”Kerran ja valmiina” -ajattelutapa ei sovi sääntelyn noudattamiseen – päinvastoin. Useimmat maailmanlaajuiset säännökset edellyttävät jatkuvaa parantamista, seurantaa sekä säännöllisiä tarkastuksia ja arviointeja. EU:n NIS II -direktiivi ei ole poikkeus.
Siksi monet tietoturvajohtajat ja vaatimustenmukaisuudesta vastaavat johtajat pitävät EU:n tietoturvaviraston (ENISA) uusinta raporttia mielenkiintoisena luettavana. ENISA NIS360 2024 hahmottelee kuusi sektoria, jotka kamppailevat vaatimustenmukaisuuden kanssa, ja osoittaa miksi, samalla korostaen, kuinka kypsämmät organisaatiot ovat edelläkävijöitä. Hyvä uutinen on, että ISO 27001 -sertifioidut organisaatiot huomaavat, että NIS 2 -vaatimustenmukaisuuden puutteiden umpeen kurominen on suhteellisen helppoa.
NIS 2:n uutuudet
NIS 2 on EU:n yritys päivittää digitaalisen resilienssin lippulaivalakiaan nykyaikaiseen aikakauteen. Sen ponnistelujen keskittyminen on:
- Direktiivin kattamien alojen määrän laajentaminen
- Konkreettisempien kyberturvallisuusvaatimusten käyttöönotto
- Eri sektoreiden välisten resilienssin tasojen epäjohdonmukaisuuksien vähentäminen
- Tiedonjaon, vaaratilanteisiin reagoinnin ja toimitusketjun riskienhallinnan parantaminen
- Ylimmän johdon pitäminen vastuullisena räikeistä laiminlyönneistä
Yhdistyneen kuningaskunnan organisaatiot saavat oman päivitetyn versionsa alkuperäisestä verkko- ja tietojärjestelmädirektiivistä (NIS), kun Kyberturvallisuutta ja kestävyyttä koskeva lakiesitys tulee lopulta osaksi lakia. Monet niistä kuitenkin tarjoavat palveluja Euroopan kansalaisille ja/tai toimivat mantereella, mikä tarkoittaa, että ne kuuluvat NIS 2:n piiriin. Näille organisaatioille NIS360 voi olla hyödyllinen luettava.
Mitkä sektorit kamppailevat?
Raportissa tutkituista 22 sektorista ja alasektoreista kuuden sanotaan olevan vaatimustenmukaisuuden kannalta "riskialueella" – eli niiden riskitilanteen kypsyysaste ei pysy niiden kriittisyyden tahdissa. Ne ovat:
ICT-palveluiden hallinta: Vaikka se tukee organisaatioita samalla tavalla kuin muu digitaalinen infrastruktuuri, alan kypsyysaste on alhaisempi. ENISA huomauttaa, että sillä ei ole "standardoituja prosesseja, johdonmukaisuutta ja resursseja", joiden avulla se voi pysyä ajan tasalla yhä monimutkaisemmista digitaalisista toiminnoista, joita sen on tuettava. Rajat ylittävien toimijoiden välinen heikko yhteistyö pahentaa ongelmaa, samoin kuin toimivaltaisten viranomaisten "tuntemattomuus" alan kanssa.
ENISA kehottaa muun muassa tiivistämään toimivaltaisten viranomaisten välistä yhteistyötä ja yhdenmukaistamaan rajat ylittävää valvontaa.
space: Sektori on yhä tärkeämpi useiden palveluiden tarjoamisessa, mukaan lukien puhelin- ja internetyhteydet, satelliittitelevisio- ja radiolähetykset, maa- ja vesivarojen seuranta, täsmäviljely, kaukokartoitus, etäinfrastruktuurin hallinta ja logistiikkapakettien seuranta. Raportissa todetaan kuitenkin, että koska kyseessä on uusi säännelty sektori, se on vielä NIS II:n vaatimusten mukaisen lainsäädännön alkuvaiheessa. Voimakas riippuvuus kaupallisista valmiista tuotteista (COTS), rajalliset investoinnit kyberturvallisuuteen ja suhteellisen kehittymätön tiedonjakotilanne lisäävät haasteita.
ENISA kehottaa keskittymään enemmän tietoturvatietoisuuden lisäämiseen, COTS-komponenttien testausohjeiden parantamiseen ennen käyttöönottoa sekä yhteistyön edistämiseen alan sisällä ja muiden toimialojen, kuten televiestinnän, kanssa.
Julkishallinto: Tämä on yksi vähiten kehittyneistä aloista huolimatta sen elintärkeästä roolista julkisten palvelujen tarjoamisessa. ENISAn mukaan kyberriskeistä ja -uhista tai edes NIS 2:n laajuudesta ei ole todellista ymmärrystä. Se on kuitenkin edelleen merkittävä kohde haktivistien ja valtioiden tukemien uhkatoimijoiden keskuudessa.
ENISA suosittelee jaetun palvelun mallia muiden julkisten toimijoiden kanssa resurssien optimoimiseksi ja turvallisuusvalmiuksien parantamiseksi. Se kannustaa myös julkishallintoja nykyaikaistamaan vanhoja järjestelmiä, investoimaan koulutukseen ja hyödyntämään EU:n kybersolidaarisuuslakia taloudellisen tuen saamiseksi havaitsemisen, reagoinnin ja korjaavien toimenpiteiden parantamiseksi.
Merenkulku: Ala on elintärkeä taloudelle (se hallinnoi 68 % rahdista) ja erittäin riippuvainen teknologiasta, mutta vanhentunut teknologia, erityisesti siirtoverkkojen käyttö, haastaa sen.
ENISA väittää, että se voisi hyötyä räätälöidyistä ohjeista vankkojen kyberturvallisuusriskien hallinnan kontrollien toteuttamiseksi – priorisoimalla sisäänrakennetun turvallisuuden periaatteita ja ennakoivaa haavoittuvuuksien hallintaa meriliikenteen operatiivisessa teknologiassa. Se kehottaa EU-tason kyberturvallisuusharjoitukseen monimuotoisen kriisitoiminnan tehostamiseksi.
Terveys: Ala on elintärkeä, ja se kattaa 7 % EU:n yrityksistä ja 8 % työllisyydestä. Potilastietojen arkaluontoisuus ja kyberuhkien mahdollisesti kohtalokkaat vaikutukset tarkoittavat, että tapauksiin reagointi on kriittistä. Alan organisaatioiden, laitteiden ja teknologioiden monimuotoisuus, resurssivaje ja vanhentuneet käytännöt kuitenkin tarkoittavat, että monilla palveluntarjoajilla on vaikeuksia ylittää perusturvallisuusvaatimukset. Monimutkaiset toimitusketjut ja vanhat IT/OT-järjestelmät pahentavat ongelmaa.
ENISA haluaa nähdä lisää ohjeita turvallisesta hankinnasta ja parhaista turvallisuuskäytännöistä, henkilöstön koulutus- ja tiedotusohjelmia sekä enemmän sitoutumista yhteistyökehyksiin uhkien havaitsemisen ja niihin reagoinnin kehittämiseksi.
Kaasu: Ala on altis hyökkäyksille, koska se on riippuvainen IT-järjestelmistä valvontansa ja yhteenliitettävyytensä osalta muihin toimialoihin, kuten sähköön ja valmistukseen. ENISAn mukaan valmius tapahtumiin ja reagointi niihin ovat erityisen heikkoja, etenkin verrattuna sähköalan kilpailijoihin.
Alan tulisi kehittää vankat ja säännöllisesti testattavat häiriötilanteisiin reagointisuunnitelmat ja parantaa yhteistyötä sähkö- ja teollisuussektorin kanssa koordinoidussa kyberpuolustuksessa, parhaiden käytäntöjen jakamisessa ja yhteisissä harjoituksissa.
Mitä johtajat tekevät oikein?
ENISAn mukaan korkeimman kypsyystason omaavat sektorit ovat huomionarvoisia useista syistä:
- Laajempi kyberturvallisuusohjeistus, joka saattaa sisältää toimialakohtaista lainsäädäntöä tai standardeja
- Vahvempi valvonta ja tuki EU:n viranomaisilta, jotka tuntevat alan ja sen haasteet
- Syvempi riskien ymmärtäminen ja tehokkaampi riskienhallinta
- Vahvempi yhteistyö ja tiedonjako yksiköiden ja viranomaisten välillä kansallisella ja EU:n tasolla
- Kypsempi operatiivinen valmius hyvin testattujen suunnitelmien avulla
NIS 2 -vaatimustenmukaisuuden onnistuminen
On muistettava, ettei tietyllä alalla ole kahta täysin samanlaista organisaatiota. Raportin havainnot ovat kuitenkin opettavaisia. Ja vaikka osa vaatimustenmukaisuuden parantamisen taakasta lankeaa varmenneviranomaisten harteille – valvonnan, ohjauksen ja tuen parantamiseksi – suuri osa siitä on riskiperusteisen lähestymistavan omaksumista kyberturvallisuuteen. Tässä kohtaa standardit, kuten ISO 27001, tulevat oikeuksiinsa ja lisäävät yksityiskohtia, joita NIS 2:sta saattaa puuttua, sanoo Jamie Boote, NIS:n ohjelmistoturvallisuuskonsultin apulaisjohtaja. Musta ankka:
”NIS 2 kirjoitettiin korkealla tasolla, koska sen piti soveltua laajaan joukkoon yrityksiä ja toimialoja, eikä se siksi voinut sisältää räätälöityjä, määräyksiä sen lisäksi, että yrityksille kerrottiin, mitä niiden oli noudatettava”, hän selittää ISMS.online-sivustolle.
”Vaikka NIS 2 kertoo yrityksille, että niillä on oltava ’tapahtumien käsittely’ tai ’kyberhygienian peruskäytännöt ja kyberturvallisuuskoulutus’, se ei kerro heille, miten nämä ohjelmat rakennetaan, miten käytäntö laaditaan, henkilöstöä koulutetaan ja miten tarjotaan riittävät työkalut. Yksityiskohtaisesti tapausten käsittelyä tai toimitusketjun turvallisuutta käsittelevien viitekehysten käyttöönotto on erittäin hyödyllistä, kun näitä käytäntölauseita puretaan kaikkiin kyberturvallisuusohjelman ihmisten, prosessien ja teknologian muodostaviin elementteihin.”
Huntressin uhkaoperaatioiden johtaja Chris Henderson on samaa mieltä siitä, että NIS 2:n ja ISO 27001:n välillä on merkittävää päällekkäisyyttä.
”ISO27001 kattaa monia samoja hallinto-, riskienhallinta- ja raportointivelvoitteita, joita NIS 2 edellyttää. Jos organisaatiolla on jo ISO 27001 -standardi, sillä on hyvät valmiudet kattaa myös NIS2-kontrollit”, hän kertoo ISMS.online-sivustolle. ”Yksi alue, jota heidän on parannettava, on kriisinhallinta, koska vastaavaa ISO 27001 -kontrollia ei ole. NIS 2:n raportointivelvoitteilla on myös erityisvaatimuksia, joita ei täytetä välittömästi ISO 27001 -standardin käyttöönoton myötä.”
Hän kehottaa organisaatioita aloittamaan testaamalla NIS 2:n pakollisia käytäntöelementtejä ja yhdistämällä ne valitsemansa kehyksen/standardin (esim. ISO 27001) kontrolleihin.
”On myös tärkeää ymmärtää itse viitekehyksen aukot, koska kaikki viitekehykset eivät välttämättä kata sääntelyn koko sisältöä, ja jos sääntelylausekkeita on vielä kartoittamatta, on ehkä lisättävä uusi viitekehys”, hän lisää.
Siitä huolimatta vaatimustenmukaisuus voi olla merkittävä urakka.
”Vaatimustenmukaisuuskehykset, kuten NIS 2 ja ISO 27001, ovat laajoja ja vaativat huomattavasti työtä”, Henderson sanoo. ”Jos rakennat tietoturvaohjelmaa tyhjästä, on helppo saada analyysihalvaus yrittäessäsi ymmärtää, mistä aloittaa.”
Tässä kohtaa kolmannen osapuolen ratkaisut, jotka ovat jo tehneet kartoitustyön ja tuottaneet NIS 2 -valmiusvaatimustenmukaisuusopas, voi auttaa.
Green Raven Limitedin toimitusjohtaja Morten Mjels arvioi, että ISO 27001 -standardin noudattaminen auttaa organisaatioita saavuttamaan noin 75 % NIS 2 -vaatimustenmukaisuudesta.
”Vaatimustenmukaisuus on jatkuvaa taistelua jättiläistä (sääntelyviranomainen) vastaan, joka ei koskaan väsy, ei koskaan anna periksi eikä anna periksi”, hän kertoo ISMS.online-sivustolle. ”Siksi suuremmilla yrityksillä on kokonaisia osastoja, jotka on omistautunut varmistamaan vaatimustenmukaisuuden kaikilla osa-alueilla. Jos yrityksesi ei ole tässä tilanteessa, kannattaa konsultoida jotakuta.”
Katso tämä webinaari saadaksesi lisätietoja siitä, miten ISO 27001 voi käytännössä auttaa NIS 2 -vaatimustenmukaisuudessa.
