NIS2 direktiivin velvoitteet astuivat voimaan 8.4.2025, ja parhaillaan monet yksityiset ja julkiset toimijat kriittisillä toimialoilla pähkäilevät miten heidän pitäisi käytännössä kehittää kyberturvallisuuden riskienhallintakeinojaan NIS2:een liittyvän kansallisen lainsäädännön pohjalta.
Kyberturvallisuuslaki (124/2025) ja/tai Laki julkisen hallinnon tiedonhallinnasta annetun lain muuttamisesta (125/2025).
NIS2-toimijoiden on pitänyt ilmoittautua omalle valvovalle viranomaiselleen 8.5.2025 mennessä, ja heidän on laadittava riskienhallinnan toimintamalli 8.7.2025 mennessä. Tämän mallin osalta Traficom on antanut suosituksensa.
Kyberturvallisuuslain luvussa 2, pykälässä 9 § mainitaan ne tekniset ja hallinnolliset toimenpiteet, mitä NIS2-toimijoiden on toteutettava osana tätä toimintamallia. Niitä ovat:
1) kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden
vaikuttavuuden arviointi;
2) viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet;
3) viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
sekä tarvittavat menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi;
4) toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen
laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet sekä välittömien toimittajien ja
palveluntarjoajien kyberturvallisuuskäytännöt;
5) omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen;
6) henkilöstöturvallisuus ja kyberturvallisuuskoulutus;
7) pääsynhallinnan ja todentamisen menettelyt;
8) salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä
tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi;
9) poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi
ja ylläpitämiseksi;
10) varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden
hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö;
11) perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja
ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi; sekä
12) toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja
tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.
CTurvan konsulteilla on vuosien varrella kertynyttä kumulatiivista kokemusta auttaa sekä yksityisiä että julkisia toimijoita kehittämään omaa yritysturvallisuuttaan – liittyen mm. erilaisiin toimintamalleihin sekä niiden eri osa-alueiden turvallisuustason kehittämiseen. Uuden toimintamallin kehittämisessä lähtökohtana on usein Turvallisuuskartoitus (lisää linkki palveluun), jota myös tarjoamme. Tarjoamme palvelujamme myös ulkoistettuna asiantuntijana – tai asiantuntijoiden tiiminä.
LÄHTEET JA LISÄTIETOA:
Kyberturvallisuuslaki
Suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä
Taulukko kehitettävistä riskienhallintakeinoista
Kirjoittaja
Kari Rönkkö, CTurvan Turvallisuusasiantuntija
CTurva tarjoaa palveluita yrityksen turvallisuustoiminnan kehittämiseen. Tämä osaltaan kehittää yrityksen turvallisuuskulttuuria. Tutustu CTurvan tarjoamiin yritysturvallisuuspalveluihin!