NIS 2: Mitä ehdotetut muutokset merkitsevät yrityksellesi

Joulukuussa 2022, The Euroopan unioni vahvistivat jatkavansa suunnitelmia laajentaa verkko- ja tietojärjestelmädirektiivin (NIS) soveltamisalaa niin, että se kattaa ulkoistajat ja hallinnoidut palveluntarjoajat.

Verkkotietojärjestelmiä (NIS) koskevaan direktiiviin on tehty useita uudistuksia ja päivityksiä kyberresilienssin vahvistamiseksi entisestään. Äskettäin nimetty NIS 2 tuo ulkoistettujen IT-palveluntarjoajien ja hallittujen palveluntarjoajien (MSP) sääntöjen piiriin, jotta elintärkeitä toimitusketjuja ja kriittisiä kansallisia palveluita voidaan suojella kyberhyökkäyksiltä viime vuosien merkittävien häiriöiden seurauksena.

EU:n neuvosto sanoi lehdistötiedotteessaan, että se "asettaa perustan kyberturvallisuusriskien hallintatoimille ja raportointivelvoitteille kaikilla direktiivin kattamilla aloilla, kuten energia-, liikenne-, terveys- ja digitaalinen infrastruktuuri."

NIS-määräysten noudattamatta jättämisestä yrityksille, jotka tarjoavat tärkeitä palveluja, kuten energiaa, terveydenhuoltoa, liikennettä tai vettä, voidaan langettaa enintään 17 miljoonan punnan sakko Yhdistyneessä kuningaskunnassa ja 10 miljoonan euron tai 2 %:n suuruinen sakko EU:ssa maailmanlaajuisesta liikevaihdosta.

Mikä on verkkotietojärjestelmädirektiivi (NIS) ja miksi se on päivitetty? 

EU käynnisti verkko- ja tietojärjestelmädirektiivin (NIS) vuonna 2016 kyberhyökkäysten lisääntyneiden huolenaiheiden vuoksi. Jäsenvaltioiden kyberturvavalmiuksien vahvistamisen lisäksi direktiivillä toivottiin lisäävän jäsenvaltioiden välistä kyberturvallisuusyhteistyötä. Se myös rohkaisi valtioita valvomaan kyberturvallisuutta kriittisen kansallisen infrastruktuurinsa (CNI), kuten energian, liikenteen ja terveydenhuollon, alueella.

Seitsemän vuotta direktiivin voimaantulon jälkeen kyberuhat ovat muuttuneet merkittävästi, eikä direktiivi aivan vastaa kehittyvän 2023 kyberturvallisuusriskinäkymien tarpeita. Kyberhyökkäykset ja tietomurrot ovat lisääntyneet räjähdysmäisesti, erityisesti kun ihmiset ovat entistä riippuvaisempia digitaaliteknologiasta. Lisäksi lisääntyneet hyökkäykset CNI:tä vastaan, kuten SolarWinds-hyökkäyksessä havaittiin, aukot alkuperäisessä NIS-lainsäädännössä ja epäjohdonmukaisuudet siinä, miten jäsenvaltiot ovat ottaneet käyttöön NIS:n, osoittavat aiemman mallin rajoitukset ja kattavamman korvauksen tarpeen.

Mitkä ovat NIS 2 -direktiivin keskeiset vaatimukset?

NIS 2 käsittelee aiemman NIS-lainsäädännön ongelmia ja tiukentaa sääntöjä. Mikä tärkeintä, tämä koskee epäjohdonmukaista tapaa, jolla alkuperäinen verkko- ja tietoturvadirektiivi pantiin täytäntöön, koska tämä monimutkainen yhteistyö maiden välillä heikensi yleistä tarkoitusta varmistaa EU:n kyberturvallisuuden tehokkuus.

