NIS2-direktiivi: Kyberturvallisuus siirtyy IT-osastolta johtoryhmän pöydälle
Monien vuosien ajan kyberturvallisuutta pidettiin vain teknisenä kysymyksenä. Se kuului IT-osaston, tietoturvajohtajan (CISO) tai ulkoisen palveluntarjoajan vastuualueeseen. Jos järjestelmät olivat suojattuja, varmuuskopiointi oli käynnissä ja tietoturvatyökalut käytössä, monet johtoryhmät olettivat organisaation olevan kohtuullisen hyvin varautunut tietoturvauhkiin.
NIS2-direktiivi yksinkertaisesti selitettynä: entinen oletus ei enää riitä
Päivitetyssä EU:n kyberturvallisuusdirektiivissä (NIS2) tehdään selväksi, että kyberriskit eivät ole enää pelkästään IT-toiminnan ongelma. Ne kuuluvat johdon vastuualueeseen. Johtajien, hallitusten ja johtoryhmien on ymmärrettävä, millaisille riskeille heidän organisaationsa on alttiina, miten tietoturvaloukkauksia käsitellään ja täyttävätkö toimittajat ja yhteistyökumppanit tarvittavat turvallisuusvaatimukset.
Kysymys ei ole enää pelkästään: Huolehtiiko IT-osasto turvallisuudesta? Kysymys on myös: Voiko johto osoittaa, että yritys on varautunut?
Tällä muutoksella on merkitystä. Kyberhyökkäykset lisääntyvät, tekoäly luo uusia hyökkäyskohteita, toimittajista on tullut yleisiä hyökkäysreittejä, ja arkaluonteiset tiedot voivat päätyä nopeasti vääriin käsiin. Pohjoismaissa ja Euroopassa toimiville organisaatioille NIS2 ei ole pelkkä uusi sääntelyvaatimus. Se on merkki siitä, että kyberturvallisuudesta on tullut keskeinen osa liiketoiminnan kestävyyttä.
Laajempi viitekehys: muuttuva uhkakuvio
NIS2 on vuonna 2016 annetun EU:n verkko- ja tietoturvadirektiivin päivitys. Sen tarkoituksena on vahvistaa kyberturvallisuutta ja digitaalista kestävyyttä koko Euroopassa, ja se koskee sekä julkisen että yksityisen sektorin organisaatioita.
Direktiivi koskee erityisesti pankki- ja rahoitusalaa, liikennettä, digitaalista infrastruktuuria, operaattoreita, verkko-operaattoreita, julkisia palveluja sekä muita kriittisiin toimintoihin liittyviä organisaatioita. Yksi tärkeimmistä muutoksista on kuitenkin se, että direktiivin soveltamisala ulottuu ilmeisimpien kriittisen infrastruktuurin tarjoajien ulkopuolelle. Myös toimittajat kuuluvat sen piiriin.
Yritykseltä, joka tarjoaa välttämättömiä palveluja pankille, kuljetusyritykselle, julkisen sektorin organisaatiolle tai kriittisen infrastruktuurin ylläpitäjälle, saatetaan nyt odottaa, että se täyttää tiukemmat kyberturvallisuusvaatimukset. Sen on ehkä myös tuettava poikkeustilanteiden raportointia, jos jokin menee pieleen. Käytännössä tämä tarkoittaa, että NIS2-direktiivi voi vaikuttaa organisaatioihin, jotka eivät välttämättä heti näe itseään osana kriittistä infrastruktuuria, mutta jotka kuitenkin palvelevat asiakkaita, jotka kuuluvat siihen. Siksi direktiivi on merkityksellinen paljon laajemmin kuin vain IT-osastojen kannalta. Se vaikuttaa sopimuksiin, toimitusketjun turvallisuuteen, raportointikäytäntöihin, tietojen käsittelyyn, pääsyn hallintaan ja päivittäisiin työtapoihin.
Kyberturvallisuus voidaan delegoida, mutta vastuuta ei
NIS2:n suurin muutos ei koske pelkästään sitä, mitä yritysten on tehtävä, vaan myös sitä, kenen on kannettava vastuu. Johtoryhmien ja hallitusten odotetaan varmistavan, että kyberturvallisuusriskit ymmärretään, hallitaan ja seurataan. Tämä ei tarkoita, että johtajien pitäisi ryhtyä teknisten asioiden asiantuntijoiksi. Heidän on kuitenkin tiedettävä, onko organisaatiolla käytössään oikeat prosessit, toimintaperiaatteet, rutiinit ja sisäiset resurssit.
