Mitä kyberturvallisuuslaki konkreettisesti vaatii – yksittäisistä toimista todennettavaan johtamiseen
Blogi osa 2:
NIS2 ja kyberturvallisuuslaki eivät ole hetkellinen ”harjoitus” tai yksittäinen vaatimusten täyttämisen projekti. Ne ohjaavat organisaatioita kohti strategista kyberturvallisuuden johtamista, jossa riskienhallinta, toiminnan jatkuvuus ja vastuiden määrittely ovat osa normaalia toimintaa ja päätöksentekoa.
Kyberturvallisuuslain ydin tiivistettynä
Kyberturvallisuuslaki asettaa lain piiriin kuuluville organisaatioille velvoitteita erityisesti kuudella osa-alueella:
- Ilmoittautumisvelvoite – toimijan on tunnistettava kuuluvansa lain piiriin ja ilmoittauduttava valvovalle viranomaiselle.
- Riskienhallintavelvoite – kyberturvallisuuteen liittyvän riskienhallinnan on oltava jatkuvaa, ei kertaluonteista. Riskit on tunnistettava, arvioitava ja hallittava.
- Johdon vastuu – johto vastaa riskienhallinnan järjestämisestä, riittävästä resursoinnista ja toiminnan valvonnasta.
- Poikkeamien ilmoittaminen – merkittävistä kyberturvallisuuspoikkeamista on ilmoitettava viranomaiselle viipymättä.
- Dokumentointivelvoite – pelkkä tekeminen ei riitä, vaan toiminta on pystyttävä osoittamaan jälkikäteen. Dokumentaatiosta tulee ilmetä ainakin riskienhallinnan toimintamalli, valvonnan ja johdon vastuiden määrittely, poikkeamien käsittely ja toimittajahallinnan menettelyt.
- Valvonnan ja viranomaisyhteistyön velvoite – organisaation on kyettävä toimittamaan viranomaisille pyydetyt tiedot lain vaatimusten toteutumisesta.
Näitä velvoitteita yhdistää yksi keskeinen tekijä: todennettavuus. Ilman rakennettua toimintamallia vaatimusten täyttäminen jää sattumanvaraiseksi, eikä sitä pystytä luotettavasti todentamaan.
12 riskienhallintavelvoitetta – käytännössä hallintajärjestelmä
Kun kyberturvallisuuslain 12 riskienhallintavelvoitetta puretaan auki, ne ulottuvat koko organisaation toimintaan:
- kyberturvallisuutta koskevat riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi
- viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet
- viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi
- toimitusketjun suorien toimittajien tuotteiden ja palveluntarjoajien palvelujen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet sekä kyberturvallisuuskäytännöt
- omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
- henkilöstöturvallisuus ja kyberturvallisuuskoulutus
- pääsynhallinnan ja todentamisen menettelyt
- salausmenetelmiä koskevat toimintaperiaatteet ja tarvittaessa suojatun viestinnän ratkaisut
- poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi
- varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta
- perustason tietoturvakäytännöt toiminnan, tiedon, laitteiden ja ohjelmistojen suojaamiseksi
- fyysiseen ympäristöön, tilaturvallisuuteen ja välttämättömien resurssien varmistamiseen liittyvät toimenpiteet
Lain piiriin kuuluvan toimijan näkökulmasta keskeinen havainto on tämä: edellä olevat riskienhallintavelvoitteet eivät ole irrallisia yksittäisvaatimuksia, vaan ne muodostavat kokonaisen tietoturvallisuuden hallintajärjestelmän, halusi organisaatio sitä tai ei.
Miksi moni kokee olevansa valmis – vaikka kokonaisuus ei ole vielä hallussa
Monessa organisaatiossa yksittäiset osa‑alueet voivat olla jo hyvällä tasolla. Teknisiä kontrolleja on toteutettu, prosesseja on kuvattu ja auditointeja on tehty. Haaste syntyy siitä, että kokonaisuutta ei ole koottu yhdeksi johdetuksi ja todennettavaksi malliksi, jota myös johto systemaattisesti ohjaa ja valvoo.
Kyberturvallisuuslaki ei edellytä sertifioitumista. Käytännössä moni organisaatio kuitenkin huomaa nopeasti, että:
- lakivaatimukset vastaavat pitkälti ISO/IEC 27001 -standardin rakennetta
- standardi tarjoaa valmiin ja testatun mallin riskiperusteiseen johtamiseen
- dokumentaatio, roolit ja vastuut tulevat yhdenmukaisesti hallintaan
- viitekehys mahdollistaa kolmannen osapuolen tekemän todennuksen, mikä lisää luottamusta sekä organisaation sisällä että sidosryhmissä
Sertifiointilaitoksen näkökulmasta näemme päivittäin, että organisaatiot, jotka lähestyvät NIS2-vaatimuksia hallintajärjestelmän kautta, selviävät velvoitteista hallitummin ja usein samalla parantavat liiketoimintansa resilienssiä.
Jos haluat varmistaa, miltä oma NIS2‑valmius näyttää kokonaisuutena ja miten nykyinen tekeminen on todennettavissa, asiantuntijamme käyvät mielellään tilannetta läpi kanssanne:
Blogin kirjoittaja:
Johannes Lindell
Turvallisuuden liiketoimintapäällikkö, Kiwa Suomi
Tietoturva ja tietoturvallisuuden hallintajärjestelmän sertifiointi (ISO/IEC 27001)
Kansainvälisen ISO/IEC 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä on kilpailutekijä ja merkki luotettavuudesta. Ota yhteyttä ja kysy lisää.
Funidatan tietoturvakulttuuri kukoistaa ISO/IEC 27001 -sertifikaatin myötä
"Yhteistyö Kiwan kanssa oli toimivaa. Auditointiprosessi mentiin hyvässä ja rakentavassa hengessä. Kiwan auditoija oli aiemmin ollut töissä ammattikorkeakoulussa, joten hän tunsi toimintaympäristömme, ja se toi meille lisäarvoa prosessin aikana." – Mikko Myllys, Toimitusjohtaja, Funidata
Magic Cloud koki hyötyvänsä ISO 27001 -sertifioinnista, vaikka teknisesti tietoturva-asiat olivat jo kunnossa
"Uusien asiakkaiden hankinnassa voi olla hidaste tai jopa este, mikäli ulkopuolista evidenssiä tietoturva-asioiden oikeanlaisesta hoidosta ei ole." -Timo Haapavuori, Magic Cloud
Ota yhteyttä
Voit jättää meille yhteydenottopyynnön tällä lomakkeella. Olemme sinuun yhteydessä mahdollisimman pian.