Kohti NIS2-yhteensopivuutta: Askeleet onnistuneeseen siirtymään

NIS2-direktiivi astuu voimaan lokakuussa. Auttaaksemme organisaatioita direktiiviin valmistautumisessa järjestimme syyskuussa aiheesta webinaarin. Asiantuntijoinamme webinaarissamme olivat Peter Sund (FISC), Mikko Komi (Lounea) ja Noora Metsärinne (WithSecure).  

Keskustelimme webinaarissa siitä, mikä NIS2 eli Euroopan unionin kyberturvallisuusdirektiivi on. Käsittelimme käytännön tasolla asioita, joita se tarkoittaa erilaisille ja eri kokoisille organisaatioille, sekä annoimme hyödyllisiä vinkkejä.

Webinaarin aikana saamamme vastaukset yleisökysymyksiin antoivat mielenkiintoista näkyvyyttä eri organisaatioiden NIS2-valmiudesta. Noin 34 prosenttia vastaajista oli hyvin tietoisia NIS2:een liittyvistä vaikutuksista, 46 % osittain ja 20 % ei osannut sanoa tai eivät olleet tietoisia.

Sen sijaan 12 % vastanneista kertoi olevansa jo valmiita NIS2:sen vaatimusten täyttämisessä, mutta enemmistöllä, 66 % vastaajista asia on vielä työnalla. 

Saimme webinaarin aikana runsaasti yleisökysymyksiä. Pyysimmekin asiantuntijoitamme palaamaan kysymyksiin, joihin emme ehtineet webinaarin aikana vastata. 

Jos jokin yritys raportoi tietoturvauhkasta viranomaiselle, mitä kanavia kautta tieto päätyy muiden toimijoiden tietoisuuteen?

Kansallisilla yhteysviranomaisilla on verkosto, jonka kautta informaatio yhdestä jäsenvaltiosta välitetään muille (vrt. CERT / CSIRT).

Kollegat, oletteko valmiit omassa organisaatiossa toimimaan, kun viranomaiselta tulee joku päivä varoitus? Vrt. millaisia toimia rapakon takana CISA on edellyttänyt?

Varoituksiahan Suomessa välitetään jo päivittäin sekä kyberturvallisuuden toimittajayritysten prosessien kautta että myös kootusti Traficomin tiedotteiden kautta. Moni näistä varoituksista edellyttää lähes välittömiä toimia sen selvittämiseksi, onko omissa järjestelmissä esimerkiksi haavoittuvia komponentteja. 

Jos yrityksen tulee täyttää NIS2 vaatimukset, joutuuko yrityksen toimitiloissa esim. siivouspalveluita tuottavan yrityksen myös täyttää NIS2-vaatimukset? Jos palveluntuottaja ei täytä, onko sopimus irtisanottava?

Soveltamisalaan kuuluvan yrityksen on käytävä ensisijaiset toimittajansa läpi ja tunnistettava ne, joiden toiminta voi vaarantaa yrityksen omien tieto- ja viestintäjärjestelmien kyberturvallisuutta. Arvioinnin perusteella vaatimukset toimittajille laaditaan riskiperusteisesti. Esimerkiksi, siistimispalveluiden tarjoajan osalta lienee ainakin fyysisten kulkuoikeuksien suhteen sellaisia seikkoja, joita on perusteltua tarkastella kyberturvallisuushäiriöiden näkökulmasta.

Onko kaikilla valvovilla viranomaisilla 24/7 kyvykkyys tarvittaessa varoittaa yrityksiä saamiensa ilmoitusten perusteella?

Tämä ei ole tiedossa vielä yksityiskohtaisesti, mutta oletamme, että vähintään koordinoivalla viranomaisella (Traficom) tämä kyvykkyys on myös jatkossa.

24/7 valvonnat ulkoa ostettuna perustuvat usein globaaliin toimijaan. Miten tällöin huomioidaan esimerkiksi henkilötietojen käsittelyyn liittyvät vaatimukset siitä, että tietoa ei välitetä kolmansille osapuolille Suomen/EU-alueen ulkopuolelle?

Tämä on tärkeä huomio. EU-alueella henkilötietojen käsittely on yleisen tietosuoja-asetuksen mukaisesti säännelty monelta osin toisin kuin tilanteessa, jossa käsittelijä on kolmannessa valtiossa. Kaikissa tilanteissa on tarpeen noudattaa yleistä tietosuoja-asetusta (toki vain henkilötietojen käsittelyn osalta). Tunnetuilla, hyvämaineisilla ja Euroopassa tarjoavilla toimijoilla on käytännössä valmiit menettelytavat ja takeet lainmukaisuudesta (ml. tietojenkäsittelysopimus).

Miten NIS2 sovelletaan konsernitasolla? Riittääkö emoyhtiön ilmoitus, vai ilmoitetaanko tytäryhtiö kerrallaan? Voiko vain osa konsernin yhtiöistä kuulua NIS2-piiriin?

Lähtökohtaisesti toiminta nojaa oikeushenkilön toimintaan eli vähimmillään on ilmoitettava tytäryhtiö. Mikäli kuitenkin konsernirakenne, johtamisprosessit sekä liiketoiminnan ohjaus ovat sellaisia, joissa konserni harjoittaa toimintaan tai olennaisesti vaikuttaa toimintaan, lienee perusteltua harkita ilmoitusta koko konsernin osalta.

Voiko B2B SaaS-talo saada viranomaiselta tulkinnan kuuluuko soveltamisalaan pilvipalvelun tarjoajana, konesalipalvelun tarjoajana vai TVT-palvelujen hallintapalvelun tarjoajana - vai kuuluuko lainkaan?

Tulkintaa voi toki pyytää, mutta koska laki ei ole vielä voimassa, viranomainen ei luonnollisestikaan voi antaa sellaista neuvontaa, johon voisi varmuudella nojata.