Joonatan Vilén
Chief Information Security Officer
23/02/2024
NIS2-direktiivi astui voimaan 2023 syksyllä, ja sen täytäntöönpano Suomessa alkaa 2024 lokakuussa – eli pian. Osa yrityksistä on valmistautunut direktiivin säädöksiin jo nyt. Toiset ovat taas havahtuneet selvittämään, koskeeko NIS2 omaa liiketoimintaa, ja loput ovat vielä toistaiseksi tyytyneet tarkkailemaan ympäristöään.
Mitä kaikkea tähän tietoturvadirektiiviin liittyy, ja miten sen toteuttamista kannattaisi lähestyä? NetNordicin tietoturvajohtaja Joonatan Vilén ja toimitusjohtaja Mika Vihervuori kertovat tärppinsä NIS2-vaatimustenmukaisuuden varmistamiseksi.
”NIS2-direktiivin tarkoitus on vahvistaa ja yhdenmukaistaa koko Euroopan Unionin kyberturvallisuuden kenttää ja kasvattaa resilienssiä kyberuhkia vastaan. Näen, että se on enemmänkin EU-maiden välistä kyberturvallisuusyhteistyötä kuin pelkkä yrityksiä koskeva lainsäädäntö” Vilén pohjustaa.
NIS2-direktiivin yhteydessä on puhuttu sen vaikuttavan yrityksiin, jotka toimivat tietoliikenneyhteyksistä riippuvaisilla, yhteiskuntakriittisillä toimialoilla. Näihin lukeutuvat esimerkiksi terveydenhuolto, energia-ala, rahoitus- ja pankkitoimialat sekä liikenne. Todellisuudessa tuore direktiivi tulee vaikuttamaan laajaan joukkoon yrityksiä, kun yritykset ulottavat direktiivin vaatimukset myös hankintaketjuunsa.
Hankintaketjuja tulee tässä yhteydessä ajatella myös kahteen suuntaan: on huomioitava paitsi ne tahot, keneltä hankitaan, myös omat asiakkaat, joille tuotteita tai palveluita toimitetaan”, Vilén muistuttaa.
Vilénin mukaan NIS2-direktiivi vaikuttaa yrityksiin pääosin kolmella tietoturvan osa-alueella: se luo velvoitteita riskienhallinnan, poikkeamiin reagoimisen eli incident responsen ja tietoturvahäiriöistä raportoimisen saralla.
Vilén korostaa, että NIS2:n vaatimusten täyttämiseksi pelkät tekniset korjaukset eivät riitä, vaan esimerkiksi riskienhallinnalle täytyy laatia tarkat prosessit. Kun nämä prosessit ovat kunnossa, niin sitten katseen voi kääntää teknisiin toimenpiteisiin, joita luetellaan muun muassa direktiivin artiklassa numero 21.
”Laadukas tietoturvakumppani pystyy tukemaan sekä prosessien että teknisen tietoturvan kehittämisessä. Työskentelemme päivittäin yhteiskuntakriittisillä aloilla toimivien yritysten kanssa, joten ymmärrämme asiakkaiden velvollisuudet”, kertoo puolestaan Vihervuori.
”Esimerkiksi tarjoamamme erilaiset tietoturva-auditoinnit voivat auttaa luomaan kuvaa siitä, että miten NIS2-direktiivin velvoitteet toteutuvat tällä haavaa.”
Viranomaisille tulee NIS2-direktiivin vaatimusten mukaan jatkossa raportoida vuorokauden sisällä siitä, jos on havaittu merkittävä tietoturvapoikkeama, joka on omiaan aiheuttamaan taloudellista tappiota. Tämä on Vilénin mukaan rajanvetona haastava, sillä tietoturvapoikkeamat aiheuttavat yleensä aina kuluja.
”Raportointivelvollisuus voi käydä raskaaksi, sillä sellaista ei joudu yrityksessä usein tekemään”, hän kertoo. Asiantuntijat pohtivat, että joissain yrityksissä voi olla vaarana, että raportointivelvollisuus valuu vaikkapa viestinnän kontolle.
”Meidän kaltaisellemme tietoturvakumppanille se on taas jokapäiväistä leipää, joten pystymme hoitamaan raportoinnin sujuvasti. Tiedämme myös tarkalleen, mitä tietoja viranomaiset tarvitsevat, ja mitä taas ei tarvitse mainita.”
Asiantuntijoiden mukaan yrityksissä on usein varauduttu puutteellisesti kriisitilanteisiin. ”Kärjistetysti voisi sanoa, että vaikka henkilökunnan tekninen osaaminen riittäisi, saattaa käydä niin, että valmiuksia 24/7-päivystykseen ei ole, vaan kaikki kokoontuvat ja 12 tunnin päästä menevät uupuneena nukkumaan, eikä kukaan ole enää valvomassa”, Vilén kertoo esimerkin.
”Lisäksi, jos tietoturvaosaaminen on rajallisempaa, niin yleensä ratkaisu on vain ajaa laitteet ja verkot alas, kun taas asiantunteva incident response -tiimi pystyy tarkemmin selvittämään, mitä on tapahtunut”, Vihervuori täydentää.
Vilénin ja Vihervuoren arvion mukaan monella yrityksellä on vielä pitkä matka NIS2-vaatimustenmukaisuuteen. Omaa valmiutta reagoida tietoturvapoikkeamiin ja suoranaisiin kyberuhkiin kannattaa toki arvioida muutenkin, mutta ymmärrettävästi muuttuvat EU-säädökset toimivat hyvänä lisäkannustimena. Monipuolinen kumppani pystyy tukemaan tässä niin auditoinnin osalta, kuin tukemaan itse muutosten toteuttamisessa.
”Meidän erityisosaamistamme palkitun tietoturvaosaamisen ohella ovat verkot ja IT-infra. Pystymme esimerkiksi varmistamaan tuotannon verkkojen sekä tiedon tallennuksen tietoturvaa ja kokonaisuudessaan turvaaman tehokkaasti yrityksen toiminnan jatkuvuutta”, kertoo Vihervuori.
Haluaisitko selvittää, miten yrityksesi täyttää NIS2-direktiivin vaatimukset ja kartoittaa tietoturvan nykytilaa? NetNordicin asiantuntijat auttavat mielellään, ota rohkeasti yhteyttä!
Security Operations Center, tuttavallisemmin SOC-palvelu, tuo turvan yritykseesi osaavan henkilöstön, lokienhallinnan, tietoturvavalvonnan ja poikkeusten käsittelyn avulla – aina kiinteään hintaan.
NetNordic SOC voi havaita kyberturvallisuusuhkia, lieventää mahdollisia hyökkäyksiä ja vaaratilanteita sekä eristää ja estää poikkeamia asiakkaidemme IT-ympäristössä – SOC-henkilöstömme toimesta 24/7/365.
NetNordicissa me teemme proaktiivista uhkien metsästystä SIEMin avulla. Siihen sisältyy perusteellinen seuranta ja korjausten hallinta.
NIS2-direktiivi astui voimaan 2023 syksyllä, ja sen täytäntöönpano Suomessa alkaa 2024 lokakuussa – eli pian. Osa yrityksistä on valmistautunut direktiivin säädöksiin jo nyt. Toiset ovat taas havahtuneet selvittämään, koskeeko NIS2 omaa liiketoimintaa, ja loput ovat...
Lue lisää
Vuosi 2024 on NetNordicilla alkanut vauhdikkaasti. Julkistus uusista yrityskaupoista vahvistaa ennestään pilviosaamistamme, mutta erityisesti tietoturvan saralla on tapahtunut jo paljon. Asiantuntijamme seuraavat jatkuvasti kyberturvallisuuden kentän kehitystä varmistaakseen, että asiakkaillamme on paras suojaus alati muuttuvia tietoturvauhkia...
