Selviydytkö NIS 2:sta, jos kriittisin IT-yksikkösi ei tue MFA:ta tai lokitietojen tallentamista?
Vanha IT on elefantti, jonka kaikki näkevät, mutta harvat haluavat omistaa. Olipa kyse sitten veden tuomisesta kaupunkeihin, tehtaiden sähkönkäytöstä tai kliinisten laitteiden käytöstä, organisaatiosi on lähes varmasti riippuvainen päätepisteistä tai palvelimista, joille ei ole asennettu tietoturvapäivitystä vuosiin. Epämiellyttävä totuus: NIS 2 nostaa nämä "siirtämättömät" resurssit operatiivisesta taustasta valokeilaan ja liittää henkilökohtaisen riskin jokaiseen hallitsemattomaan elinkaareen ja hallintavajeeseen. (ENISA, 2023). Näiden selittäminen pois liiketoiminnan jatkuvuudella tai perinteisten toimittajien rajoituksilla ei enää riitä. Sääntely vaatii aktiivista hallintaa ja täytäntöönpanokelpoisia suojatoimia – jopa silloin, kun tietoturvan perusasiat, kuten monivaiheinen todennus (MFA) tai käyttökelpoiset tapahtumalokit, eivät ole teknisesti mahdollisia.
Olet jo nähnyt vaikutukset: uusimiset pysähtyivät, vakuutuskyselyt lisääntyivät, johtokunnat olivat hermostuneita ja asiakkaat vaativat todisteita. Yhtäkkiä taulukkolaskentaohjelma, jossa lasketaan "vanhoja palvelimia", tuntuu vähemmän tekniseltä velalta ja enemmän huomisen auditointisakolta. Keskeinen paradoksi on selvä: Miten varmistat ja todistat hallinnan niiden resurssien suhteen, joiden muuttaminen on vaikeinta?
Jokainen perintöriski on avoin kysymys, joka vaatii dokumentoidun vastauksen, ei passiivista tekosyytä.
Panokset eivät ole teoreettisia. Riskienhallintakyvyn puute vanhoissa järjestelmissä ei johda ainoastaan sakkoihin; siitä voi tulla johtokunnan maineen kannalta vaarallinen tapahtuma, joka voi kaataa due diligence -tarkastuksia tai mitätöidä vakuutuksen tapahtuman jälkeen. Ja kun näiden riskien vastuu siirtyy IT-tiimiltä johtokunnalle, vanhat mukavuusalueet katoavat. NIS 2 tökkii jokaista laitetta, jokaista järjestelmää ja jokaista varjolaskentataulukkoa, joka vaikutti turvalliselta hämärän peitossa – vaatien toimintasuunnitelman, jossa "korjaamaton" ei ole sokea piste, vaan vaatimus johtajuudesta, päättäväisyydestä ja uskottavasta eteenpäin menemisestä.
Miksi perinteiset poikkeukset eivät enää tuo sinulle aikaa tai luottamusta
Jos olet hallinnoinut vaatimustenmukaisuusjärjestelmiä yli vuoden, tunnet luultavasti tanssin: paljasta vanha kuilu, merkitse se rekisteriin, ehdota kuvitteellista tulevaa päivitystä ja toivo, että sääntelyviranomaiset, vakuutusyhtiöt tai asiakkaat hyväksyvät pakonomaisen tekosyyn. NIS 2 muuttaa tämän tanssin vastuullisuuden koreografiaksi. Artikla 21(2) on yksiselitteinen: Jokainen riski, mukaan lukien vanhentuneista järjestelmistä johtuvat riskit, on nimettävä omistajalle, tarkistettava virallisesti hallituksen tasolla ja osoitettava, että sitä joko aktiivisesti lievennetään tai että sen loppuun saattamiseksi on osoitettava resursseja. (EUR-Lex). Jos et voi näyttää tätä ketjua-poikkeus kasvatettu, omistaja nimetty, valvonta kartoitettu, suunnitelma kirjautunut tarkistetaan hallituksen toimesta - vaatimustenmukaisuusasenteesi on objektiivisesti sopimaton.
