NIS2 astuu voimaan – Miten teollisuusyritykset voivat varautua?
NIS2-direktiivin (EU) 2022/2555 tarkoituksena on vastata nykypäivän muuttuneeseen kybertoimintaympäristöön ja parantaa koko EU:n turvallisuudentasoa. Direktiivin vaikutusalanpiirissä ovat toimijat, joiden toiminnan katsotaan olevan yhteiskunnan kannalta kriittistä. Näin ollen direktiivi aiheuttaa useissa teollisuusyrityksissä toimenpiteitä – tai ainakin prosessien tarkempaa tarkastelua. NIS2:n on määrä tulla osaksi kansallista lainsäädäntöä lokakuussa 2024, jolloin myös vaatimukset ja yksityiskohdat tarkentuvat. Direktiivistä on kuitenkin jo nyt saatavilla hyvin tietoa ja varautuminen kannattaa aloittaa nyt.
Tässä artikkelissa saat tietoa siitä, mitä NIS2 -direktiivillä tarkoitetaan, mitkä toimialat ovat sen piirissä ja mitä vaatimuksia toimijoille asetetaan. Kerromme myös ratkaisusta, joka helpottaa huomattavasti vaatimusten täyttämistä.
Mikä on NIS2?
NIS2 on kyberturvallisuusdirektiivi (EU 2022/2555), jonka avulla pyritään parantamaan EU:n ja sen jäsenvaltioiden kyberturvallisuuden tasoa. Direktiivissä esitetään vähimmäisvaatimuksia, jotka direktiivin piirissä olevien toimijoiden tulee täyttää sanktioiden uhalla. Nämä vaatimukset pitävät sisällään kyberturvallisuutta vahvistavia riskienhallinta- ja raportointivelvoitteita. NIS2 -direktiivin on määrä tulla osaksi kansallista lainsäädäntöä 16.10.2024 mennessä. Se kumoaa aiemman verkko- ja tietoturvadirektiivin NIS1 (NIS1-direktiivi, 2016/1148).
Mitkä toimialat kuuluvat NIS2 direktiivin piiriin?
NIS2 soveltamisala on melkein tuplasti isompi kuin edeltäjänsä NIS1:n. Uusina toimialoina direktiivin piirin on asetettu teollisuuden saralta esimerkiksi jätehuolto- ja elintarvikeala. Energia-alaa ja terveydenhuollonparissa toimia yrityksiä NIS2 taas koskee entistä laajemmin. Säätely koskee keskisuuria ja suuria yrityksiä, mutta poikkeuksiakin löytyy (poikkeukset on esitetty tarkemmin direktiivin 2. artiklan kohdissa 3 ja 4). Keskeistä on, että toimija tekee yhteiskunnan kannalta tärkeää työtä ja näin ollen sen toimintojen tarkempi valvominen koetaan aiheelliseksi. Direktiivin laiminlyönti aiheuttaa sanktioita, jotka voivat olla enintään 10 miljoona euroa tai 2 prosenttia maailmanlaajuisista vuosituloista.
Direktiivi jakaa toimijat kahteen luokkaa; Keskeiset ja Tärkeät. Tämä jaottelu on merkityksellinen valvonnan ja seuraamusjärjestelmän kannalta.
| KESKEISET | TÄRKEÄT |
| Energia (vety- ja latauspisteiden palveluntarjoajat) Terveys Juomavesi Jätevesi Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN, konesalit) TVT-palveluiden hallinta (yritysten välinen) Avaruus Liikenne Pankkitoiminta Finanssimarkkinoiden infrastruktuuri Julkishallinto | Posti- ja kuriiripalvelut Jätehuolto Kemikaalien valmistus, tuotanto ja jakelu Elintarvikkeiden tuotanto, valmistus ja jakelu Valmistus (mm. lääkintälaiteet, sähkölaitteet ja kulkuneuvot) Digitaalisten palveluiden tarjoajat (verkkoyhteisöalustojen tarjoajat) Tutkimustoiminta |
NIS2 vaatimukset
NIS2:ssa hallintoelimillä ja ylimmällä johdolla on entistä keskeisempi ja aktiivisempi rooli kyberturvallisuuden parantamisen suhteen. Tärkeää on, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin.
NIS2 vähimmäisvaatimukset pitävät sisällään:
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
- Poikkeamien käsittely
- Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
- Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen.
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus.
- Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä.
- Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta.
- Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
(Lähde: NIS2 Direktiivi (EU) 2022/2555, 21)
Lisäksi toimijoiden on huolehdittava raportointivelvoitteesta. Se tarkoittaa mm. sitä, että yritysten on toimitettava 24 tunnin kuluessa oman alansa valvovalle viranomaiselle ensimmäinen ilmoitus kaikista kyberuhkista, jotka olisivat saattaneet johtaa merkittävään vaaratilanteeseen. Jatkoilmoitus tulee toimittaa 72 tunnin kuluessa ja loppuraportti 1 kuukauden kuluessa (=kolmiportainen raportointivelvoite).
octoplant auttaa täyttämään NIS2 -direktiivin vähimmäisvaatimukset:
octoplant on modulaarinen ohjelmistoalusta, jossa yhdistyvät automaatio-ohjelmistojen ja OT-laitteiden varmuuskopiointi, versionhallinta ja kyberturvallisuus. Työkalu auttaa vastaamaan NIS2:n vaatimuksiin ja velvoitteisiin. Seuraavista kappaleista voit lukea, miten eri moduulit (kuvassa) auttavat täyttämään vaatimukset.
