To increase cyber resilience, the EU is launching a new directive NIS2 (Network and Information System Security). In addition to setting tighter sanctions and stricter requirements, the directive will require company-wide attention and awareness on cybersecurity, as well as a systematic way to meet all the requirements.
Kohti yhdenmukaistettua vastuuta: EU:n NIS2-direktiivin myötä ylin johto vastuuseen kyberturvallisuudesta
Anna Rossi
Senior Privacy Lawyer, GRC & Privacy
Toukokuu 2, 2023 at 10:00
Nixu on jakanut vuodenvaihteesta lähtien ajankohtaista tietoa NIS2-kyberturvallisuusdirektiivin keskeisistä velvoitteista. Näiden velvoitteiden noudattaminen edellyttää tehokasta tietoturvallisuuden hallintajärjestelmää sekä riittäviä valmiuksia havaita häiriötilanteita ja reagoida niihin. Emme ole kuitenkaan vielä käsitelleet yksityiskohtaisemmin sitä, mikä sitoo nämä kyberturvallisuustoimenpiteet yritysten tavoitteisiin ja strategiaan, eli hallintoa.
Kyberturvallisuuden hallinnossa on kyse kyberturvallisuustoimien johtamisesta ja valvonnasta. Hallinnon avulla voidaan varmistaa, että kyberturvallisuus on yrityksen tavoitteiden mukaista. Toimiva hallintomalli luo puitteet ylemmän johdon tietoon perustuvalle päätöksenteolle ja asettaa samalla johdon vastuuseen kyseisistä päätöksistä. Toisaalta se mahdollistaa sen, että kyberturvallisuusriskien hallintaa koskevat päätökset voidaan tehdä asianmukaisilla organisaatiotasoilla.
NIS2-direktiivin hallintoa koskevissa vaatimuksissa on pitkälti kyse hallintoelinten vastuualueiden määrittelystä.
- Ensinnäkin ylimpien hallintoelinten on hyväksyttävä kyberturvallisuusriskien hallintatoimenpiteet, jotka yhteisöjen on toteutettava NIS2-direktiivin mukaisesti.
- Toiseksi hallintoelinten on valvottava näiden toimenpiteiden täytäntöönpanoa.
- Kolmanneksi ylimmät hallintoelimet on asetettava vastuuseen kyberturvallisuusriskien hallintaa koskevien NIS2-säännösten rikkomisesta.
- Lopuksi NIS2-direktiivin tavoitteena on lisätä ylimmän johdon tietoisuutta kyberturvallisuudesta edellyttämällä nimenomaisesti, että ylimpien hallintoelinten jäsenet osallistuvat säännöllisesti kyberturvallisuusriskien hallintaa koskevaan koulutukseen.
Käsittelemme tässä artikkelissa tarkemmin näitä NIS2-hallintovaatimuksia.
Kyberturvallisuusriskien hallintatoimien hyväksyminen johdon vastuulle
NIS2-direktiivi pyrkii tekemään kyberturvallisuudesta yrityksen toimivalle johdolle ja hallitukselle kuuluvan velvoitteen. Tähän saakka yritysten hallitukset ovat tunnetusti hyväksyneet lyhyen aikavälin tietoturvakäytäntöjä, mutta muuten kyberturvallisuus on usein jäänyt aliresursoidun tietoturva-, tietohallinto- tai talousjohtajan harteille.
NIS2 pyrkii muuttamaan tämän lähestymistavan asettamalla hallintoelimille sekä vastuun että velvollisuuden kyberturvallisuuden asianmukaisesta toteutuksesta. Ylimmän hallintoelimen odotetaan määrittelevän organisaation kyberturvallisuusstrategian ja riskinottohalukkuuden, joita muut voivat tämän jälkeen tehokkaasti hallita ja operoida. Tällaisia päätöksiä ei pidä erottaa kaikenkattavista riskienhallintapäätöksistä, vaan ne on sisällytettävä organisaation yleiseen riskienhallintakehykseen.
Tehokas hallinto edellyttää johdon rakenteiden ja sisäisten sidosryhmien tunnistamista sekä selkeiden roolien ja vastuiden määrittelyä kyberturvallisuuteen liittyen. Ylimpien hallintoelinten on määriteltävä päätöksentekoon lähestymistapa, joka ei ole liian jäykkä mutta ei myöskään liian löyhä. Yrityksessä tulisi olla mahdollista tehdä erilaisia kyberturvallisuuteen liittyviä päätöksiä niin operatiivisella kuin taktisellakin tasolla, mutta liiketoiminnan kannalta kriittisten strategisten päätösten tulisi aina olla ylimmän toimivan johdon tai jopa yrityksen hallituksen tekemiä. Mikä tärkeintä, tämän hallintomallin on oltava toimiva myös käytännössä.