NIS 2 edellyttää, että organisaatiot varmistavat, että seuraavat toimenpiteet ovat käytössä kyberturvallisuusriskien hallitsemiseksi:

Tietoturvapolitiikka

Kriittinen osa kyberturvallisuutta on riskitason arvioiminen. NIS 2 vaatii yrityksiä arvioimaan hyökkäyksen mahdollisia vaikutuksia tärkeimpiin omaisuuksiinsa ja olemaan valppaana mahdollisten verkkojen haavoittuvuuksien tai muiden alan jäsenten hyökkäyksen kohteeksi joutuneiden uutisten varalta. Heidän on myös omaksuttava pikemminkin ennakoiva kuin reaktiivinen lähestymistapa riskienhallintaan ottamalla käyttöön vahva tietoturvakäytännöt järjestelmällisen ja perusteellisen riskianalyysin varmistamiseksi.

Tapahtuman ehkäisy, havaitseminen ja niihin reagoiminen

NIS 2 edellyttää, että organisaatioilla on suunnitelmat ja varasuunnitelmat, suoritettava harjoituksia ja koulutettava kaikki asiaankuuluvat osapuolet. Kun organisaatio on tunnistanut merkittävimmät haavoittuvuutensa, päivitetty direktiivi edellyttää sitä ottamaan käyttöön selkeät menettelyt hyökkäysten estämiseksi ja sopimaan menetelmistä mahdollisten vaaratilanteiden havaitsemiseksi. Tämän pitäisi johtaa an tapahtumien torjuntasuunnitelma läpinäkyvä komentoketju täytäntöönpanoa varten.

Liiketoiminnan jatkuvuus ja kriisinhallinta

Päivitetyn NIS 2:n tarkoituksena on varmistaa, että a liiketoiminta voi jatkaa toimintaansa kyberhyökkäyksen sattuessa. Organisaatioilla tulee olla todennettavissa oleva suunnitelma siitä, miten yritys reagoi hyökkäykseen ja miten se voi toipua siitä mahdollisimman nopeasti ja minimoimalla häiriöt. Tämän seurauksena NIS 2 keskittyy pilvivarmuuskopiointiratkaisuihin.

Toimitusketjun turvallisuus

Toimitusketjun turvallisuus on ollut mikroskoopin alla maailmanlaajuisesti jo jonkin aikaa. NIS 2 kaksinkertaistaa tämän ja vaatii organisaatioita ottamaan huomioon kunkin toimittajansa ja palveluntarjoajansa haavoittuvuudet ja kyberturvallisuuskäytännöt, mukaan lukien tiedontallennuspalvelujen tarjoajat. Direktiivi varmistaa, että organisaatiot ymmärtävät selkeästi riskit, ylläpitävät läheistä suhdetta toimittajiin ja päivittävät jatkuvasti tietoturvaa parhaan mahdollisen suojan takaamiseksi. 

Haavoittuvuuden paljastaminen

NIS 2 vaatii avoimempaa haavoittuvuuksien paljastamista ja hallintaa. Organisaatioiden on tarjottava yleisölle keinot ilmoittaa haavoittuvuuksista ja varmistettava, että asianomainen osasto toimii näiden tietojen perusteella. Jos organisaatio havaitsee verkossaan haavoittuvuuden, päivitetty direktiivi edellyttää sen paljastamista. Tällaisten haavoittuvuuksien paljastaminen tukee tietoverkkorikollisuuden torjuntaa ja varmistaa, ettei niitä hyödynnetä muualla.

NIS 2 edellyttää myös päivitettyjä lähestymistapoja:

Tapahtumista ilmoittaminen

Päivitetyn direktiivin mukaan yritysten on toimitettava ensimmäinen raportti 24 tunnin kuluessa siitä, kun he ovat saaneet tietoonsa "merkittävistä" tapahtumista, täydellinen tapahtumailmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa mille tahansa toimivaltaiselle viranomaiselle, Computer Security Incident Response Team CSIRT) ja joskus asiakkailleen.

Merkittävä tapahtuma on mikä tahansa tapahtuma, joka on aiheuttanut tai voi aiheuttaa vakavan palvelun toimintahäiriön tai taloudellisia menetyksiä tai jos tapahtuma on vaikuttanut tai voi aiheuttaa huomattavia menetyksiä muille.

