Auditoin vuosittain kymmeniä organisaatioita, joilla on jo ISO 27001 -sertifiointi. Kyberturvallisuuslain (NIS2) voimaan tulon jälkeen on noussut esiin kysymys: riittääkö olemassa oleva tietoturvallisuuden hallintajärjestelmämme myös NIS2-vaatimusten täyttämiseen?
Lyhyt vastaus on, että se riittää pitkälle.
Kävin NIS2:n vaatimukset ja ISO 27001:n kontrollit läpi teema kerrallaan. Avaan seuraavassa, missä nämä kaksi kohtaavat — ja missä NIS2 edellyttää jotakin, mitä ISO 27001 ei yksin kata.
Vahva yhteinen perusta
ISO 27001 -sertifioitu organisaatio on NIS2-valmiudessa merkittävästi paremmassa asemassa kuin sertifioimaton organisaatio. Yhteinen operatiivinen ydin kattaa arviolta 80–90 prosenttia vaatimuksista.
Alla ylätason vertailu näiden päällekkäisyydestä:
| Teema | ISO 27001 | NIS2 | Päällekkäisyys |
| Hallintamalli ja johtamisjärjestelmä sekä riskienhallinta | Edellyttää ISMS:n perustamista, toteuttamista, ylläpitoa ja jatkuvaa parantamista. Riskienhallinta on ISMS:n ydin: tunnistaminen, arviointi, käsittely, seuranta | Edellyttää kyberturvallisuuden riskienhallintatoimia osana toimintaa, joka käytännössä johtaa tietoturvallisuuden hallintamallin luomiseen, jotta direktiivin artikla 21:n mukaiset toimet (tekniset, operatiiviset ja organisatoriset) voidaan asianmukaisesti toteuttaa. | Erittäin korkea |
| Tietoturvapolitiikat | Vaatii politiikat ja menettelyt | Tietojärjestelmien turvallisuus- ja riskienhallinta- politiikat (ENISAn ohjeistus) | Korkea |
| Poikkeamien hallinta | ISO tukee poikkeamien hallintaa. Tietoturvahäiriöiden hallinnan suunnittelu, valmistelu ja käsittely. Tietoturvatapahtumien arviointi. | Poikkeamahallinta + viranomais- ilmoitukset | Korkea (NIS2 laajempi) |
| Jatkuvuudenhallinta | Osa ISO 27001:n riskikäsittelyä ja resilienssiä (business continuity, disaster recovery, varmuuskopiointi) | Jatkuvuus, varmuuskopiot, palautuminen, kriisinhallinta | Korkea |
| Toimitusketjun turvallisuus | Osana riskienhallintaa ja kontrollivalintoja. Toimittajasuhteiden tietoturvallisuuden vaatimuksien määrittäminen ja valvonta | Nimenomainen vaatimus toimitusketjun turvallisuudelle. (supply chain securityn ja toimittajasuhteiden turvallisuus) | Korkea |
| Hankinta ja kehitys | Osana riskienhallintaa ja kontrollivalintoja. Toimittajasuhteet, pilvipalvelut, tietojärjestelmien ja sovellusten hankinta sekä elinkaari. | Turvallisuus verkko- ja tietojärjestelmien hankinnassa, kehityksessä, ylläpidossa ja haavoittuvuuksien käsittelyssä | Korkea |
| Tehokkuuden arviointi | Sisäiset auditoinnit, johdon katselmukset, mittaaminen ja parantaminen | Riskienhallintatoimien tehokkuuden arviointi | Erittäin korkea |
| Koulutus ja perushygienia | Osaaminen, tietoisuus, ohjeistukset ja prosessit. | Kyberhygienia, koulutus, ohjeistus | Korkea |
| Kryptografia | Riskiperusteinen kontrollivalinta. Salauksen vaikuttava käyttö ja salausavaimien hallinta | Tarvittaessa salaus, suojatut viestintäkäytännöt | Keskitaso |
| Pääsyn- hallinta | Riskiperusteinen kontrollivalinta. Käyttäjien ja ylläpitäjien tunnistaminen, sekä pääsyoikeuksien hallinta | Käyttäjien pääsynhallinnan määrittely, käyttäjien tunnistaminen, pääsyoikeuksien katselmointi, monivaiheinen tunnistautuminen | Korkea |
Käytännössä tilanne on se, että ISO 27001 -sertifioidulla organisaatiolla on valmiina ISMS-rakenne, riskiarvioinnit, politiikat, sisäiset auditoinnit sekä johdon katselmukset. Myös todistepohja on olemassa (SoA, kontrollikuvaukset ja mittarit).
Ja siksi NIS2-työtä ei tarvitse aloittaa nollasta.
