Miten yritysten tulisi varautua tietoturvahaasteisiin ja EU:n NIS2 direktiiviin? Avain onnistumiseen on vahvempi yhteistyö sekä organisaatioiden sisällä että eri toimijoiden välillä.
Euroopan Unionin NIS2-direktiivi pyrkii varmistamaan, että yhteiskunnan kriittisillä toiminnoilla on riittävä kyky suojautua näitä uhkia vastaan muuttuvassa maailmantilanteessa. Suomen eduskunnassa kyberturvallisuuslaiksi nimetty esitys pyritään ottamaan käyttöön euroopan laajuisesti jo syksyn 2024 aikana.
Mihin toimenpiteisiin yritysten kannattaa tämän kaiken keskellä ryhtyä? Tietoevry Tech Servicesin tietoturvajohtaja Jari Pirhonen on oikea henkilö vastaamaan kysymykseen. Jo vuosikymmenten mittaisen uran tehnyt Pirhonen on paitsi maan johtavia tietoturva-asiantuntijoita, myös kysytty esiintyjä, jolla on kyky puhua teemasta ymmärrettävästi ja innostaen.
Euroopan Unionin huolenaiheena ovat erityisesti yhteiskuntaa ylläpitävät alat. NIS2 koskettaa siksi suoraan vain noin prosenttia yrityksistä, esimerkiksi energiasektoria, terveydenhuoltoa ja digitaalista infrastruktuuria. Pirhonen korostaa, että myös muiden organisaatioiden on silti syytä olla tietoisia direktiivistä, sillä sen vaikutukset ovat yllättävän laajoja.
“Kun direktiivin alaiset yritykset ostavat palveluja alihankkijoilta, on heidän sopimuksissaan varmistettava että myös kumppanit toimivat NIS2:n mukaisesti. Siksi monen toimijan olisi hyvä tutustua lakiuudistukseen vähintäänkin yleisellä tasolla.”
Uudistusta ei tarvitse kuitenkaan säikähtää: sen sisältämät asiat ovat jo monissa organisaatioissa arkipäivää.
Direktiiviä kannattaa ajatella tietoturvan perustasona.”
“Jos yrityksessä noudatetaan hyviä käytäntöjä tai standardeja niin ollaan tyypillisesti jo lain velvoittamia vaatimuksia edellä. On silti syytä tarkistaa, aiheuttaako NIS2 lisätoimenpiteitä.”
Yritysten on varmistettava itse, että niiden toiminta vastaa uutta lakia. Yksi suurimmista NIS2:n mukanaan tuomista muutoksista liittyykin juuri yritysvastuuseen. Direktiivissä korostetaan, että viime kädessä yritysjohto vastaa tietoturvan toteutumisesta riittävällä tasolla. Pykälissä otetaan myös vahvemmin kantaa kokonaisvaltaiseen riskienhallintaan.
“Haavoittuvuudet eivät rajoitu pelkästään tietoverkkoon tai ohjelmistoihin”, Pirhonen muistuttaa.
“Siksi NIS2 pyrkii huomioimaan paremmin myös esimerkiksi henkilöstön ja fyysisen ympäristön aiheuttamia riskitekijöitä.”
Lue lisää NIS2-direktiiviin varautumisesta: Opas yritys- ja tietoturvapäättäjille (englanniksi)
Jari Pirhonen
Pandemiavuosien aikana lisääntynyt etätyö sai monet yritykset arvioimaan tietoturvansa tasoa uudesta näkökulmasta – ja kiinnittämään tarkempaa huomiota työntekijöiden kouluttamiseen aiheen tiimoilta. Vastaavasti Venäjän hyökkäys Ukrainaan herätti huolen siitä, että kyberuhat kasvoivat nopeammin kuin niihin ehdittiin varautua. Pirhonen uskoo, että tietoturvaymmärrys on viimeistään nyt tärkeää jalkauttaa organisaatioiden kaikkiin osiin.
Sanon usein, että tietoturva on liian tärkeä asia, jotta sen voisi jättää pelkästään IT- ja tietoturvaosaston huoleksi – tietoturvaekspertit eivät voi olla kaikessa organisaation toiminnassa mukana.”
Miltä tämä sitten näyttää käytännössä? Pirhonen uskoo, että vahva tietoturvakulttuuri rakentuu kolmesta peruspilarista. Ensimmäinen on organisaation laajuinen osaaminen: kaikille yrityksessä työskenteleville on järjestettävä roolin edellyttämää koulutusta ja varmistettava jatkuva tiedonjako kollegoiden ja osastojen välillä. Toinen on johdon ja asiantuntijoiden motivaatio ylläpitää aiheeseen liittyvää keskustelua. Kolmas liittyy taloudellisiin panostuksiin.
“On syytä varmistaa, että erilaisissa projekteissa on varattu aikaa ja budjettia vaatimusten määrittelylle, tietoturvan toteutukseen ja sen testaukseen. Usein hankkeissa on kyllä mukana ihmisiä, joilla on kyky ja halu hoitaa tietoturva hyvin, mutta reunaehdot eivät anna siihen mahdollisuutta.”
Tietoevry on niiden 160 000 eurooppalaisen yrityksen joukossa, joiden on noudatettava NIS2-vaatimuksia. Monet Tietoevryn asiakkaista ovat keskeisessä roolissa Suomen ja Pohjoismaiden huoltovarmuudessa – kyvyssä selviytyä kriiseistä ja häiriötilanteista mahdollisimman pienin vahingoin.
“Meillä tehdään jatkuvasti valtava määrä erilaisia auditointeja sekä omasta toimestamme että asiakkaiden puolesta”, Pirhonen avaa.
Asiakkaiden palvelu riskien hallinnassa alkaa jo sopimusvaiheessa. Pirhonen kertoo, että tarpeet ja vastuualueet on tärkeä määritellä alusta asti selkeästi – kumppanuuteen voi tilanteesta riippuen kuulua esimerkiksi konsultointia, tietoturvan kypsyystason mittauksia tai asiakkaalle erikseen määritelty tietoturvapäällikkö.
Resursoinnissa ja uhkiin valmistumisessa keskeistä ovat jatkuvasti kasvavat datamäärät. Esimerkiksi tekoälyä hyödyntävissä ratkaisuissa on keskeistä määritellä paitsi se, mitä informaatiota voidaan kerätä, myös se kuka siihen voi päästä käsiksi.
Muuttuvat ajat ja monimutkaisemmat järjestelmät vaativat jatkuvaa oppimista. Tässäkin yhteistyö kantaa pitkälle: Tietoevry on aktiivisesti mukana esimerkiksi Suomen suurimmassa tietoyhteiskunnan TIETO-valmiusharjoituksessa.
Tunnelmia TIETO22 valmiusharjoituksista. Kuva: Meeri Utti
“Olemme paljon tekemisissä kyberturvakeskuksen ja huoltovarmuuskeskuksen kanssa”, Pirhonen toteaa. Hän kertoo toivovansa, että NIS2 laajentaa edelleen yhteistyötä organisaatioiden välillä.
“Tietoturva-asioissa ei kannata jumiutua tarkastelemaan pelkästään omaa ympäristöään. On arvokasta päästä keskustelemaan yhteisistä haasteista ja ratkaisuista muiden organisaatioiden kanssa.”
Artikkeli julkaistu alunperin Tietoviikon digiosiossa 4.10.2024.
Navigate regulations, tackle cyber threats and enhance security with this expert-authored guide. Gain actionable insights and practical steps to protect your digital assets.
DOWNLOAD EXPERT GUIDE