Yhteistyö

Ensimmäinen verkko- ja tietoturvadirektiivi epäonnistui, koska siinä ei otettu huomioon yksittäisten maiden erilaisia ​​toimintatapoja. Siksi NIS 2:

• Kannustetaan lisäämään tietojen jakamista viranomaisten välillä
• Vaadi viranomaisia ​​osallistumaan vaaratilanteiden torjuntaan EU:n tasolla kansallisen tason sijaan
• Perustetaan EU:n ja kyberkriisien yhteysorganisaatioverkosto (EU CyCLONE), keskuselin koordinoimaan ja hallinnoimaan EU:n laajuisiin kybertapahtumiin liittyviä toimia

Keskittämällä kyberturvallisuuden valvonnan EU:n tasolle ja velvoittamalla kaikkien noudattamaan samoja kyberturvallisuusstandardeja NIS 2 pyrkii yksinkertaistamaan aiemmin alikoordinoitua järjestelmää. Tämän pitäisi helpottaa tietojen yhteiskäyttöä ja tehokkaampia ratkaisuja kybertapahtumiin niiden tapahtuessa.

Kenen on noudatettava NIS 2:ta?

NIS 2 koskee kaikkia organisaatioita, joissa on yli 50 työntekijää ja joiden vuotuinen liikevaihto ylittää 10 miljoonaa euroa, ja kaikkiin organisaatioihin, jotka ovat aiemmin kuuluneet alkuperäisen verkko- ja tietoturvadirektiivin piiriin.  

Päivitetyllä direktiivillä laajennetaan myös sen soveltamisalaa kattamaan seuraavat uudet toimialat:

• Sähköinen viestintä
• Digitaaliset palvelut
• Tila
• Jätehuolto
• ruoka
• Kriittisten tuotteiden valmistus (eli lääke)
• Postipalvelut
• Julkishallinto

Alkuperäiseen direktiiviin sisältyvät teollisuudenalat jäävät päivitetyn NIS 2 -direktiivin soveltamisalaan. Jotkut jäsenvaltion toiminnan kannalta kriittiset pienemmät organisaatiot sisällytetään myös NIS 2:n toimivaltaan mahdollisten ongelmien vuoksi, joita saattaa syntyä, jos niihin kohdistuu kyberhyökkäys.

Koskeeko NIS 2 Yhdistyneen kuningaskunnan yrityksiä?

- Yhdistyneen kuningaskunnan hallitus ovat vahvistaneet, että ne jatkavat suunnitelmia päivittää NIS-säännökset, koska niitä sovelletaan Yhdistyneeseen kuningaskuntaan, ja laajentaa asetus kattamaan kaikki digitaalisesti hallitut palveluntarjoajat (MSP).

Osana tätä suunniteltua Yhdistyneen kuningaskunnan päivitystä yhdenmukaistetaan NIS 2:n kanssa monilla alueilla, erityisesti silloin, kun se koskee hallinnoituja palveluntarjoajia, IT-ulkoistusta ja ydinvaatimuksia, kuten tapahtumaraportointia, toimitusketjun turvallisuutta ja liiketoiminnan jatkuvuutta.

Yhdistyneen kuningaskunnan päivitys "tehdään heti, kun parlamentin aika sallii" ja se on osa hallituksen 2.6 miljardia puntaa (3.2 miljardia dollaria) Kansallinen kyberstrategia. Joten vaikka Yhdistyneen kuningaskunnan muutokset eivät ehkä tule voimaan heti vuonna 2024, niitä ei ole takuita, ja yritysten tulisi olla hyvin valmistautuneita sen sijaan, että ne jäävät jumiin myöhemmin.

Mitä seurauksia on NIS 2:n noudattamatta jättämisestä? 

NIS 2 sisältää paljon tiukemmat täytäntöönpanovaatimukset kuin edeltäjänsä. Rikkomuksista määrättävät seuraamukset vaihtelevat turvallisuustarkastuksesta ja määrättyjen suositusten noudattamisesta määrättyihin sakkoihin, jotka ovat 10 miljoonaa euroa tai 2 % organisaation maailmanlaajuisesta kokonaisliikevaihdosta – sen mukaan, kumpi näistä luvuista on suurempi.

Erityisesti nämä sakot ovat samat kuin niistä määrätyt sakot GDPR rikkomuksia, ja NIS 2 tulee ymmärtää samalla tavalla. NIS 2 -aloite edustaa merkittävää harppausta kyberturvallisuuden alalla, ja sitä tulisi kohdella yhtä vakavasti kuin GDPR:n valtava muutos, jonka tietosuojan aiheutti.

