Näkökulmia 18.09.2024

NIS2 velvoittaa ja suojaa

NIS2-direktiivi on uusi EU:n laajuinen lakikokonaisuus, joka sääntelee ja vahvistaa yleistä tietoturvaa. Direktiivin kansallinen soveltaminen astuu voimaan lokakuussa. Se antaa yritysten päättäjille oikeutuksen ja velvoitteen kehittää ja parantaa tietoturvaa kokonaisvaltaisesti erilaisin keinoin, esimerkkeinä riskianalyysit, tiedon saatavuuteen liittyvät toimintaperiaatteet, poikkeamien hallinta ja toimitusketjuun liittyvät suojaustoimet.

NIS2-direktiivi onkin erityisen tärkeä energia-alan yrityksille, jotka ovat julkista palvelua tarjoavia toimijoita, osa kriittistä infrastruktuuria, ja siten yksi kyberhyökkäysten potentiaalisista kohteista. Energiajärjestelmä koostuu monitahoisista, useiden toimijoiden muodostamista verkostoista ja on siten altis erilaisille riskeille. Siksi koko toimitusketjun sekä verkkojen ja tietojärjestelmien suojaaminen on välttämätöntä.

Erilaiset suojaus- ja kontrollimekanismit ovat tärkeimpiä keinoja hallita turvallisuusriskejä. Erityisesti haluaisin korostaa ennakoivaa suojausta, jolla ehkäistään yritykset kajota kriittisen tiedon luottamuksellisuuteen, eheyteen ja saatavuuteen. Ennakoiva suojaus käsittää mm. toimintaperiaatteet, prosessit, käyttöoikeudet, tunnistautumisen, salauksen ja palomuurit.

Huomioithan omassa suojausarvioinnissasi ainakin seuraavat asiat:

  • Mitä kriittisiä tietojärjestelmiä ja tietoa yrityksellänne on? Mitä uhkia ja riskejä näihin järjestelmiin ja tietoihin kohdistuu?
  • Kenellä on pääsy yrityksesi tietoihin ja tietokantoihin (omat työntekijät, kolmannet osapuolet)?
  • Millaiset varmennuskäytännöt yrityksessäsi on käytössä, tai onko niitä?
  • Millainen on yrityksesi ohjelmistopäivityskäytäntö? Onko käytössänne sovellusten viimeisin versio, jolle on toimittajan kattava tuki?

Kyberuhkilta suojautuminen ei kuitenkaan perustu vain teknisiin ratkaisuihin, vaan se edellyttää lisäksi ohjeita ja käytäntöjä, prosesseja ja tietoisuutta. Energiatoimialan kuten muidenkin tärkeiden toimijoiden on varauduttava erityyppisiin kyberriskeihin vähintään kymmenen NIS2:ssa kuvatun suojaustoimenpiteen avulla, joilla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta.

Aidon on valmistautunut NIS2-direktiivin käyttöönottoon. Valmistelemme tarkistuslistaa, jonka avulla voit arvioida yrityksenne NIS2-yhteensopivuutta. Olemme myös tietoturva-asioissa luotettava asiantuntija ja teemme mielellämme asiakkaidemme ja kumppaneidemme kanssa yhteistyötä tälläkin osa-alueella.

Harri Valkonen, tietoturvavastaava
Aidon Oy