Lue lisää
NetNordicin ja AddSecuren suhteella on tärkeä rooli AddSecuren digitaalisen omaisuuden turvaamisessa! AddSecure on eurooppalainen yritys, jolla on noin 50 000 turvallisten IoT-yhteyksien alalla toimivaa asiakasta, ja se käsittelee päivittäin noin 550 000 kriittisen tärkeää yhteyttä....
Lue lisää
Managers often delegate responsibility and risk ownership when they shouldn’t. It’s not uncommon for an employee to identify a risk, report it to management, and have it ignored. However, management should be the ones making...
Lue lisää
”NetNordic on ollut mahtava kumppani, olemme tehneet heidän kanssaan yhteistyötä ja teemme sitä jatkossakin”, sanoo Wihuri Groupin tietohallintojohtaja Juha-Matti Heino. Wihuri on globaali suomalainen teollisuus- ja kauppakonserni, joka toimii pakkausten, päivittäistavaroiden tukkukaupan, teknisen kaupan ja...
Lue lisää
Nomentia on eurooppalaisten kassanhallinta- ja kassanhallintaratkaisujen kategoriajohtaja, ja sen tavoitteena on tarjota ainutlaatuisia pilvipohjaisia kassanhallinta- ja kassanhallintaratkaisuja. Yritys asettaa suuren painoarvon tietojensa turvallisuudelle, pitäen sitä yhtenä keskeisimmistä velvollisuuksistaan. Tässä pyrkimyksessään vahvistaa kybervalmiuksiaan Nomentia valitsi kumppanikseen...
Lue lisää
Tiesitkö, että vuonna 2022 tietoturvaloukkauksen havaitseminen kesti keskimäärin 277 päivää ja tietoturvaloukkauksen rajoittaminen 70 päivää. Ponemon Instituten ja IBM Securityn vuonna 2022 julkaiseman raportin mukaan 277 päivän keskiarvo vuonna 2022 tarkoittaa, että jos tietoturvaloukkaus tapahtuisi...
Lue lisää
NetNordic osallistui ”Splunk Boss of the SOC” -haasteeseen ja voitti! Yli 350 osallistuneen tiimin joukosta NetNordic SOC osoitti huippuosaamisemme ja sai kunniakkaan ensimmäisen sijan.Boss of the SOC -kilpailu on sinisen joukkueen versio Capture the flag...
Lue lisää
Kesä lähenee ja sen mukana myös paljon odotetut lomat! Jokaisella meillä on enemmän tai vähemmän kiire päättää alkuvuoden kiireet, valmistella syys- ja talvikautta, sekä varmistella terassit ja mökkipihat kesäjuhlien ja rentojen lepopäivien viettoon. On silti...
Lue lisää
Red Team Testing, tai Red Teaming, on hyvin erilainen testaustapa normaalista penetraatiotestauksesta, jossa testataan verkkopalveluja. Red Teamingissa digitaalisen tietomurron lisäksi on myös fyysinen turvallisuuden testaus, joka tarkoittaa, että menemme paikan päälle yritystiloihin yrittäen murtautua rakennuksiin,...
Lue lisää
Penetraatiotestaus, englanniksi ’penetration testing’ tai ’pen test’, on auktorisoitu simuloitu verkkohyökkäys, jossa käytetään testaustekniikkaa järjestelmän kaikkien haavoittuvuuksien tunnistamiseksi ja sen turvallisuustason arvioimiseksi. Penetraatiotestaus on eräänlainen tietoturvatarkastus, jolla varmistetaan ohjelmiston suojaus joko ennen tuotantoon siirtymistä tai...
Lue lisää
Kyberrikollisuus jatkaa vauhdikasta kehittymistään ja monipuolistumistaan. Kyberhyökkäyksiä on myös entistä helpompi tehdä, koska rikolliset voivat ostaa helposti ja halvalla vahvaankin hyökkäykseen vaadittavat välineet ja kapasiteetin. Aiheesta on tehty useita tutkimuksia ja tilastoja, joista käytännössä kaikki...
Lue lisää