Kybersääntelyn viidakko tiukkenee – valjasta kokonaisvaltaisempi riskienhallinta navigaattoriksi

Posted on: 18/10/2024   By:Riikka Yrjönen

EU tiukentaa otettaan kyberturvallisuusasioissa. Uusimpana NIS2-kyberturvallisuusdirektiivi pakottaa yritykset tarkastelemaan riskejään suurennuslasin läpi. Pelkkä oman toiminnan arviointi ei riitä, vaan myös toimittajien riskit täytyy kartoittaa entistä säntillisemmin. Parhaiten menestyvät ne yritykset, jotka valjastavat riskienhallinnan yhä kokonaisvaltaisemmin navigaattoriksi kiristyvässä sääntelyssä.

Tietoturvauhkien lisääntyessä myös EU:n valvova silmä ulottuu yhä tarkkaavaisemmin yrityksiin. Uusimpana on vuoden 2022 lopussa julkaistu kyberturvallisuus- eli NIS2-direktiivi, jonka tarkoituksena on vahvistaa ja yhdenmukaistaa jäsenvaltioiden ja EU:n yhteistä kyberturvallisuustasoa yhteiskunnan kriittisillä sektoreilla. Suomessa direktiiviä aletaan soveltaa lokakuussa 2024, joten viimeistään nyt yritysten johdon on hyvä herätä asiaan.

NIS2-direktiivi korostaa entisestään riskienhallinnan tärkeyttä. Erityishuomio on riskianalyyseissä, toiminnan jatkuvuuden hallinnassa sekä tietoturvapoikkeamien käsittelyssä ja havainnoinnissa. On aika ottaa entistä ennakoivampi ja kokonaisvaltaisempi ote riskienhallintaan. Yrityksen täytyy kartoittaa omat tietoturvariskinsä, mutta tarkastella lisäksi samoja riskejä myös toimitusketjunsa osalta. Vaikka kyse on sääntelystä, riskienhallintaan panostaminen on ennen kaikkea organisaation itsensä etu. Kukaan ei halua, että kyberuhka pääsee uimaan organisaatioon toimitusketjussa olevan heikon lenkin kautta. Mikäli yrityksen johto ei suhtaudu uhkiin vakavasti, yritys voi saada merkittävät sakot.

– Tämä uusi direktiivi on lisäys jo aiempaan kybersääntelyn viidakkoon. Yrityksen pitää tarkastella riskejä kokonaisvaltaisesti ja peilata niitä olemassa olevaan sääntelyyn. Mitä ikinä sääntelyviidakko käskee tehdä, täytyy osata poimia itselle tärkeät asiat. Tämä kannattaa tehdä oman kyberturvallisuuden parantamiseksi, ei pelkästään raportoinnin tai sääntelyn vuoksi, toteaa tietoturva-asiantuntija Jukka Nokso-Koivisto Thalesin pilvitietoturvaan keskittyvästä Cloud Security & Licensing -yksiköstä.

Laaja sääntelyviidakko tietoturvauhkien taklaamiseksi

Uusin NIS2-direktiivi kumoaa aiemman suppeamman verkko- ja tietoturvadirektiivin eli NIS1-direktiivin. EU:n valvova katse ulottuu nyt laajemmin keskisuuriin ja suuriin yrityksiin kriittisiltä toimialoilta. Uusina toimialoina mukana ovat muun muassa energia (vety- ja latauspisteiden palveluntarjoajat), jätevesi, digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN, konesalit), julkishallinto, avaruus ja TVT-palveluiden hallinta.

Rahoitussektori painiskelee lisäksi jo vuonna 2025 voimaan astuvan Digital Operational Resilience Act (DORA) -asetuksen parissa, joka luo uusia vaatimuksia tietoturvalle ja salaukselle. Yritysten täytyy muun muassa perustaa ja ylläpitää toimintavarmoja ICT-järjestelmiä ja työkaluja, jotka minimoivat palveluihin liittyvien riskien vaikutukset sekä tunnistaa kriittiset toiminnot ja resurssit sekä seurata jatkuvasti kaikkia ICT-riskejä.

Kolmas keskeinen elementti kybersääntelyviidakossa on CER-direktiivi eli kriittisten toimijoiden häiriönsietokykydirektiivi. Sääntely koskettaa 10 kriittistä sektoria, jotka ovat pitkälti samoja kuin NIS2-direktiivissä: liikenne, energia, pankit, finanssimarkkinat, terveys, vesi- ja jätevesihuolto, digitaalinen infrastruktuuri, julkishallinto ja avaruus. Tavoitteena on parantaa toimijoiden häiriönsietokykyä.

– Sääntelykokonaisuutta voi ajatella peilinä, joka auttaa viemään omaa toimintaa kohti parempaa kyberturvallisuutta. Sääntely antaa yrityksille vähimmäisvaatimukset, mutta itselle kriittisimpiä toimintoja kannattaa suojata tarvittaessa enemmän. Myös pienempien yritysten kannattaa tehostaa strategista riskienhallintaansa, jotta mitkään tietoturvauhat eivät vaaranna sen toimintaa, Nokso-Koivisto lisää.

Ulkopuolinen kumppani datan salaamiseen

Data on yrityksen sydän. Mikäli kriittiset tiedot ajautuvat vääriin käsiin tai tuhoutuvat, koko liiketoiminta voi olla vaakalaudalla. Myös NIS2-direktiivi korostaa datan salauksen merkitystä. Yritysten täytyy laatia salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet.

Valtaosa yrityksistä varmistaa kriittisen datansa salaamisen ulkopuolisen kumppanin kanssa, jotta saavat suojattua tietonsa uusimman ja turvallisimman teknologian avulla.

Maailmanlaajuisesti toimiva tietoturvayhtiö Thales auttaa asiakkaitaan laatimaan laajoja suunnitelmia datan salaukseen. Sen tarjoama CipherTrust-järjestelmä on tarkoitettu kokonaisvaltaiseen automatisoituun ja keskitettyyn tiedon salaamiseen sekä salausavainten elinkaaren hallintaan. Tietoturva on viritetty huippuunsa, ja yrityksen toiminta on turvattu kyberuhkien vaaniessa ympärillä.

Lue lisää kyberturvallisuus- eli NIS2-direktiivistä tästä.

Lue lisää miten Thalesin ratkaisut auttavat Euroopan unionin NIS2-direktiivin noudattamisessa tästä sekä Thalesin tarjoamista salauspalveluista tästä.

EU:n kyberturvallisuus- eli NIS2-direktiivi

  • Korvaa aiemman verkko- ja tietoturva- eli NIS1-direktiivin
  • Tavoitteena on vahvistaa ja yhdenmukaistaa jäsenvaltioiden ja EU:n yhteistä kyberturvallisuustasoa kriittisillä toimialoilla.
  • Kansallisen täytäntöönpanon määräaika 17.10.2024
  • Koskettaa yhä useampaa yritystä ja toimialaa (jaottelu keskeisiin ja tärkeisiin toimijoihin)
  • Tarkennetut riskienhallintavelvoitteet
  • Kolmiportainen raportointivelvoite merkittävistä kyberpoikkeamista
  • Yksityiskohtaisempia ja laajempia edellytyksiä valvontatoimivaltuuksille
  • Haavoittuvuuksien tunnistaminen ja varautuminen laajamittaisten kyberhäiriöiden varalle
  • Laadittava salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet
  • Seuraamusmaksut riskienhallinta- ja raportointivelvoitteiden laiminlyönnistä

 

Ota yhteyttä Exclusive Networks Finlandin Mikko Strengiin saadaksesi lisää infoa Thalesista.