Uusi objektiivi: Poikkeukset eivät ole enää "lupaa seisoa paikallaan" - ne ovat palavia sytykkeitäVakuutusyhtiöt ovat huomanneet tämän; niin ovat myös hankintatiimit ja tarkastajat. Jos esittelet korkean riskin omaisuuserän, jolla ei ole seuraavaa virstanpylvästä tai hallituksen vahvistamaa tarkastusta, voit odottaa korkeampia vakuutusmaksuja, vakuutusehtoja tai suoranaista liiketoiminnan menetystä. Syy on yksinkertainen: Ilman rakennetta oletetaan, että vanhan omaisuuserän riskiä ei hallita, ja hallitsematonta riskiä ei voida vakuuttaa (AGCS).
Sääntelyviranomainen näkee poikkeuslokin elävänä lupauksena, ei toimimattomuuden hautausmaana.
Käytännön tarkastusten epäonnistumiset johtuvat yhä useammin selkeyden puutteesta – kuka omistaa riskin, mikä on väliaikainen kontrolli ja miten vauhti pakotetaan kohti prosessin päättämistä. Tarkastellaan tätä riskikartoituksen tilannekuvaa:
| Vanha omaisuus | Omistaja | Riskipiste | Korjaus-/siirtymäsuunnitelma | Hallituksen tarkistus/allekirjoitus |
|---|---|---|---|---|
| Windows 2008 -palvelin | IT Hups | Korkea | ”Käytöstäpoisto vuoden 2025 toisella neljänneksellä” | Kyllä (pöytäkirjaan merkitty) |
| Elinikäisen PLC:n | Kasvijohtaja | Keskikorkea | Verkkosegmentti + monitori | Kyllä (2024) |
| Korjaamaton röntgentietokone | Kliininen | Korkea | Kaksoishyväksyntä, korvaa vuoden 26 | flagged |
Mikä tahansa rivi, jolta puuttuu nimetty omistaja, toteuttamiskelpoinen suunnitelma tai hyväksyntä, laukaisee nyt välittömästi auditointipuutteen. Mikään määrä teknisiä perusteluja ei korvaa hallinnon omistajuuden tyhjiötä.
Hallitse NIS 2:ta ilman taulukkolaskentakaaosta
Keskitä riskit, tapaukset, toimittajat ja todisteet yhdelle selkeälle alustalle.
Mikä lasketaan – ja mikä epäonnistuu – kun kontrollit, kuten monitoiminen autentikointi tai lokikirjaus, eivät ole mahdollisia
Nykyaikainen sääntely ei ole naiivia operatiivisen teknologian (OT), terveydenhuollon, yleishyödyllisten palvelujen ja valmistuksen rajoituksille. Ei odoteta, että jokainen vanha resurssi taianomaisesti tukisi monitoimista autentikointia (MFA), täydellistä SIEM-integraatiota tai välitöntä käytöstä poistamista. NIS 2:n ja ENISAn ohjeistus tekee selväksi: Jos et voi ottaa käyttöön vakiomuotoista hallintaa (kuten monitasoista autentikointia tai lokitietojen tallentamista), sinun on dokumentoitava väliaikainen, kerroksellinen kompensoiva hallinta ja asetettava voimassaoloajan päättymistä osoittava aktiivinen hallinta teknisen luovutuksen sijaan. (ENISA).
Yleisiä auditointiansoja:
- Manuaaliset käyttölokit ilman tarkistajaa: "Vuoroesimies allekirjoittaa paperilomakkeen." Hyväksyy vain lyhytaikaiset if on todisteita siitä, että sitä tarkistetaan, allekirjoitetaan ja se poistetaan käytöstä vähitellen.
- Verkon eristäminen ilman valvontaa: "Siirsimme sen VLANiin." Toimii vain, jos se on dokumentoitu, validoitu säännöllisesti ja yhdistetty riskirekisterimerkintöihin.
- Tarkistamattomat poikkeusrekisterit: ”Pidämme laskentataulukkoa.” Epäonnistuu ilman selkeitä tarkistussyklejä, omistajan määrittämistä ja päättämisen virstanpylväitä.
Olennaiset kompensoivat kontrollit, kun "moderni" ei sovi:
- *Verkon segmentointi säännöllisin tarkastuksin ja käyttöoikeuksien tarkistuksin.*
- *Kaksoishallinta (kahden henkilön allekirjoitus) kaikille muutoksille tai etuoikeutetuille käyttöoikeuksille.*
- *Käyttöalueiden videovalvonta, erityisesti käyttötiloissa.*
- *Manuaaliset lokikirjat, jotka johto tarkistaa ja allekirjoittaa määräajoin.*
- *Kerrostetut säätimet – älä koskaan luota yhteen väliaikaiseen ratkaisuun.*
| Etu | Maisteriohjelma? | Metsätalous? | Kompensoiva ohjaus | Review Päivämäärä | Sulkemissuunnitelma |
|---|---|---|---|---|---|
| Vanha laskutussovellus | Ei | Ei | Vuoropäiväkirja + kaksoishyväksyntä | Q2 2024 | Korvaa Q1 2025 |
| Teollinen PLC | Ei | Osittainen | Segmentoidut, valvojan käyttölokit | Kuukausittain | Laiteohjelmistopäivitys vuonna '25 |
Muistaa: Manuaaliset tai vaihtoehtoiset kontrollit ovat aina "väliaikaisia ja niitä voidaan tarkistaa pakollisesti". ENISAn kanta on suora: kiertoteoilla voi ostaa aikaa, ei vapauttaa vaatimuksista. Mitä vanhempi tai haavoittuvempi resurssi on, sitä tiukempi tarkastus ja sitä kiireellisempi sulkemissuunnitelma.
Väliaikainen ratkaisu on lähtölaskenta, ei turvaverkko. Sen signaali on johdon kunnianhimo, ei operatiivinen inertia.
Kompensoivien kontrollien jäsentäminen: ISO 27001- ja NIS 2 -standardien mukaisuus
On houkuttelevaa oikaista mutkia ja julistaa poikkeus "hyväksytyksi", kun IT ei pysty toteuttamaan MFA:ta tai lokitietojen tallentamista. Käytännössä sääntely- ja vakuutusvalvonta koskee kuitenkin vain sitä, rakenneISMS.online ja ISO 27001:2022 antavat sinulle suunnitelman: jokaisen kontrolliaukon on vastattava:
- Riskirekisterimerkintä (kuvaamalla tarkasti omaisuuserän, vajeen ja todennäköisen vaikutuksen).
- Soveltamislausunto (SoA) -merkintä (tunnistaa kyseessä oleva kontrolli ja miksi sitä ei täytetä).
- Kompensoivat kontrollit, joita sovelletaan, dokumentoidaan ja kerrostetaan (useampi kuin yksi puolustuslinja).
- Nimetty omaisuuden omistaja ja tilintarkastaja tai tarkastaja.
- Todisteet säännöllisestä tarkastelusta, edistymisestä ja lopullisesta korjaavasta toimenpiteestä tai riskien hyväksymisestä hallituksen tasolla.