Heidän on ymmärrettävä, mitkä järjestelmät ovat kriittisiä. Heidän on tiedettävä, missä arkaluonteiset tiedot sijaitsevat. Heidän on saatava selville, kenellä on pääsy mihin. Heidän on tiedettävä, mitkä toimittajat ovat toiminnan kannalta välttämättömiä ja täyttävätkö nämä toimittajat organisaation turvallisuusvaatimukset.
Tämä pätee myös silloin, kun IT-palvelut ulkoistetaan. Yritys voi käyttää hallinnoitua IT-palveluntarjoajaa, pilvipalvelukumppania tai kyberturvallisuusneuvonantajaa, mutta se ei voi ulkoistaa vastuutaan. Jos toimittajalla on pääsy järjestelmiin, infrastruktuuriin tai arkaluonteisiin tietoihin, kyseinen toimittaja tulee osaksi yrityksen riskikuvaa. Toisin sanoen: kyberturvallisuustehtäviä voidaan delegoida, mutta vastuuta ei.
Toimitusketjukin on nyt osa hyökkäyspintaa
Yksi tärkeimmistä viimeaikaisten kyberhyökkäysten opetuksista on, että hyökkääjät eivät kohdistu pelkästään pääorganisaatioon. He etsivät myös sen ympäriltä heikompia lenkkejä. ”Toimittajat ja alihankkijat toimivat usein hyökkäyksen lähtökohtana – siksi on hallittava koko ketjua, ei pelkästään omaa organisaatiota”, sanoo Robin Frantzen, NetNordicin pilvipalveluiden liiketoiminnan kehityspäällikkö.
Yrityksellä voi olla vahva sisäinen tietoturva, mutta se voi silti olla alttiina riskeille toimittajan, tukiprosessin, huonosti hallinnoidun pilviympäristön tai riittämättömillä valvontamenettelyillä varustetun alihankkijan kautta. Siksi NIS2-direktiivi asettaa organisaatioille entistä suurempia vaatimuksia toimitusketjujen ymmärtämisessä ja hallinnassa.
Yrityksille, jotka toimittavat tuotteita ja palveluita esimerkiksi rahoitus-, liikenne-, julkisten palvelujen tai digitaalisen infrastruktuurin aloille, kyberturvallisuuden kypsyystaso voi muodostua liiketoiminnalliseksi vaatimukseksi. Asiakkaat saattavat yhä useammin vaatia dokumentaatiota, prosesseja, poikkeustilanteiden käsittelyohjeita ja näyttöä siitä, että toimittajat pystyvät täyttämään heidän odotuksensa. Organisaatiot, jotka eivät pysty osoittamaan tätä kypsyystasoa, saattavat kohdata vaikeuksia toimittaessaan tietyille markkinoille. Tämä tekee NIS2-direktiivistä paitsi sääntelykysymyksen myös liiketoiminnallisen kysymyksen.
Tekoäly ja varjo-IT korostavat näkyvyyden merkitystä
NIS2-direktiivin ajoitus on tärkeä. Se tulee voimaan hetkellä, jolloin uhkaympäristö muuttuu nopeasti. Tekoälyn ansiosta tiettyjen kybertoimintojen laajentaminen on entistä edullisempaa ja helpompaa. Hyökkääjät voivat hyödyntää automaatiota paljastuneiden järjestelmien tunnistamiseen, tunnistetietojen testaamiseen, phishing-materiaalin luomiseen ja haavoittuvuuksien etsimiseen. Samaan aikaan työntekijät ottavat tekoälytyökaluja ja pilvipalveluita käyttöön erittäin nopeasti, usein ennen kuin organisaatiot ovat ehtineet luoda selkeitä käytäntöjä niiden käytölle. Tämä aiheuttaa näkyvyysongelman.
”Varjo-IT ja tekoälytyökalujen hallitsematon käyttö ovat yksi suurimmista haasteista – koska menetät näkyvyyden siihen, minne tietosi todellisuudessa päätyvät”, Frantzen huomauttaa.
Monet organisaatiot kamppailevat jo nyt niin sanotun ”varjo-IT:n” kanssa: työntekijöiden ilman virallista lupaa käyttämien työkalujen, sovellusten ja palveluiden kanssa. Arkaluonteisia tietoja saatetaan syöttää hyväksymättömiin työkaluihin. Tietoja saatetaan käsitellä ympäristöissä, jotka eivät ole organisaation hallinnassa. Uusia järjestelmiä saatetaan ottaa käyttöön ilman selkeää vastuuhenkilöä.