Riskianalyysi ja tietojärjestelmien turvallisuutta koskeva politiikka
Threat Protection -moduuli on tehokas työkalu riskianalyysien tekemiseen OT-ympäristössä. Se auttaa tunnistamaan tuotantoympäristön haavoittuvuuksia ja pisteyttää ne oletettavan riskin mukaan. Näin yritykset saavat luotettavan yleiskuvan haavoittuvuuksistaan ja pystyvät priorisoimaan niitä keskenään.
Poikkeamien käsittely
Threat Protection -moduuli vertaa yrityksen tuotantokomponentteja CVE-, CERT- ja CISA-tietokantoihin ja pystyy näin varautumaan mahdollisiin tuleviin uhkiin. Automaattinen varmuuskopiointi ja komponenttien vertailu varmistaa, että luvattomat muutokset eivät jää huomaamatta ja että viimeisin toimiva varmuuskopio on aina nopeasti saatavilla. Näin ollen octoplant pystyy suojelemaan OT-ympäristöä ennaltaehkäisevästi. Se mahdollistaa nopean reagoinnin häiriötilanteissa ja mahdollistaa toiminnan nopean palauttamisen.
Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
Threat Protection -moduuli vertaa yrityksen tuotantokomponentteja CVE-, CERT- ja CISA-tietokantoihin ja pystyy näin varautumaan mahdollisiin tuleviin uhkiin. Automaattinen varmuuskopiointi ja komponenttien vertailu varmistaa, että luvattomat muutokset eivät jää huomaamatta ja että viimeisin toimiva varmuuskopio on aina nopeasti saatavilla. Näin ollen octoplant pystyy suojelemaan OT-ympäristöä ennaltaehkäisevästi ja mahdollistaa nopean reagoinnin häiriötilanteissa ja mahdollistaa toiminnan nopean palauttamisen.
Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
octoplant on muutoksenhallintatyökalu, joka ylläpitää ja dokumentoi OT-ympäristön muutokset – riippumatta siitä, onko sinulla ulkopuolisia toimittajia. Haavoittuvuusraportit helpottavat myös haavoittuvuuksien julkaisemista ja hallintaa. Näin NIS2 -raportointivelvoitteen täyttäminen helpottuu huomattavasti.
Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
octoplantissa voit luoda käyttäjähallinnan jokaiselle yksittäiselle komponentille. Tämä tarkoittaa, että työntekijöillä, ulkopuolisilla konsulteilla tai muilla järjestelmän käyttäjillä on pääsy vain niihin komponentteihin tai tiedostoihin, jotka ovat heille merkityksellisiä. Käyttäjähallinnalla varmistetaan myös se, että kaikki eivät voi poistaa tai lisätä tietoja järjestelmään. Muutoshistoriasta on mahdollista selvittää, että muutokset on tehty sovitusti. Tämä lisää yrityksen toimitusketjun turvallisuutta ja mahdollistaa tehokkaan työskentelyn juuri sellaisten laitteiden kanssa, jotka ovat merkityksellisiä tuotannon jatkuvuuden kannalta.
Testaus ja auditointi – Kyberturvallisuusriskien hallintatoimenpiteiden tehokkuuden arvioimiseksi
octoplantin avulla tiedät, kuka mitä, milloin ja miksi on mitäkin tehnyt. Jos muutoksia tehdään järjestelmän ulkopuolella, nekin tallennetaan automaattisella varmuuskopiointi- ja vertailutoiminnolla. octoplantin avulla voidaan helposti ottaa käyttöön toimintatapoja, joiden avulla voidaan hallita ja arvioida yrityksen kyberturvallisuusriskejä.
Yhteenveto
NIS2 -direktiivin vaikutuspiirissä useita eri teollisuusalan yrityksiä. Direktiivi pyrkii kohentamaan EU:n ja sen jäsenmaiden kyberturvallisuutta asettamalla vähimmäisvaatimuksia raportoinnin ja riskienhallinnan osalta. Kaikki yksityiskohdat eivät ole vielä selvillä, NIS2-direktiiviin on määrä tulla osaksi kansallista lainsäädäntöä lokakuussa 2023. Varautuminen on kuitenkin hyvä aloittaa jo nyt. Tietoturvauhkat ovat viime vuosina kasvaneet ja jo ilman direktiivin voimaantuloa niiltä suojautuminen on vähintäänkin suositeltavaa. Direktiivi kuitenkin patistaa toimimaan sanktioiden uhalla.
octoplantin avulla pystyt suorittamaan luotettavia riskianalyysejä, saat ilmoitukset epäilyttävistä muutoksista ja tiedät, kuka on tehnyt, mitä on tehnyt ja miksi. Lisäksi automaattinen varmuuskopiointi varmistaa sen, että voit koska vain palauttaa tuotannon edelliseen toimivaan tilaan ja jatkaa tuottamista.
Voisiko octoplant olla ratkaisu myös teidän yrityksellenne?
Laita meille viestiä, niin katsotaan miten ratkaisu vastaa yrityksenne haasteisiin NIS2-vaatimusten osalta.
Kyberturvallisuusdirektiivin (NIS2) täytäntöönpanoa Suomen osalta voit seurata valtionneuvoston sivuilta alla olevan linkin kautta.