Esimerkki ISO 27001 -sillasta:
| odotus | Käyttöönotto | ISO 27001 / Liite A Viite |
|---|---|---|
| Hallituksen vastuuvelvollisuus | Nimetty hyväksyntä, riskipisteytys | 5.3, A.5.4, A.5.36 |
| Omaisuuskohtainen riskien seuranta | järjestelmän tila + rekisterissä oleva nimenomainen omistaja | 6.1, A.5.9, A.8.10 |
| Kompensoivat kontrollit | Dokumentoitu, kerrostettu, väliaikainen | 6.1.3, A.8.15, A.8.34 |
| Arviointi- ja päättämissykli | Rekisterin virstanpylväs, lautakunnan tarkastama näyttö | A.5.35, A.8.34 |
| Todistepolku | Hyväksymislokit, SoA-päivitys, sulkemistietue | A.5.19–A.5.21 |
Jäljitettävyyden minitaulukko:
| Laukaista | Riskipäivitys | Ohjaus-/SoA-linkki | Todisteet kirjattuina |
|---|---|---|---|
| NIS 2 -artikkeli, tarkastus | Poikkeus avattu | A.5.19, A.8.15 | Poikkeus, kuittaus |
| Henkilökunta muuttaa, järjestelmä ylös | Omistaja vaihtui | Riskirekisteri, SoA | Hallituksen pöytäkirjat, suunnitelma |
| Resurssi päivitetty | Poikkeus suljettu | SoA-päivitys | Muuttosuunnitelma, kyltti |
Vahva hallinta ei niinkään liity tekniseen täydellisyyteen vaan enemmän dokumentoitu ja tarkistettu edistyminen kohti riskin sulkemista, ja jokaisessa linkissä on näyttöä tilintarkastajille, vakuutusyhtiöille ja hallituksille.
Ole NIS 2 -valmis ensimmäisestä päivästä lähtien
Aloita testatulla työtilalla ja malleilla – räätälöi, määritä ja aloita.
Käytännön auditoinnin selviytyminen: Poikkeuksesta todistepolulle
Mikään tarina vanhan IT-vaatimustenmukaisuudesta ei pääty siistiin aiejulistukseen. Auditointivalmius on elävän todistusaineiston summa, joka osoittaa, että jokainen poikkeus on vastuullinen, tarkistettu, resursoitu ja pakotettu sulkemaan tietyllä tahdilla. (BSI). ISMS.online rakentaa tämän syklin suoraan alustan työtiloihin ja kojelaudoihin:
1. Tunnistaminen ja omistajuus
- Jokainen vanha resurssi kirjataan seurattavaan rekisteriin, johon tekninen omistaja ja hallituksen tarkastaja merkitsevät merkinnän.
- Kompensoivat kontrollit, olivatpa ne kuinka manuaalisia tahansa, on nimenomaisesti määritetty ja kerrostettu.
2. Dokumentaatio ja ajallinen valvonta
- Kaikki kontrollit on listattu "väliaikaisiksi", ja niiden voimassaolo-, tarkistus- ja eskalointipäivät on koodattu alustalle.
- SoA on linkitetty jokaiselle poikkeukselle viittauksilla omaisuuteen, riskiin ja todisteisiin.
3. Aktiivinen tarkistus ja allekirjoitus
- Johdon hyväksyntä vaaditaan paitsi riskipäivityksen yhteydessä myös jokaisella tarkistusjaksolla – ei "hiljaisia" lokeja.
- Jokaisella poikkeuksella on oltava sulkemissuunnitelma; oletusarvoiset määräämättömät poikkeukset merkitään, niitä ei piiloteta.
4. Päättäminen tai riskin hyväksyminen
- Resurssien siirto tai käytöstä poisto kirjataan todisteineen.
- Jos siirtyminen on mahdotonta, riskin hyväksynnälle on saatava hallituksen tai johtotason hyväksyntä, ja se on kirjattava sekä soveltuvuusarvioon että riskirekisteriin tarkastusten jäljitettävyyden varmistamiseksi.
Tarkistuslista tilintarkastuksen tai vakuutustarkastuksen läpikäymiseksi:
- Onko jokainen aukko riskirekisterissä, soA:ssa ja hyväksymislokissa-ja vastaavatko päivämäärät, allekirjoitukset ja virstanpylväät toisiaan?
