Blogi
NIS2- ja CER-direktiivien vaatimukset
Joko organisaatiosi on valmistautunut NIS2- ja CER-dirketiivien vaatimuksiin? Ketä NIS2- ja CER-direktiivit koskettavat? Mitä direktiivien vaatimuksiin valmistautuminen tarkoittaa käytännössä?
Katso aiheen tiivistävä webinaari alta tai jatka blogin lukemista tallenteen alapuolelta.
Ketä NIS2 ja CER-direktiivit koskettavat?
NIS2- ja CER-direktiivit asettavat vaatimuksia organisaation toimintajärjestelmälle ja ne tulee täyttää:
- mikäli yrityksesi on keskisuuri ja toimii kriittisellä toimialalla tai
- koosta riippumatta organisaatiosi on kansallisesti kriittinen toimija.
Keskisuuret toimijat ovat yrityksiä, jonka palveluksessa on 50–249 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.
Lue aiheesta lisää Traficomin sivuilta klikkaamalla tästä.
Milloin NIS2- ja CER-direktiivit astuvat voimaan?
Siirtymäaika kansalliseen lainsäädäntöön on käynnissä. NIS2- ja CER-direktiivit tulevat osaksi kansallista lainsäädäntöä 17.10.2024 mennessä.
NIS2-direktiivin mukaiset soveltamisalat
Erittäin kriittiset toimialat:
- Energia
- Liikenne
- Pankkitoiminta
- Finanssimarkkinoiden infrastruktuurit
- Terveys
- Vesi (Juoma/Jäte)
- Digitaalinen infrastruktuuri
- TVT-palvelujen hallinta (tieto- ja viestintätekniikka)
- Julkishallinto
- Avaruus
Muut kriittiset toimialat:
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemikaalien valmistus, tuotanto ja jakelu
- Elintarvikkeiden tuotanto, jalostus ja jakelu
- Valmistus (mm. lääkinnälliset ja sähkölaitteet, ajoneuvot yms.)
- Digitaalisen palvelun tarjoajat
- Tutkimustoiminta
CER-direktiivin mukaiset soveltamisalat
- Energia
- Liikenne
- Pankkiala
- Rahoitusmarkkinoiden infrastruktuuri
- Terveys
- Vesi (Juoma/Jäte)
- Digitaalinen infrastruktuuri
- Julkishallinto
- Avaruus
- Elintarvikkeiden tuotanto, jalostus ja jakelu
Mitä NIS2-direktiivi edellyttää käytännössä?
NIS2-direktiivin keskeiset minimivelvoitteet löytyvät direktiivin Luku IV – Kyberturvallisuusriskien hallintatoimenpiteet ja raportointivelvoitteet kohdasta:
Artikla 21 – Kyberturvallisuusriskien hallintatoimenpiteet
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
- Poikkeamien käsittely;
- Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
- Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
- Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
- Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
- Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa
Artikla 23 – Raportointivelvoitteet
Näiden toteuttamiseen sopii hyvin ISO 27001 -standardin rakenne ja Liite A:n hallintakeinot. Mikäli ISO-standardien rakenne ei ole tuttua tai tietoturva on uusi, niin suosittelen tutustumaan myös standardeihin ISO 27002 ja ISO 27003, jotka ovat opastavia ja auttavat tietoturvajärjestelmän rakentamisessa.
Mitä CER-direktiivi edellyttää käytännössä?
CER-direktiivin keskeiset minimivelvoitteet löytyvät direktiivin Luku III – Kriittisten toimijoiden häiriönsietokyky kohdasta:
- Artikla 13 – Kriittisten toimijoiden toimenpiteet häiriönsietokyvyn varmistamiseksi
- Poikkeamien syntymisen estämiseksi, ottaen asianmukaisesti huomioon katastrofiriskien vähentämiseen ja ilmastonmuutokseen sopeutumiseen liittyvät toimenpiteet;
- Niiden tilojen ja kriittisen infrastruktuurin riittävän fyysisen suojauksen varmistamiseksi ottaen asianmukaisesti huomioon sellaiset toimenpiteet kuin aidan asentaminen, esteiden pystyttäminen, kehävalvontavälineet ja -käytännöt sekä ilmaisulaitteet ja kulunvalvonta;
- Poikkeamien seurauksiin vastaamiseksi ja niiden torjumiseksi ja lieventämiseksi ottaen asianmukaisesti huomioon riskien- ja kriisinhallintamenettelyjen ja -käytäntöjen ja hälytyskäytäntöjen toteuttaminen;
- Poikkeamista palautumiseksi, ottaen asianmukaisesti huomioon liiketoiminnan jatkuvuuteen liittyvät toimenpiteet ja vaihtoehtoisten toimitusketjujen kartoittaminen, jotta keskeisen palvelun tarjoamista voidaan jatkaa;
- Asianmukaisen henkilöstöturvallisuuden hallinnan varmistamiseksi, ottaen asianmukaisesti huomioon sellaiset toimenpiteet kuin kriittisiä tehtäviä hoitavien henkilöstöryhmien määrittäminen, pääsyoikeuksien vahvistaminen tiloihin, kriittiseen infrastruktuuriin ja arkaluonteisiin tietoihin pääsemiseksi, taustatarkastuksia koskevien menettelyjen käyttöönottaminen 14 artiklan mukaisesti ja sellaisten henkilöryhmien määrittäminen, joilta tällaisia taustatarkastuksia vaaditaan, sekä asianmukaisten koulutusvaatimusten ja pätevyyksien vahvistaminen;
- a–e alakohdassa tarkoitetuista toimenpiteistä tiedottamiseksi asianomaiselle henkilöstölle ottaen asianmukaisesti huomioon koulutus, tiedotusmateriaalit ja harjoitukset.
- Artikla 15 – Poikkeamista ilmoittaminen
Näiden toteuttamiseen sopii hyvin ISO 22301 sekä ISO 27001:n rakenne ja Liite A:n hallintakeinot yhdessä. CER-direktiivin velvoitteista on nähtävissä elinkaariajattelu aina riskienhallinnasta/-arvioinnista häiriösietoisuuden puitteiden rakentamiseen ja osaamisen varmistamiseen sekä jatkuvaan parantamiseen.
Kiinnostaako tietoturva tai ISO-standardien hyödyntäminen? Suosittelen sinulle näitä sisältöjä:
👉 Tietoturvallisuuden hallintajärjestelmän osa-alueet | blogi & webinaari
👉 Näin rakennat ISO 27001 mukaisen tietoturvallisuuden hallintajärjestelmän | ladattava materiaali
👉 ISO 27001 minimivaatimukset | blogi + webinaaritallenne
