Nixu on jakanut vuodenvaihteesta lähtien ajankohtaista tietoa NIS2-kyberturvallisuusdirektiivin keskeisistä velvoitteista. Näiden velvoitteiden noudattaminen edellyttää tehokasta tietoturvallisuuden hallintajärjestelmää sekä riittäviä valmiuksia havaita häiriötilanteita ja reagoida niihin. Emme ole kuitenkaan vielä käsitelleet yksityiskohtaisemmin sitä, mikä sitoo nämä kyberturvallisuustoimenpiteet yritysten tavoitteisiin ja strategiaan, eli hallintoa.
EU:n laajuinen kyberdirektiivi NIS2 – Keppi vai porkkana matkalla kyberturvallisuuden seuraavalle tasolle?
Jan Mickos
Managed Services Director
Maaliskuu 20, 2023 at 10:00
Kyberturvallisuusdirektiivi (Network and Information Security Directive, NIS2) on ensimmäinen EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Se on EU:n toimi, jolla pyritään saavuttamaan yhteinen korkean tason kyberturvallisuus kaikissa jäsenvaltioissa. Sillä suojataan kansalaisia, yrityksiä ja kriittistä infrastruktuuria kyberhyökkäyksiltä ja muulta haitalliselta toiminnalta. Direktiivi on seuraus tarpeesta puuttua yhä monimutkaisempiin kyberturvallisuusuhkiin verkottuneessa taloudessa.
Aloita ajattelutavan muutoksella
NIS2-direktiivin noudattaminen ja siitä hyötyminen edellyttää ulospäin suuntautuvaa ajattelutapaa. Kyllä, kyberturvallisuudessa on edelleen kyse organisaation, sen omaisuuden ja maineen suojaamisesta. Mutta lisäksi kyse on kumppaneiden, asiakkaiden ja loppukäyttäjien eli koko toimitusketjun suojaamisesta. Kyse on ajattelutavan muutoksesta reaktiivisesta ennakoivaan ja erillisistä kokonaisuuksista toisistaan riippuvaisiin organisaatioihin, järjestelmiin ja prosesseihin.
Jatka riskienarvioinnilla
NIS2-direktiivin vaatimusten täyttämiseen ei ole taikasanaa, tarkistuslistaa tai pikaratkaisua. Paras tapa edetä on analysoida ensin nykyinen tilanne, laatia sitten etenemissuunnitelma, jossa on selkeät tavoitteet ja aikataulut, ja aloittaa sen jälkeen.
Kun tilanteesta on kokonaisvaltainen yleiskuva, pystytään hallitsemaan riskejä, ja tehtävän tarkoituksesta ja laajuudesta vallitsee yhteisymmärrys. Kuten GDPR-direktiivinkin kohdalla, tärkeintä on ymmärtää sekä tekniset että organisaatiota koskevat riskit ja ryhtyä tarvittaviin toimiin.
Millaisia uhkia järjestelmiin, komponentteihin, kokoonpanoihin ja infrastruktuuriin voi kohdistua? Millaisia vaikutuksia niillä voi olla liiketoimintaan? Mikä voi mennä pieleen? Mihin toimiin on oltava valmis?
Hallitse pelikenttää 24/7 SOC -palvelulla
Luotettavuutta voi rakentaa osoittamalla, että organisaatiolla on keinot kyberturvallisuusriskien hallintaan, usein tietoturvallisuuden hallintajärjestelmän (ISMS) avulla. Tämän lisäksi on kuitenkin myös kyettävä organisoimaan, hallitsemaan ja kehittämään suojausta. Tämä tarkoittaa, että kyberturvallisuuden koko pelikentän on oltava hallinnassa 24/7. Kyse on muustakin kuin perinteisistä reaktiivisista tietoturvatoimista. Kyse on ennakoivien suojatoimien, jatkuvan valvonnan ja reagoinnin yhdistelmästä, joka hallitsee jatkuvasti tietoturvan tilaa – se on tietoturvan yhtenäistämistä, kyberfuusiota.
Maailmanluokan tietoturvavalvomo (SOC), joka valvoo, estää, havaitsee, tutkii ja vastaa kyberuhkiin ympäri vuorokauden, voi auttaa täyttämään NIS2-direktiivin vaatimukset ja tarjota useita etuja.
SOC auttaa täyttämään NIS2-direktiivin vaatimukset jatkuvalla tietoturvavalvonnalla, uhkatiedoilla ja analytiikalla, tapahtumien hallinnalla, vaatimustenmukaisuusraportoinnilla ja mahdollistamalla yhteydenoton kyberturvallisuusalan ammattilaisiin.
Jotkin organisaatiot ovat rakentaneet tietoturvavalvomonsa ajan myötä käyttämällä sekä sisäisiä että ulkoisia resursseja. Kun otetaan huomioon kyberturvallisuusteknologioiden jatkuva kehitys ja tarve omaksua jatkuvasti uusia taitoja ja työkaluja, tämän yhdistelmän hallinnasta on tulossa yhä monimutkaisempaa. Nykyaikaisen tietoturvavalvomon ylläpitäminen on kallista.
Miten NIS2-vaatimusten mukainen SOC perustetaan kustannustehokkaasti? Miten mittakaavaeduista voi hyötyä? Kuinka paljon tietoturvavalvomon pyörittäminen 24/7 maksaa? Nixun kokemuksen perusteella palveluna hankittu SOC maksaa usein vain 10 prosenttia siitä, mitä organisaation sisäinen SOC maksaa. Sisäiseen tietoturvavalvomoon saattaa silti olla syynsä, mutta nämä syyt kannattaa tarkistaa säännöllisesti.
Integraatio on avain tulevaan menestykseen
Kun puhumme kyberturvallisuudesta verkottuneessa maailmassa, puhumme järjestelmien integroinnista sekä prosessien ja ekosysteemien integroinnista. Maailmassa, jossa kaikki ovat yhä enemmän riippuvaisia toisistaan, kilpailukykyä ja resilienssiä voidaan saavuttaa ja ylläpitää vain hankkiutumalla eroon pisteratkaisuista, osaoptimoinnista ja siiloista.
- Miten hallitset tätä tulevaisuutta?
- Kuka johtaa organisaatiosi kyberturvallisuuden ekosysteemiä?
- Kuka tuntee kyberturvallisuuden kokonaisuutena?
- Mikä on sinun roolisi tässä kaikessa?
NIS2-direktiivi voi olla mehukas porkkana ja vankka mutta lempeä keppi matkalla kyberturvallisuuden seuraavalle tasolle.
Mikäli NIS2-direktiiviin liittyvät valmistelut ovat organisaatiossasi ajankohtaisia, olemme mielellämme apunasi. Palveluistamme voit lukea lisää täältä, ja yhteyden meihin saat kotisivuillamme olevan yhteydenottolomakkeen kautta.
Lisätietoa:
- Anna Rossi, Nixu: Kohti yhdenmukaistettua vastuuta: EU:n NIS2-direktiivin myötä ylin johto vastuuseen kyberturvallisuudesta
- The NIS2 Directive Explained
- Lataa whitepaperimme: Future-proofing your security operations