- Tarkistetaanko, allekirjoitetaanko ja onko manuaalisilla lokeilla tai kiertoteillä suunniteltu vanhenemisaika?
- Voitko viedä nämä todisteet välittömästi tilintarkastajille, vakuutusyhtiöille tai asiakkaille?
Vahvin vaatimustenmukaisuustarina kerrotaan todisteista ylöspäin, ei aikomuksesta alaspäin.
Manuaalisten lokien ja korvausten säilyvyysajan hallinta
Manuaaliset lokit, laskentataulukot ja tunnistelomakkeet eivät ole vaatimustenmukaisuussuunnitelmia – ne ovat lähtölaskenta-ajastimia. Niiden säilyvyysaika määräytyy näkyvyyden, tarkastelun ja sulkemisvoiman perusteella.
Manuaalisen todistusaineiston hyväksyttävyys tarkastettuna:
| Manuaalisen todisteen tyyppi | Auditoinnin säilyvyysaika | Hyväksymisen ehto |
|---|---|---|
| Allekirjoitettu lokikirja | ≤ 12 kuukautta (enintään) | Liittyy riskienhallintaan, tarkistettu, päätössuunnitelma |
| Merkki-/käyttöoikeuslomakkeet | ≤ 6 kuukautta | Kaksoistarkistus, säännöllinen tarkistus, sulkemisaikataulu |
| Laskentataulukon tarkistuslista | 1 auditointisykli | Päivitetty, allekirjoitettu ja toteutettu jokaisen tarkastuksen yhteydessä |
| Tarkistamattomat lokit/tiedostot | Ei eristetty | Välitön varoitusmerkki/epäonnistuminen |
Joka kerta, kun poikkeus kiertyy tarkastettavaksi eikä sitä ratkaista – tai ainakin edistetä kohti sulkemista – sen todistusarvo heikkenee. Tarkistamaton kompensoiva kontrolli muuttuu omaisuuserästä velaksi jopa neljänneksessä. ”Todiste” on aina se, kuinka lähellä olet ratkaisua – ei se, kuinka hyvin perustelet toimimattomuuden.
Epävarmoissa tapauksissa kysy: Jos vakuutuskorvausvaatimuksemme tai asiakassopimuksemme perustuisivat tähän lokiin, näkisikö ulkopuolinen tarkastaja prosessin päätökseen saattamiseen?
Kaikki NIS 2 -tietosi yhdessä paikassa
Artikloista 20–23 auditointisuunnitelmiin – toteuta ja todista vaatimustenmukaisuus alusta loppuun.
Sektori- ja kansalliset päällekkäisyydet: Kun NIS 2 on vain lähtötilanne
Todellisuus on yksinkertainen: alakohtaiset ja kansalliset säännöt usein peittävät huomiotta EU:n perusmandaatitEnergian, terveydenhuollon, kriittisen valmistuksen ja tiettyjen kansallisten palveluntarjoajien (Saksa, Espanja, Iso-Britannia) osalta rima on huomattavasti korkeampi. Poikkeuslokin on heijastettava sekä tiukin paikallinen mallipohja ja NIS 2 -ydin.
Esimerkkejä kansallisista peittokuvista:
| Sektori | Kansallinen sääntö | Poikkeusten tarkistustiheys | Omistaja | Mallipohjan lähde |
|---|---|---|---|---|
| NHS (Iso-Britannia) | NCSC NHS Digital | Vuosittainen vähimmäismäärä, hallituksen hyväksyntä | CIO | nhsdigital.nhs.uk |
| Saksan energia | BSI IT-SiG3 | Vuosittainen + kuukausittainen tarkastus | CISO | bsi.bund.de |
| Espanjalaiset apuohjelmat | Kuninkaan asetus 43/2021 | Kuukausittainen, sääntelyyn liittyvä johtopäätös | Regulatory | mincotur.gob.es |
Tietoturvanhallintajärjestelmäsi on tuotava, täydennettävä tai mukautettava näihin rakenteisiin eurooppalaisten keskeisten vaatimusten lisäksi. Oleta, että auditoinnit ja vakuutusyhtiöt soveltavat tiukimpia paikallisesti sovellettavia vaatimuksia – eivät pelkästään NIS 2 -oletusvaatimuksia.