Standardeihin perustuva lähestymistapa NIS 2:een

Organisaatioille, jotka haluavat noudattaa NIS 2 -standardia, sertifiointi vastaan ISO 27001 Tietoturvan kannalta voisi olla tehokas ensimmäinen askel.

NIS-säännöksissä itsessään mainitaan, että yritysten on harkittava "kansainvälisten standardien noudattamista", kun taas Euroopan unionin kyberturvallisuusviraston (ENISA) antamat tekniset ohjeet kuvaavat kunkin turvallisuustavoitteen useisiin parhaiden käytäntöjen standardeihin, mukaan lukien ISO 27001. 

ISO 27001 -standardin mukaisen tiedonhallintajärjestelmän (ISMS) avulla organisaatiot voivat vähentää riskejään ja altistumistaan ​​tietoturvauhkille tunnistamalla asianmukaiset käytännöt, jotka niiden on dokumentoitava, tekniikat itsensä suojaamiseksi ja henkilöstön koulutus virheiden välttämiseksi. Ne myös velvoittavat organisaatiot suorittamaan vuosittaiset riskiarvioinnit, mikä auttaa niitä pysymään jatkuvasti muuttuvan riskimaiseman edellä.

ISO 27001 auttaa organisaatioita täyttämään NIS 2 -vaatimukset ja saamaan samalla riippumattoman auditoidun sertifikaatin. Tämä osoittaa toimittajille, sidosryhmille ja sääntelyviranomaisille, että olet toteuttanut vaadittavat "asianmukaiset ja oikeasuhteiset" tekniset ja organisatoriset toimenpiteet, ja osoittaa kilpailuetua markkinoilla.

Organisaatiot, jotka haluavat viedä sen askeleen pidemmälle, voivat harkita lisäämistä ISO 22301 liiketoiminnan jatkuvuuden hallintaan. ISO 22301 on suunniteltu auttamaan sinua toteuttamaan, ylläpitämään ja jatkuvasti parantamaan lähestymistapaasi liiketoiminnan jatkuvuuteen. Vaikka jotkin ISO 27001:n osa-alueet sisältävät liiketoiminnan jatkuvuuden hallinnan (BCM), se ei määrittele BCM:n käyttöönottoprosessia. Tässä tulee käyttöön täydentävä standardi ISO 22301. Tämän standardin mukainen sertifiointi osoittaisi entisestään NIS 2:n noudattamisen. 

27001 ja ISO 22301 toimivat myös hyvin yhdessä, joten voit kehittää integroidun hallintajärjestelmän, joka sisältää sekä ISMS:n että BCMS:n. Tämä lähestymistapa auttaa sinua myös kehittämään vahvaa kybersietokykyä.

NIS 2 Johtopäätökset

EU:n NIS 2 -direktiivin julkaisemisen jälkeen Euroopan unionin virallisessa lehdessä direktiivi tuli voimaan 20. joulukuuta 2022. Jäsenvaltioilla on 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöään.

Täytäntöönpanoaikataulut Yhdistyneessä kuningaskunnassa eivät ole yhtä selkeät, sillä Yhdistyneen kuningaskunnan hallitus on sitoutunut esittelemään tarvittavan lainsäädännön "kun parlamentin aika sallii". Hallituksen nykyisten prioriteettien perusteella odotamme, että uusi järjestelmä tulee voimaan aikaisintaan vuonna 2024.

Valmistele organisaatiosi menestymään jo tänään ISO 27001 -standardin avulla

Jos haluat saavuttaa NIS 2 -yhteensopivuuden ja aloittaa matkasi kohti parempaa tietoa ja kyberturvallisuutta, voimme auttaa. 

Lataa tärkeä oppaamme lukeaksesi lisää ja hankkiaksesi tietoa, jota tarvitset pysyäksesi kehityksen kärjessä ja varmistaaksesi, että organisaatiosi on valmis menestymään.

Lataa

Esittelymateriaalit

1. ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- hyväksyy-uuden-lain/
2. GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
3. NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction