrastruktuuri  
  • TVT-palvelujen hallinta (tieto- ja viestintätekniikka)  
  • Julkishallinto   
  • Avaruus 

Muut kriittiset toimialat:  

  • Posti- ja kuriiripalvelut  
  • Jätehuolto  
  • Kemikaalien valmistus, tuotanto ja jakelu  
  • Elintarvikkeiden tuotanto, jalostus ja jakelu  
  • Valmistus (mm. lääkinnälliset ja sähkölaitteet, ajoneuvot yms.)  
  • Digitaalisen palvelun tarjoajat  
  • Tutkimustoiminta 
Mitä edellyttää käytännössä 

Häiriönsietokykyä koskevaan suunnitelmaan olisi sisällytettävä mm.: 

  • tilojen ja infrastruktuurin fyysinen suojaaminen 
  • toimenpiteet poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi 
  • toimenpiteet poikkeamista palautumiseksi 
  • henkilöturvallisuuden varmistaminen  

NIS2-direktiivi edellyttää mm.:

  • aktiivista tietoturvatyötä ja johdon vastuuta kouluttautua tarpeeksi syvällisesti tietoturva-aiheista voidakseen tehdä päätöksiä
  • kykyä ylläpitää kattavaa näkyvyyttä tietoturvariskeihin ja haavoittuvuuksiin koko organisaation tasolla.
  • yhteistyötä viranomaisten kanssa ja tietoturvatietoisuuden lisäämistä koulutuksella
  • NIS2:n kymmenen teesin toteuttamista
  • kykyä noudattaa raportointivelvoitteita ja tuottaa riskiarvioita

Valmius vastata uusiin velvoitteisiin – näin organisaatiosi hyötyy valmistautumisesta 

Direktiivien noudattaminen ei ole pelkkä lakisääteinen velvoite, vaan selkeä kilpailuetu: kriittisten palveluiden suojaaminen ja tietoturvan vahvistaminen lisäävät organisaation resilienssiä ja luotettavuutta, mikä on ratkaisevaa nopeasti muuttuvassa liiketoimintaympäristössä. 

Hyvin toteutettu liiketoiminnan jatkuvuudenhallinta sekä tietoturvanhallintajärjestelmät luovat vahvan pohjan direktiivien vaatimusten täyttämiselle. Suomessa kehitetty Kyberturvallisuuskeskuksen Kybermittari on tehokas työkalu kriittisen infrastruktuurin toimijoille, joiden on arvioitava kypsyyttään vastaamaan muun muassa NIS2-direktiivin asettamiin vaatimuksiin. Kybermittari tarjoaa monia samankaltaisia riskienhallintakeinoja, jotka tukevat direktiivien noudattamista käytännössä. 

Jos organisaationne ei vielä ole täysin valmis, autamme selvittämään nykytilanteen ja kehityskohteet muun muassa liiketoiminnan riskienhallinnan jatkuvuudenhallinnan, valmiussuunnittelun ja kyberturvallisuuden osalta. Voimme myös auttaa turvallisuuden johtamisjärjestelmän käyttöönotossa, esimerkiksi ISO27001 pohjaisesti. Näin varmistatte, että täytätte sekä NIS2- että CER-direktiivien vaatimukset ajoissa. 

Muita hyödyllisiä materiaaleja CER- ja NIS2 -direktiiveistä 

Lisätietoa ja tukea löytyy myös Finnish Information Security Clusterin (FISC) – Kyberala ry:n julkaisemasta NIS2-direktiivin kansallisesta soveltamisoppaasta. Oppaan tavoitteena on auttaa suomalaisia yrityksiä vastaamaan uusiin lainsäädäntövelvoitteisiin. Tutustu oppaaseen täällä! 

Tutustu CGI:n tietoturvatarkastukseen ja esiauditointeihin

 

Kirjoittajasta

kyberturvallisuusyksikön johtava tietoturva-asiantuntija Ilmari Luoma

Ilmari Luoma

kyberturvallisuusyksikön johtava tietoturva-asiantuntija

Olen Ilmari Luoma, johtava tietoturvallisuusasiantuntija CGI:n kyberturvallisuusyksikössä. Tällä hetkellä toimin turvallisuusarkkitehtuurin suunnittelutehtävissä, sekä tietoturvapoikkeamien vastatoimenpiteiden koordinointitehtävissä.