Puolustavan vanhan IT-tiekartan rakentaminen: Korvaa, eristä tai dokumentoi lieventämistoimet
Nykyaikainen perintöriskisuunnitelma on elävä järjestelmä, ei vuoden lopun laskentataulukkoa. Operatiivinen kurinalaisuus edellytti:
- Luetteloi kaikki resurssit: Omistajan, riskin, kompensoivan hallinnan, tarkastusaikataulun ja sulkemissuunnitelman mukaan.
- Yhdistä ohjausobjekteihin: Linkitä jokainen resurssi ja poikkeus ISO 27001 -standardiin tai NIS 2 Artikla 21(2) -viittauksiin.
- Pakota tarkastelun tahti: Vahvistus, resursointi tai siirto on pakotettava hallitustason aikajanalla järjestelmän ohjaamien muistutusten avulla.
- Automatisoi todisteiden kirjaaminen: Jokainen omistajan allekirjoitus, tarkistajan merkintä tai suunnitelman päivitys näkyy digitaalisessa tarkastuslokissa – ei hautautuneena sähköposteihin tai hajallaan oleviin tiedostoihin.
- Mallipohjan päivitykset: Kansallisten päällekkäissuunnitelmien ja toimialakohtaisen raportoinnin on oltava linkitettynä tietoturvanhallintajärjestelmääsi, eikä niiden pidä olla varjoprosesseja.
Kun hallituksen tai sääntelyviranomaisen arvioinnit tulevat, etenemissuunnitelmasi on oltava sarja eläviä, omistajien määräämiä, sulkemislähtöisiä poikkeuksia, jotka osoittavat vauhtia ja vastuullisuutta. Omistamaton perintö on nyt sopimus-, taloudellinen ja strateginen vastuu.
Riskisilmukkalautakunnan näkyväksi ja kestäväksi tekeminen: ISMS.onlinen etu
”Paperilla vaatimustenmukaisen” ja ”käytännössä auditoitavaksi valmiin” välillä on toiminnallinen ero. ISMS.online tarjoaa enemmän kuin pelkän riskirekisterin: se automatisoi omaisuuserien, omistajien, lieventämistoimenpiteiden, hyväksymislokien, soA-merkintöjen ja sulkemistodisteiden välisen läpikäynnin – lukitsee vastuullisuuden ja tekee poikkeuksista keskeisen osan vaatimustenmukaisuusprosessissa sokean pisteen sijaan..
Hyödyt päivittäisessä harjoittelussa:
- Kojelaudat näyttävät jokaisen resurssin tilan: siirretty, lievennetty tai odottaa hyväksyntää.
- Hallitus tai sääntelyviranomainen voi jäljittää jokaisen poikkeuksen omistajan, riskin, käytössä olevien kontrollien ja tarkastuskierroksen mukaan, ja kaikki allekirjoitukset ja virstanpylväät ovat aikaleimattuja ja välittömästi saatavilla.
- Suojateiden sektorien päällekkäiskuvia ja NIS 2:ta hallitaan linkitettyjen rekisterien, todistusaineistopankkien ja mallipohjaisten ilmoitusten avulla.
- Tilintarkastus- ja vakuutustarkastukset muuttuvat paniikista esittelytilaksi – se on kuin kartta selviytymiskyvystä, ei poikkeusten anteeksipyyntö.
