NIS2 astuu voimaan – Miten teollisuusyritykset voivat varautua?
NIS2-direktiivin (EU) 2022/2555 tarkoituksena on vastata nykypäivän muuttuneeseen kybertoimintaympäristöön ja parantaa koko EU:n turvallisuudentasoa. Direktiivin vaikutusalanpiirissä ovat toimijat, joiden toiminnan katsotaan olevan yhteiskunnan kannalta kriittistä.
Direktiivi aiheuttaa useissa teollisuusyrityksissä toimenpiteitä – tai ainakin prosessien tarkempaa tarkastelua. NIS2:n on määrä tulla osaksi kansallista lainsäädäntöä lokakuussa 2024, jolloin myös vaatimukset ja yksityiskohdat tarkentuvat. Direktiivistä on kuitenkin jo saatavilla hyvin tietoa ja varautuminen kannattaa aloittaa nyt.
Tässä artikkelissa saat tietoa siitä, mitä NIS2 -direktiivillä tarkoitetaan, mitkä toimialat ovat sen piirissä ja mitä vaatimuksia toimijoille asetetaan. Kerromme myös ratkaisusta, joka helpottaa huomattavasti vaatimusten täyttämistä.
Mikä on NIS2?
NIS2 on kyberturvallisuusdirektiivi (EU 2022/2555), jonka avulla pyritään parantamaan EU:n ja sen jäsenvaltioiden kyberturvallisuuden tasoa. Direktiivissä esitetään vähimmäisvaatimukset, jotka direktiivin piirissä olevien toimijoiden tulee täyttää sanktioiden uhalla. Nämä vaatimukset pitävät sisällään kyberturvallisuutta vahvistavia riskienhallinta- ja raportointivelvoitteita. NIS2 -direktiivin on määrä tulla osaksi kansallista lainsäädäntöä 18.10.2024 mennessä. Se kumoaa aiemman verkko- ja tietoturvadirektiivin NIS1 (NIS1-direktiivi, 2016/1148).
Mitkä toimialat kuuluvat NIS2 direktiivin piiriin?
NIS2 soveltamisala on tuplasti isompi kuin edeltäjänsä, NIS1:n. Määrällisesti eniten uusia yrityksiä nousee direktiivin piiriin valmistussektorilta. Kemikaalien ja elintarvikkeiden osalta NIS2 koskee kattavasti niin valmistusta, tuotantoa kuin myös jakelua. Energia-alaa ja terveydenhuollon parissa toimia yrityksiä NIS2 taas koskee entistä laajemmin. Tarkan listauksen näet alla olevasta taulukosta.
Direktiivi jakaa toimijat kahteen luokkaa; Keskeiset ja Tärkeät. Tämä jaottelu on merkityksellinen valvonnan ja seuraamusjärjestelmän kannalta.
| KESKEISET | TÄRKEÄT |
|---|---|
| Energia ( + vety ja latauspisteiden palveluntarjoajat*) | Posti ja Kuriiripalvelut* |
| Terveys | Jätehuolto* |
| Juomavesi | Kemikaalien valmistus, tuotanto & jakelu* |
| Jätevesi* | Elintarvikkeiden valmistus, tuotanto & jakelu* |
| Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN, konesalit*) | Valmistus * (mm. kulkuneuvot, lääkintä- ja sähkölaitteet) |
| TVT -palveluiden hallinta* (yritysten välinen) | Digitaalisten palveluiden tarjoajat (verkkoyhteistöalustojen tarjoajat*) |
| Avaruus* | Tutkimustoiminta* |
| Liikenne | |
| Pankkitoiminta | |
| Finanssimarkkinoiden infrastruktuuri | |
| Julkishallinto |
Säätely koskee keskisuuria ja suuria yrityksiä, mutta poikkeuksiakin löytyy. Keskeistä on, että toimija tekee yhteiskunnan kannalta kriittistä työtä ja näin ollen tiukemmat kyberturvallisuusmääräykset ovat heidän kohdallaan perusteltuja. Yleisesti voidaan kuitenkin sanoa, että mikäli yrityksessä on alle 50 henkilöä töissä ja sen liikevaihto jää alle 10 miljoonan euron vuodessa se ei kuulu direktiivin piiriin.
Keskisuuren yrityksen määritelmä: Yritys työllistää vähintään 50 työntekijää tai liikevaihto ja tase on yli 10 miljoonaa.
Suuren yrityksen määritelmä: Yritys työllistää vähintään 250 henkilöä tai liikevaihto yli 50 miljoona ja tase yli 43 miljoonaa.
