EU on nostanut kyberturvallisuuden strategiseksi painopisteeksi. Suomen uusi kyberturvallisuuslaki, joka perustuu EU:n NIS2-direktiiviin, konkretisoi tämän kehityksen asettamalla organisaatioille tiukempia vaatimuksia riskienhallinnan ja valmiussuunnittelun osalta.
Organisaatioilta edellytetään kykyä ylläpitää kattavaa näkyvyyttä tietoturvariskeihin ja haavoittuvuuksiin koko toiminnan tasolla. Lisäksi yhteistyö viranomaisten kanssa, raportointivelvoitteiden noudattaminen sekä henkilöstön tietoturvatietoisuuden lisääminen esimerkiksi koulutuksen kautta korostuvat entisestään.
Laki vaikuttaa erityisesti organisaatioihin, jotka tuottavat yhteiskunnan kannalta kriittisiä palveluita, mutta sen epäsuorat vaikutukset ulottuvat myös laajasti muihin toimijoihin. Uudet velvoitteet koskevat muun muassa organisaation johtoa, toimitusketjun hallintaa sekä kykyä varautua ja reagoida tehokkaasti poikkeamatilanteisiin.
Uusi kyberturvallisuuslaki koskee organisaatioita, jotka tuottavat kriittisiä palveluita tai kuuluvat tärkeisiin toimialoihin.
Organisaation johto on velvollinen huolehtimaan, että kyberturvallisuuteen liittyvät riskit tunnistetaan ja niihin varaudutaan systemaattisesti. Laki edellyttää aktiivista tietoturvatyötä ja johdon vastuuta kouluttautua tarpeeksi syvällisesti tietoturva-aiheista voidakseen tehdä päätöksiä.
Lain rikkomisesta voi seurata hallinnollisia sanktioita, kuten huomautuksia, uhkasakkoja tai jopa toimintakieltoja.
CRA eli kyberkestävyysasetus koskee laitteita ja ohjelmistoja, joissa on digitaalisia elementtejä – käytännössä lähes kaikkea, mikä on kytketty verkkoon. Asetus velvoittaa valmistajia varmistamaan, että tuotteet ovat turvallisia koko elinkaarensa ajan. CRA vaikuttaa erityisesti tuotekehitykseen, ohjelmistopäivityksiin ja haavoittuvuuksien ilmoittamiseen.
CER-direktiivi täydentää NIS2:ta ja keskittyy erityisesti yhteiskunnan kriittisten toimintojen jatkuvuuteen. Se velvoittaa esimerkiksi energia-, liikenne- ja vesihuoltosektoreilla toimivia yrityksiä arvioimaan riskejään, laatimaan valmiussuunnitelmia ja parantamaan häiriönsietokykyään. Myös johdon vastuu korostuu.
DORA-asetus koskee erityisesti finanssialaa – pankkeja, vakuutusyhtiöitä, sijoituspalveluita sekä niiden IT-palveluntarjoajia. Sen tavoitteena on varmistaa, että finanssitoimijat kestävät kyberhäiriöitä ja muita IT-ongelmia. Asetus tuo selkeät vaatimukset mm. riskienhallinnalle, varautumissuunnittelulle ja tekniselle testaukselle. CGI’s Statement of Intent regarding DORA regulation
Yhä useampi asiakas tai yhteistyökumppani vaatii jatkossa todisteita hyvästä kyberturvallisuuden hallinnasta, vaikka et kuuluisi suoraan lain soveltamisalaan.
Jos organisaatiosi on jo noudattanut aiempaa kyberturvallisuusdirektiiviä, suuria muutoksia ei välttämättä ole. Uuden kyberturvallisuuslain vaatimukset voi monessa tapauksessa integroida osaksi nykyisiä käytäntöjä. Uusille lain piiriin tuleville organisaatioille edessä voi olla isompi muutos, mutta samalla mahdollisuus rakentaa entistä kestävämpi kyberturvallisuusmalli.
Velvoitteista varautumiseen, lataa opas kyberturvallisuuslakiin.
CER-direktiivi korostaa liiketoiminnan jatkuvuuden suunnittelua ja kykyä palautua häiriötilanteista mahdollisimman nopeasti.
NIS2-direktiivin myötä IAM-menettelyt eivät ole enää vapaaehtoisia käytäntöjä, vaan ne kuuluvat viranomaisvalvonnan piiriin.
DORA on asetus, joka tulee voimaan EU-maissa sellaisenaan. Se koskettaa finanssialan yrityksiä ja organisaatioita.
Jos organisaationne ei vielä ole täysin valmis, autamme selvittämään nykytilanteen ja kehityskohteet muun muassa liiketoiminnan riskienhallinnan, jatkuvuudenhallinnan, valmiussuunnittelun ja kyberturvallisuuden osalta. Voimme myös auttaa turvallisuuden johtamisjärjestelmän käyttöönotossa, esimerkiksi ISO27001-pohjaisesti. Näin varmistatte, että täytätte sekä NIS2- että CER-direktiivien vaatimukset ajoissa.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen verkkosivuilta löytyy lomakkeita ja ohjeistuksia mm. poikkeamailmoitusten tekoon sekä mahdollisuus ilmoittautua sähköisesti NIS2-toimijaluetteloon:
Ota yhteyttä oheisella lomakkeella, niin olemme sinuun yhteydessä.
