NIS2-vaatimustenmukaisuus Goverilla
NIS2-direktiivi vahvistaa kyberturvallisuusvaatimuksia koko EU:ssa.
Yleiskatsaus
| Ominaisuus | Arvo |
|---|---|
| Koko nimi | Verkko- ja tietoturvadirektiivi 2 |
| Lainkäyttöalue | Euroopan unioni |
| Voimaantulopäivä | Lokakuu 2024 (siirtymäaika päättyi) |
| Soveltamisala | Keskeiset ja tärkeät toimijat |
Soveltamisala
Keskeiset toimijat (Essential Entities)
- Energia
- Liikenne
- Pankkitoiminta
- Terveys
- Digitaalinen infrastruktuuri
- Julkishallinto
Tärkeät toimijat (Important Entities)
- Postipalvelut
- Jätehuolto
- Valmistus
- Digitaaliset palveluntarjoajat
- Tutkimus
Keskeiset vaatimukset
Riskienhallinta (Artikla 21)
- Riskianalyysi ja turvallisuuspolitiikat
- Häiriöiden käsittely
- Liiketoiminnan jatkuvuus
- Toimitusketjun turvallisuus
- Turvallisuus hankinnoissa
- Haavoittuvuuksien käsittely
- Kyberturvallisuuden arviointi
- Kryptografia ja salaus
- Henkilöstöturvallisuus
- Pääsynhallinta
Häiriöraportointi (Artikla 23)
- Ennakkovaroitus 24 tunnin kuluessa
- Häiriöilmoitus 72 tunnin kuluessa
- Loppuraportti kuukauden kuluessa
Hallinto
- Johdon hyväksyntä
- Kyberturvallisuuskoulutus
- Henkilökohtainen vastuu
Goverin käyttö NIS2:lle
1. Lisää NIS2-viitekehys
- Mene kohtaan Viitekehykset → Lisää viitekehys
- Valitse mallipohjista NIS2
- Lisää työtilaasi
2. Arvioi soveltamisala
Määritä oletko keskeinen vai tärkeä toimija perusteinasi:
- Toimiala
- Koko
- Kriittisyys
3. Yhdistä hallintakeinot vaatimuksiin
Yhdistä turvallisuushallintakeinosi NIS2 Artikla 21:n vaatimuksiin:
- Riskienhallintapolitiikat
- Häiriönhallintaprosessit
- Liiketoiminnan jatkuvuussuunnitelmat
- Toimitusketjun turvallisuustoimenpiteet
4. Implementoi raportointi
Varmista, että pystyt noudattamaan raportointiaikatauluja:
- 24h ennakkovaroituskyvykkyys
- 72h ilmoitusprosessi
- Loppuraportointimenettelyt
Suositellut hallintakeinot
| NIS2-alue | Suositellut hallintakeinot |
|---|---|
| Riskienhallinta | Riskinarviointiprosessi, Tietoturvapolitiikka |
| Häiriöiden käsittely | Häiriönhallintasuunnitelma, SIEM |
| Liiketoiminnan jatkuvuus | BCP, Palautumissuunnitelma (Disaster Recovery) |
| Toimitusketju | Toimittaja-arviointi, Kolmannen osapuolen riskit |
| Pääsynhallinta | IAM, MFA, Privileged Access |
| Kryptografia | Salauspolitiikka, Avaintenhallinta |
Seuraamukset
NIS2 tuo merkittäviä sakkoja:
- Keskeiset toimijat: Jopa 10M€ tai 2% liikevaihdosta
- Tärkeät toimijat: Jopa 7M€ tai 1.4% liikevaihdosta
Resurssit
Seuraavat vaiheet
- ISO 27001 — Täydentävä turvallisuusstandardi
- Riskienhallinta — Implementoi riskiprosessit