Direktiivin laiminlyönti aiheuttaa merkittäviä sanktioita, jotka kipuavat aina 10 miljoonaan euroon tai 2 % yrityksen maailmanlaajuisista vuosituloista.
NIS2 vaatimukset
NIS2:ssa hallintoelimillä ja ylimmällä johdolla on entistä keskeisempi ja aktiivisempi rooli kyberturvallisuuden parantamisen suhteen. Tärkeää on, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin.
NIS2 vähimmäisvaatimukset pitävät sisällään:
| 1. | Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat |
| 2. | Poikkeamien käsittely |
| 3. | Toiminnan jatkuvuuden hallinta (esim. kriisinhallinta, varmuuskopiointi ja palautumissuunnittelu) |
| 4. | Toimitusketjun turvallisuus (ml. kunkin toimijan ja sen välittömien toimittajien ja palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat) |
| 5. | Verkko- ja tietojärjestelmin hankinnan, kehittämisen ja ylläpidon turvallisuus (ml. haavoittuvuuksien käsittely ja julkaiseminen) |
| 6. | Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta |
| 7. | Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus |
| 8. | Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja salauksen käyttöä |
| 9. | Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta |
| 10. | Tarvittaessa monivaiheisen todennuksen / jatkuvan todennukset käyttö |
Raportointivelvoite
Yritysten on huolehdittava raportointivelvoitteesta. Se tarkoittaa muun muassa sitä, että yritysten tulee toimittaa 24 tunnin kuluessa ilmoitus kyberuhkista, jotka olisivat saattaneet johtaa merkittävään vaaratilanteeseen. Jatkoilmoitus on toimitettava 72 tunnin kuluessa ja loppuraportti 1 kuukauden kuluessa (=kolmiportainen raportointivelvoite). Mikäli tilanne ei ole vielä ohi kuukauden kuluttua, on toimitettava väliraportti. Raportti toimitetaan oman alan valvovalle viranomaiselle, esimerkiksi Trafille.
octoplant auttaa täyttämään NIS2 -direktiivin vähimmäisvaatimukset:
octoplant on modulaarinen ohjelmistoalusta, jossa yhdistyvät automaatio-ohjelmistojen ja OT-laitteiden varmuuskopiointi, versionhallinta ja kyberturvallisuus.
Työkalu auttaa vastaamaan NIS2:n vaatimuksiin ja velvoitteisiin teollisessa ympäristössä. Seuraavista kappaleista voit lukea, miten eri moduulit (kuvassa) auttavat täyttämään vaatimukset. Esimerkiksi Threat Protection -moduuli vastaa jo yksinään kolmeen enismmäiseen vähimmäisvaatimukseen. octoplantin erinomaisten raportointityökalujen avulla myös vaativan raportointivelvoitteen täyttäminen tapahtuu helposti ja asianmukaisesti.
Kyseessä ei ole kyberturvallisuusjärjestelmä, vaan johtava työkalu tuotantolaitosten automaation kokonaisvaltaiseen hallintaan. octoplantin avulla pystyt havaitsemaan epäilyttävät muutokset ajoissa ja mahdollistaa nopean reagoinnin. Automaattinen varmuuskopiointi ja versionhallinta pitävät huolen siitä, että pystyt nopeasti palauttamaan tuotannon edelliseen toimivaan tilaan ja välttää kalliit seisokit.
Riskianalyysi ja tietojärjestelmien turvallisuutta koskeva politiikka
[vähimmäisvaatimus 1]
Threat Protection -moduuli on tehokas työkalu riskianalyysien tekemiseen OT-ympäristössä.
Se auttaa tunnistamaan tuotantoympäristön haavoittuvuuksia ja pisteyttää ne oletettavan riskin mukaan. Näin yritykset saavat luotettavan yleiskuvan haavoittuvuuksistaan ja pystyvät priorisoimaan niitä keskenään.
Poikkeamien käsittely
[vähimmäisvaatimus 2]
Threat Protection -moduuli vertaa yrityksen tuotantokomponentteja CVE-, CERT- ja CISA-tietokantoihin ja pystyy näin varautumaan mahdollisiin tuleviin uhkiin. Automaattinen varmuuskopiointi ja komponenttien vertailu varmistaa, että luvattomat muutokset eivät jää huomaamatta ja että viimeisin toimiva varmuuskopio on aina nopeasti saatavilla. Näin ollen octoplant pystyy suojelemaan OT-ympäristöä ennaltaehkäisevästi. Se mahdollistaa nopean reagoinnin häiriötilanteissa ja mahdollistaa toiminnan nopean palauttamisen.