Siksi johdolla on oltava parempi yleiskuva teknologian käytöstä. Mitä työkaluja käytetään? Kuka on ne hyväksynyt? Minne tiedot menevät? Kuka kantaa riskin? Kuka raportoi johdolle?
Joissakin organisaatioissa tämä saattaa edellyttää selkeän vastuuhenkilön nimeämistä tekoälyn ja uusien teknologioiden osalta, esimerkiksi tekoälyvastaavan, tietoturvavastaavan tai hallintoroolin kautta. Tärkeää on, että uusia työkaluja ei voida yksinkertaisesti ottaa käyttöön organisaatiossa ilman, että kukaan on niistä vastuussa. Jos kukaan ei ole vastuussa työkaluista, kukaan ei ole vastuussa riskeistäkään.
Säännösten noudattaminen alkaa jokapäiväisessä työssä
NIS2 ei vaikuta pelkästään toimintaperiaatteisiin ja hallitustason keskusteluihin. Se vaikuttaa myös jokapäiväiseen käyttäytymiseen. Työntekijöiden on oltava entistä tietoisempia siitä, mitä työkaluja he käyttävät ja mitä tietoja he jakavat. Asiakirjojen jakaminen on yksi esimerkki tästä. Monet organisaatiot lähettävät edelleen arkaluonteisia asiakirjoja sähköpostin liitteinä, vaikka käytettävissä olisi turvallisempia menetelmiä. Jos asiakirjat sisältävät henkilötietoja, liiketoiminnan kannalta kriittistä tietoa tai asiakastietoja, huonot jakamiskäytännöt voivat muodostua turvallisuusriskiksi.
Käyttöoikeuksien hallinta on toinen keskeinen osa-alue. Organisaatioiden on tiedettävä, kenellä on pääsy mihin järjestelmiin, miksi heillä on kyseinen pääsyoikeus ja tarvitaanko sitä edelleen. Tähän kuuluvat työntekijät, järjestelmänvalvojat, toimittajat, hallinnoitujen palveluiden tarjoajat sekä mahdollisesti tekoälyagentit tai palvelutilit.
Koulutuksen on myös oltava entistä käytännönläheisempää. Pelkkä yleinen tietoisuuskoulutus ei riitä. Työntekijöiden ja johtajien on ymmärrettävä realistisia tilanteita: epäilyttäviä sähköposteja, epätavallisia käyttöoikeuspyyntöjä, tietojen jakamiseen liittyviä virheitä, toimittajiin liittyviä tapauksia, hyväksymättömiä tekoälytyökaluja sekä mahdollisia tietoturvaloukkauksia.
NIS2 kannustaa organisaatioita omaksumaan entistä ennakoivamman tietoturvakulttuurin. Kaikkien ei tarvitse ryhtyä kyberturvallisuusasiantuntijoiksi, mutta tietoturvan on tultava osaksi ihmisten työtapoja.
Suurin virhe on odottaminen
Yleinen virhe on suhtautua NIS2-asetukseen asiana, joka voidaan hoitaa myöhemmin. Monet organisaatiot toimivat samoin GDPR:n kohdalla ja ryhtyivät toimiin vasta, kun täytäntöönpanotoimet ja sakot tulivat näkyviksi. Tämä on riskialtis lähestymistapa.
Odottelu voi tulla kalliiksi. Yrityksille voi koitua sakkoja, asiakkaiden vaatimuksia, toiminnan häiriöitä, maineen vahingoittumista tai markkinoille pääsyn menettämistä. Vielä tärkeämpää on, että heikko kyberturvallisuus voi paljastaa arkaluonteisia tietoja ja vaikuttaa oikeisiin ihmisiin. Kun henkilötietoja päätyy pimeään verkkoon, vahingot eivät pääty teknisen tapahtuman ratkaisemiseen.
Toinen yleinen virhe on NIS2:n käsitteleminen pelkkänä IT-projektina. Jos johto ei sitoudu asiaan, organisaatio saattaa päätyä tilanteeseen, jossa tekniset toimenpiteet on toteutettu, mutta todellista hallintoa ei ole. Toimintaperiaatteet saattavat olla olemassa paperilla, mutta eivät näy päivittäisessä käytännössä. Toimittajia saatetaan käyttää ilman asianmukaista arviointia. Käyttöoikeudet saattavat jäädä epäselviksi. Varjo-IT voi jatkua huomaamatta. Varhain valmistautuvat organisaatiot ovat vahvemmassa asemassa, paitsi sääntelyviranomaisten suhteen, myös asiakkaiden, kumppaneiden ja työntekijöiden silmissä.