Missä kohtaa ISO 27001 ei riitä
Noin 10–20 prosenttia NIS2:n vaatimuksista on sellaisia, joihin ISO 27001 ei ota kantaa tai ottaa kantaa vain osittain.
Tunnistin seitsemän lisävelvoitetta: johdon henkilökohtainen vastuu, johdon ja muun henkilöstön pakollinen kyberturvakoulutus, viranomaisilmoitukset, valvontaoikeudet, sanktiot, soveltamisalan pakollisuus (sektorit, joiden tulee noudattaa vaatimuksia) sekä sektorikohtaiset EU-tason täsmennykset.
Jaan nämä lisävelvoitteet kolmeen kokonaisuuteen:
1. Johdon rooli muuttuu (henkilökohtainen vastuu, johdon ja henkilöstön kyberturvakoulutus korostuu)
NIS2 edellyttää, että johto hyväksyy kyberturvatoimet, valvoo niiden toteuttamista ja että johto voidaan asettaa henkilökohtaiseen vastuuseen laiminlyönneistä. Lisäksi johdon on aktiivisesti ymmärrettävä kyberturvariskejä — pelkkä yleinen osaaminen ei riitä. ISO 27001 sisältää leadership-vaatimuksen, mutta sanktioitua henkilövastuuta siinä ei ole. Käytännössä tässä kohtaa hallituksen jäsenet alkavat tavallisesti esittää johdolle ja CISOlle tarkentavia kysymyksiä.
2. Viranomaisrajapinta syntyy (ilmoitusvelvollisuus, valvontaoikeudet, sanktiot)
ISO-maailmassa organisaation ja viranomaisen välistä suhdetta ei välttämättä ole — sertifiointi on vapaaehtoista, ja auditoija on akkreditoitu sertifiointielin, ei viranomainen. NIS2 muuttaa tämän melko perusteellisesti. Tietoturvapoikkeamasta on tehtävä ennakkovaroitus 24 tunnin kuluessa, varsinainen ilmoitus 72 tunnin kuluessa ja poikkeaman päätyttyä on toimitettava loppuraportti. Kansallisilla viranomaisilla on oikeus tarkastaa, vaatia dokumentaatiota ja suorittaa auditointeja. Laiminlyönnistä voi seurata merkittäviä hallinnollisia sakkoja — logiikka on tuttu GDPR:stä. 24 tunnin aikaraja kuulostaa yksinkertaiselta, mutta harva organisaatio on testannut, pystyykö se siihen. Pelkkä prosessikuvaus ei riitä — sitä on harjoiteltava.
3. Lain sitovuus ja sektorikohtaisuus (soveltamisalan pakollisuus, sektorikohtaiset EU-tason täsmennykset)
ISO 27001 on vapaaehtoinen standardi. NIS2 (kyberturvallisuuslaki) on nimensä mukaisesti laki. Kriittisillä sektoreilla vaatimustenmukaisuus on pakollista, ja EU:n täytäntöönpanoasetus 2024/2690 täsmentää teknisiä minimivaatimuksia tietyille digitaalisille palveluntarjoajille. ISO 27001 antaa toimivan kehyksen, mutta se ei kata näitä sektorikohtaisia lakivelvoitteita.
ISO 27001 nopeuttaa NIS2-työtä
ISO 27001 on siis erinomainen lähtökohta NIS2-ohjelman rakentamiseen. Organisaatioilla, joilla hallintajärjestelmä on jo kunnossa, kohdennetun gap-analyysin tekeminen on helpompaa. Todistepohja on valmiina ja edellä kuvattujen seitsemän lisävelvoitteen tunnistaminen on selkeästi rajattu tehtävä.
Yksi huomio vastuista: NIS2-lisävelvoitteet kohdistuvat usein eri vastuuhenkilöihin kuin ISO-vaatimukset. Viranomaisilmoitukset eivät ole CISO:n yksin vastuulla — ne vaativat lakiosaajan, viestinnän ja johdon yhteispeliä. Gap-analyysissä kannattaa tunnistaa jokaiselle puutteelle omistaja erikseen.
Jos organisaatiossasi on ISO 27001 -sertifiointi ja pohdit NIS2-valmiutta, gap-analyysi on käytännössä tehokkain seuraava askel. Olemassa oleva hallintajärjestelmä tekee tästä suoraviivaista ja uskallan luvata, että tulokset ovat konkreettisia.
Jos NIS2-valmius on ajankohtainen, ota yhteyttä, niin katsotaan tilanteenne yhdessä.
Ville Koskinen
COO & Lead Auditor
—
Olen aiemmin kirjoittanut johdon NIS2-velvoitteista ja auditoinneista NIS2-vaatimustenmukaisuuden työkaluna.