Lopullinen toimintakehotus:
Vanhaa IT-järjestelmääsi ei ainoastaan siedetä, vaan se on olennainen osa yrityksesi nimeä ja mainetta. Ota vastuu poikkeussilmukasta. Tee jokaisesta riskistä vastuullinen, näkyvä ja ratkaistava – äläkä juutu ikuisesti ylläpitoon. Todista jokaiselle tilintarkastajalle, asiakkaalle ja hallituksen jäsenelle, että poikkeusten hallintasi on reaaliaikaista, jäsenneltyä ja vähentää riskejä jokaisessa syklissä. Nykyaikaista vaatimustenmukaisuutta ei mitata teknisellä utopialla, vaan auditoitavalla matkallasi aukosta sulkemiseen – tee tästä matkasta todellinen, mitattava ja näkyvä johtokunnassa ISMS.onlinen avulla.
Kun perintö jää omistamatta, riski omistaa liiketoiminnan. Kun omistat poikkeussilmukan, riskistä tulee hallinnan todiste.
Usein Kysytyt Kysymykset
Kuka on vastuussa vanhojen IT-vaatimustenmukaisuusvajeista NIS 2:n myötä – ja mitä muutoksia hallitusten ja johdon toiminnassa tapahtuu?
NIS 2 asettaa suoran vastuun vanhoista IT-riskeistä hallitukselle ja toimivalle johdolle – ei pelkästään IT-johdolle – mikä tekee jokaisesta ratkaisemattomasta puutteesta hallituksen huolenaiheen. Direktiivin artiklan 21(2) mukaan jokaisella ”korjaamattomalla” vanhalla omaisuuserällä (tukemattomat palvelimet, vanhentuneet PLC:t, vanhat verkkolaitteet) on oltava nimetty omistaja, tarkistustahti ja joko lieventämis- tai riskien hyväksymissuunnitelma, joka on virallisesti kirjattu johtotasolla. Tämä on enemmän kuin vain menettelytapaa: jos omistajuus tai edistyminen on epämääräistä, sääntelyviranomaiset ja tilintarkastajat odottavat nyt tutkivansa johdon, eivätkä IT:n, jatkuvia riskejä.
Johtajuutta ei enää mitata allekirjoitetuilla käytännöillä, vaan läpinäkyvällä edistymisellä jokaisen avoimen puutteen ratkaisemisessa.
Perintöriskien hallinnasta on tullut näkyvän johtajuuden testi. Taulukot tai allekirjoittamattomat lokikirjat eivät riitä – jokainen poikkeus on jäljitettävä tiettyyn johdon vastuuseen, ja toimintasuunnitelmat on dokumentoitava ja tarkistettava säännöllisesti. Hallitusten odotetaan nyt siirtyvän poikkeusten passiivisesta hyväksymisestä ennakoivaan tarkasteluun, jossa poikkeusten sulkeminen ja lieventämistoimet ovat osa jatkuvaa vaatimustenmukaisuuden suorituskykyä.
Vanhan omaisuuden omistajuustaulukko
| Vanha omaisuus | Omistaja | Seuraava arvostelu | Lieventämis suunitelma |
|---|---|---|---|
| 2010 Maksupalvelin | CTO | 2024-10-01 | Erottelu; MFA ei ole mahdollinen |
| Tehdas-PLC (rivi 2) | Operaatiopäällikkö | 2024-07-15 | Suunniteltu eläkkeelle siirtyminen vuoden 2025 ensimmäisellä neljänneksellä |
| Vanha reititin | Verkoston johtaja | 2024-09-01 | Vain tunnisteella pääsy, verkon eristäminen |
Yhteenveto? Hallitusten on ylläpidettävä jäljitettäviä ja tarkistettavia omistajuus- ja toimintasuunnitelmia jokaista poikkeusta varten, tai ne voivat altistua suoraan auditointien tai tapaustarkastusten aikana.
Mitkä kompensoivat kontrollit katsotaan riittävän vahvoiksi vanhoille järjestelmille – ja mitkä ovat niiden rajat?