Toiminnan jatkuvuuden hallinta
[vähimmäisvaatimus 3]
Threat Protection -moduuli vertaa yrityksen tuotantokomponentteja CVE-, CERT- ja CISA-tietokantoihin ja pystyy näin varautumaan mahdollisiin tuleviin uhkiin. Automaattinen varmuuskopiointi ja komponenttien vertailu varmistaa, että luvattomat muutokset eivät jää huomaamatta ja että viimeisin toimiva varmuuskopio on aina nopeasti saatavilla. Näin ollen octoplant pystyy suojelemaan OT-ympäristöä ennaltaehkäisevästi ja mahdollistaa nopean reagoinnin häiriötilanteissa ja mahdollistaa toiminnan nopean palauttamisen.
Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
[vähimmäisvaatimus 5 + raportointivelvoite]
octoplant on muutoksenhallintatyökalu, joka ylläpitää ja dokumentoi OT-ympäristön muutokset – riippumatta siitä, onko sinulla ulkopuolisia toimittajia. Haavoittuvuusraportit helpottavat myös haavoittuvuuksien julkaisemista ja hallintaa. Näin NIS2 -raportointivelvoitteen täyttäminen helpottuu huomattavasti.
Pääsynhallintaperiaatteet ja omaisuudenhallinta
[vähimmäisvaatimus 9]
octoplantissa voit luoda käyttäjähallinnan jokaiselle yksittäiselle komponentille. Tämä tarkoittaa, että työntekijöillä, ulkopuolisilla konsulteilla tai muilla järjestelmän käyttäjillä on pääsy vain niihin komponentteihin tai tiedostoihin, jotka ovat heille merkityksellisiä. Käyttäjähallinnalla varmistetaan myös se, että kukatahansa ei voi poistaa tai lisätä tietoja järjestelmään. Muutoshistoriasta on mahdollista varmistaa, että muutokset on tehty sovitusti. Tämä lisää yrityksen toimitusketjun turvallisuutta ja mahdollistaa tehokkaan työskentelyn juuri sellaisten laitteiden kanssa, jotka ovat merkityksellisiä tuotannon jatkuvuuden kannalta.
Testaus ja auditointi
Kyberturvallisuusriskien hallintatoimenpiteiden tehokkuuden arvioimiseksi
octoplantin avulla tiedät, kuka mitä, milloin ja miksi on mitäkin tehnyt. Jos muutoksia tehdään järjestelmän ulkopuolella, nekin tallennetaan automaattisella varmuuskopiointi- ja vertailutoiminnolla. octoplantin avulla voidaan helposti ottaa käyttöön toimintatapoja, joiden avulla voidaan hallita ja arvioida yrityksen kyberturvallisuusriskejä.
Yhteenveto
NIS2 -direktiivin vaikutuspiirissä on useita eri teollisuusalan yrityksiä. Direktiivi pyrkii kohentamaan EU:n ja sen jäsenmaiden kyberturvallisuutta asettamalla vähimmäisvaatimuksia raportoinnin ja riskienhallinnan osalta. Kaikki yksityiskohdat eivät ole vielä selvillä, NIS2-direktiiviin on määrä tulla osaksi kansallista lainsäädäntöä lokakuussa 2024. Varautuminen on kuitenkin hyvä aloittaa jo nyt. Tietoturvauhkat ovat viime vuosina kasvaneet ja jo ilman direktiivin voimaantuloa niiltä suojautuminen on vähintäänkin suositeltavaa. Direktiivi kuitenkin patistaa toimimaan sanktioiden uhalla.
octoplantin avulla pystyt suorittamaan luotettavia riskianalyysejä, saat ilmoitukset epäilyttävistä muutoksista ja tiedät, kuka on tehnyt, mitä on tehnyt ja miksi. Lisäksi automaattinen varmuuskopiointi varmistaa sen, että voit koska vain palauttaa tuotannon edelliseen toimivaan tilaan ja minimoida kalliit seisokit.
Saa parempi käsitys kyberturvallisuusdirektiivin vaatimuksista ja siitä, kuinka pystyt vastaamaan niihin octoplantin avulla.
Kyberturvallisuusdirektiivin (NIS2) täytäntöönpanoa Suomen osalta voit seurata valtionneuvoston sivuilta alla olevan linkin kautta.
Jutellaan lisää
Asiantuntijamme auttavat sinua mielellään!