Aloita maturiteettitason arvioinnilla
Johtajille paras lähtökohta ei ole yrittää ratkaista kaikkea kerralla, vaan ymmärtää nykyinen maturiteettitaso. Kypsyysarviointi tai puuteanalyysi voi auttaa vastaamaan tärkeimpiin kysymyksiin: mitä käytäntöjä ja prosesseja meillä jo on? Mitkä järjestelmät ja tiedot ovat kriittisimpiä? Kenellä on pääsy mihin? Mitkä toimittajat ja palveluntarjoajat ovat välttämättömiä? Hallitsemmeko varjo-IT:tä ja tekoälytyökaluja? Kuka vastaa kyberturvallisuudesta, pilvipalveluista ja tietoturvapoikkeamien käsittelystä? Olemmeko valmiita raportoimaan ja reagoimaan, jos jotain tapahtuu? Tämä antaa johdolle selkeän kuvan organisaation nykytilasta ja siitä, mitkä puutteet tulisi korjata ensisijaisesti.
Tämän pohjalta yritykset voivat ryhtyä käytännön toimenpiteisiin: selventää omistussuhteita, kartoittaa toimittajia, tarkistaa käyttöoikeuksia, ottaa käyttöön Zero Trust -periaatteet, päivittää asiakirjojen jakamista koskevia käytäntöjä, valvoa tekoälyn käyttöä, kouluttaa työntekijöitä realististen skenaarioiden pohjalta sekä tehdä yhteistyötä kokeneen kumppanin kanssa, jos sisäistä asiantuntemusta on rajoitetusti.
Pienempien organisaatioiden ei pitäisi yrittää rakentaa kaikkea kerralla. Niiden tulisi keskittyä ensin tärkeimpiin järjestelmiin, toimittajiin, tietoihin ja prosesseihin. Tavoitteena ei ole monimutkaisuus, vaan hallinta.
Säännösten noudattamisesta kyberresilienssiin
NIS2-direktiiviä ei pidä nähdä pelkästään sääntelytaakkana. Se on tilaisuus rakentaa vahvempia ja kestävämpiä organisaatioita. Direktiivi pakottaa johtoryhmät pohtimaan kysymyksiä, joita niiden pitäisi jo muutenkin pohtia. Ymmärrämmekö riskimme? Tunnemmeko toimittajamme? Hallitsemmeko pääsyä? Tiedämmekö, missä tietomme ovat? Olemmeko valmiita tietoturvaloukkaukseen? Voimmeko osoittaa, että rutiinimme toimivat?
Kyberturvallisuudesta on tullut johtamisen kannalta keskeinen kysymys, koska digitaaliset riskit ovat nykyään liiketoimintariskejä. Johtajien ei tarvitse tuntea jokaista teknistä yksityiskohtaa, mutta heidän on otettava vastuu asiasta.
Organisaatiot, jotka aloittavat toimet jo nyt, huolehtimalla läpinäkyvyydestä, hallintotavoista ja nykyisen kypsyystasonsa selkeästä ymmärtämisestä, ovat paremmin valmistautuneita NIS2-direktiiviin, asiakkaiden odotuksiin sekä uhkakuvioon, joka johti alun perin direktiivin tarpeeseen.
Sisällysluettelo
- NIS2-direktiivi yksinkertaisesti selitettynä: entinen oletus ei enää riitä
- Laajempi viitekehys: muuttuva uhkakuvio
- Kyberturvallisuus voidaan delegoida, mutta vastuuta ei
- Toimitusketjukin on nyt osa hyökkäyspintaa
- Tekoäly ja varjo-IT korostavat näkyvyyden merkitystä
- Säännösten noudattaminen alkaa jokapäiväisessä työssä
- Suurin virhe on odottaminen
- Aloita maturiteettitason arvioinnilla
- Säännösten noudattamisesta kyberresilienssiin
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Valoa ilmassa ja muita maailman ihmeitä
NetTalk: The Intelligent Network
5 merkkiä siitä, että yrityksesi on valmis NaaS-palveluun
Oletko kvanttitietoinen?
Pizzaperjantai: Liiketoiminnan Jatkuvuus
NaaS ja nollaluottamus
Ota yhteyttä
Uusin sisältö
Arvioinnista vaatimustenmukaisuuteen: OT-verkon kehittäminen käytännössä
Mitä johdon pitäisi ymmärtää verkon uusista uhista tekoälyaikana? Asiantuntijat kertovat