Ylimmän hallintoelimen valvottava kyberturvallisuusriskien hallintatoimien toteutusta
Ylimmän hallintoelimen toteuttama valvonta edellyttää säännöllistä ja merkityksellistä raportointia niiltä henkilöiltä, jotka vastaavat kyberturvallisuusriskien hallintatoimintojen operoinnista. Ylin hallintoelin on pidettävä ajan tasalla tietoturvaan liittyvästä suorituskyvystä, kuten merkittävistä häiriötilanteista, tärkeistä kehitysaskeleista ja muutoksista organisaation kyberturvallisuusympäristössä. Tällaisen raportoinnin avulla hallintoelin voi tunnistaa mahdollisuudet jatkuvaan parantamiseen ja tehdä tietoon perustuvia päätöksiä yhtiön strategisen suunnan mukaisista turvallisuustavoitteista.
Joskus tehokas hallinto voi edellyttää riippumattomien arviointien tai kyberturvallisuustasoon liittyvien auditointien tilaamista.
Tehokkaan tietoturvallisuuden hallintajärjestelmän (ISMS) käyttöönotto auttaa johtoa varmistamaan, että organisaatio tekee juuri oikeat toimenpiteet. Esimerkiksi ISO 27001
-standardinmukainen tietoturvallisuuden hallintajärjestelmä on integroitavissa organisaation omiin prosesseihin ja olemassa olevaan hallintorakenteeseen. Näin saadaan aikaan rakenne, jossa tietojen luottamuksellisuus, eheys ja käytettävyys yhdistyvät kyberturvallisuuden eri osa-alueilla NIS2-direktiivin edellyttämällä tavalla. Saat lisätietoa tietoturvallisuuden hallintajärjestelmistä blogikirjoituksestamme.
Joskus tehokas hallinto voi edellyttää riippumattomien arviointien tai kyberturvallisuustasoon liittyvien auditointien tilaamista.
Ylimmät hallintoelimet vastuuseen rikkomuksista
Hallintoelimet ovat viime kädessä vastuussa siitä, mitä organisaatiossa tapahtuu. NIS2-direktiivi sisältää useita erilaisia valvontaan ja täytäntöönpanoon liittyviä velvoitteita, kuten velvoitteen saattaa hallintoelinten jäsenet henkilökohtaiseen vastuuseen velvollisuuksiensa rikkomisesta. Näin pyritään varmistamaan, että NIS2-direktiivin velvoitteita varmasti noudatetaan. Tietyissä tilanteissa ylimpien hallintoelinten jäsenet voidaan väliaikaisesti kieltää hoitamasta johtotehtäviään. Tällaiset täytäntöönpanovaltuudet tullaan toteuttamaan ja myös täsmentämään kansallisessa lainsäädännössä.
Tarvittavat toimenpiteet
Kannustamme kaikkia NIS2-direktiivin soveltamisalaan kuuluvia organisaatioita arvioimaan ja tarkistamaan sekä oman kyberturvallisuustasonsa että hallintomallinsa.
- Onko yrityksessä määritetty tarvittavat kyberturvallisuudesta vastaavat tiimit?
- Onko yrityksessä määritetty selkeät roolit ja vastuut kyberturvallisuuteen liittyen?
- Miten nuo roolit toimivat käytännössä?
- Onko yrityksellä jo käytössään tietoturvallisuuden hallintajärjestelmä?
Selkeä ja tehokas hallintomalli ei ainoastaan auta vastaamaan paremmin NIS2-direktiivin vaatimuksiin, vaan oikein toteutettuna se myös parantaa merkittävästi tietoisuutta kyberturvallisuudesta koko organisaatiossa. Lisäksi se parantaa myös sidosryhmiesi luottamusta yrityksesi kykyihin hallinnoida kyberturvallisuutta.
Mikäli NIS2-direktiiviin liittyvät valmistelut ovat organisaatiossasi ajankohtaisia, olemme mielellämme apunasi. Saat lisätietoja palveluistamme täältä. Voit ottaa meihin yhteyden täyttämällä yhteydenottolomakkeen täällä.
Lue lisää Nixun näkemyksiä NIS2-direktiivin vaikutuksista osoitteessa nixu.com. Artikkelit löytyvät tästä alta.
