NIS2-direktiivi ja sen kansallinen toteutus Suomessa, eli kyberturvallisuuslaki, ovat olleet jo tovin voimassa. Näin kesälomien jälkeen on hyvä palautella mieleen taas mistä oikein on kysymys sekä tarkistaa tilanne oman organisaation kannalta. Olemmeko NIS2-toimija ja mitä meidän olisi jo tullut tehdä? Mitä meidän vielä pitäisi tehdä? Useita määräpäiviä on jo mennyt.
”I love deadlines. I love the whooshing noise they make as they go by.” – Douglas Adams
Mikäli määräpäivät suhahtivat ohi, niin kannattaa hoitaa asia kuntoon mahdollisimman pian. Tätä ei tarvitse tehdä yksin, Into Security voi auttaa prosessin kaikissa vaiheissa. Osaavien asiantuntijoiden avulla tilanne saadaan korjattua ripeästi.
Miten korjaat tilanteen?
Tässä lyhyt muistilista tilanteen korjaamiseen:
- Aloitamme selvitystyöllä ja gap-analyysillä. Mitä vielä puuttuu NIS2-vaatimustenmukaisuudesta eli mitä pitää tehdä? Tämän jälkeen lähdetään tekemään puuttuvia palikoita.
- Avustamme asiakasta gap-analyysin laatimisessa, riskienhallintamallin kehittämisessä, riskienhallintaprosessin tukemisessa ja operoinnissa, sekä riskienhallintakeinojen määrittelyssä.
- Autamme myös poikkeamailmoitusprosessin tekemisessä sekä NIS2-toimijaluetteloon ilmoittautumisessa.
Hyödynnä ISO 27001 -standardia
ISO 27001 helpottaa suuresti NIS2-vaatimusten täyttämistä ja toimii erinomaisena todistuksena vaatimustenmukaisuudesta. Jos olette miettineet sertifiointia, parempaa ajankohtaa on vaikea kuvitella.
Autamme standardinmukaisen hallintajärjestelmän rakentamisessa sekä operoinnissa. Tytäryhtiömme Into Certification on akkreditoitu ISO 27001 -sertifiointielin, joka tarjoaa virallisen sertifioinnin.
Muistilista tärkeistä määräpäivistä
- Kyberturvallisuuslaki ja sen velvoitteet astuivat voimaan 8.4.2025.
- NIS2-toimijaluetteloon ilmoittautuminen tuli tehdä 8.5.2025 mennessä kunkin toimialan valvovalle viranomaiselle.
- Riskienhallintaan tulee olla toimintamalli – eli riskienhallintapolitiikka ja menettelyt – tuli tehdä 8.7.2025 mennessä.
- Riskienhallinnan toimenpiteet, eli keinot, joilla organisaatioon kohdistuvia riskejä hallitaan ja pienennetään, tuli olla määriteltynä ja käytössä. Traficom on antanut suosituksen riskienhallinnan toimenpiteistä, joka antaa joitakin suuntaviivoja riskienhallinnan määrittämiselle.
Erityisesti tuo viimeinen kohta eli riskienhallinta sekä riskienhallinnan keinot ovat erittäin laaja kokonaisuus. Direktiivin ja lain vähimmäisvaatimukset ovat hyvin linjassa ISO 27001 -standardin kanssa. Tätä laajalti testattua ja toimivaksi todettua viitekehystä kannattaa siis hyödyntää. Ei kannata keksiä pyörää uudestaan!
Ville Koskinen
↳ Lue myös aiemmat kirjoitukseni NIS2-aiheesta:
Tietoturvallisuuden auditoinnit NIS2-vaatimustenmukaisuuden työkaluna