Aidot korvaavat kontrollit hyväksytään perintöomaisuudelle vain, jos niitä kohdellaan ajallisesti rajoitettuina siltoina, ei pysyvinä porsaanreikinä. Sekä tilintarkastajat että sääntelyviranomaiset odottavat nyt monikerroksista ja puolustettavaa lähestymistapaa, joka sisältää (mutta ei rajoitu) seuraavat:
- Tiukka fyysinen kulunvalvonta (kulkukortit, biometria, lukitut huoneet)
- Vahvistettu verkon segmentointi (eristetyt VLAN-verkot palomuurirajoituksilla),
- Kahden hengen (kaksois) hyväksyntä kriittisille järjestelmänvalvojan toimille,
- Manuaaliset lokikirjat, joihin sisältyy aikataulutettu johdon tarkastus ja hyväksyntä,
- Pakolliset säännölliset salasanan vaihdot,
- Aikataulutetut hallitustason tarkastelut ja pöytäkirjapäivitykset jokaisesta poikkeuksesta.
Nämä tarkastukset hyväksytään kuitenkin vain, jos todisteet osoittavat:
- Jokainen poikkeus on muodollisesti perusteltu, ei pelkästään IT-hallinnoitu,
- Kontrollit tarkistetaan ja joko lisätään tai poistetaan suunnitelluin väliajoin.
- Sulkemis- tai muuttosuunnitelmat ovat käytössä ja niitä seurataan,
- Johdon valvonta on auditoitavissa, ei implisiittisesti.
Tilintarkastajat luottavat siihen, mihin he voivat jäljittää: aikarajoituksettomista kompensoivista kontrolleista tulee vaatimustenmukaisuuden heikkouksia.
Kompensoivan ohjauksen tilannekuva
| Etu | Ohjausobjekti käytössä | Tarkastusevidenssin sijainti | Seuraava arvostelu |
|---|---|---|---|
| Palkanlaskentapalvelin (vanha) | Lukittu palvelinhuone | Merkkiloki, kuittaus | 2024-11-01 |
| Vanhentunut kytkin | Segmentoitu VLAN | Verkkomääritysdokumentit | 2024-09-15 |
| PLC (rivi 2) | Manuaalinen lokikirja | Vuorokirjaus, allekirjoitettu | 2024-07-15 |
Hallitusten tulisi odottaa kompensoivien kontrollien kyseenalaistamista – ja niiden on osoitettava säännöllistä etenemistä riskien katkaisemiseksi tai omaisuuserien siirtämiseksi.
Miten vanhan teknologian poikkeukset tulisi dokumentoida NIS 2 -tarkastuksia ja kybervakuutustarkastuksia varten?
NIS 2:n poikkeusten hallinta on nyt jäljitettävyyden ja puolustettavuuden testi. Staattisten hyväksymislokien tai yleisten poikkeusten sijaan odotuksena on elävä tallenne:
- Jokainen vanha järjestelmä on listattava riskirekisteriisi.
- Teknisen aukon ja liiketoiminnallisen perustelun on oltava selkeät,
- Tietyt kompensoivat kontrollit dokumentoidaan ja testataan,
- Nimetty omistajuus on määritetty (mieluiten hallituksen/johdon näkyvyydellä),
- Arviointipäivämäärät ja edistymisen virstanpylväät on aikataulutettu ja todistettu (allekirjoitukset, kokouspöytäkirjat, viedyt lokit),
- Sulkemis- tai siirtotavoitteet ovat eksplisiittisiä – eivät pelkästään etenemissuunnitelmakieltä.
Kaikki tämä liittyy soveltamislausuntoosi (SoA) ja linkittää poikkeukset kontrolleihin, kuten ISO 27001:2022 Annex A.8.8 tai vastaaviin lausekkeisiin (ISO/IEC 27001:2022). Integroidut alustat, kuten ISMS.online, voivat automatisoida tämän yhdistämällä omaisuustiedot, riskilokit, kompensoivien kontrollien tiedot, hyväksynnät ja tukevat todisteet yhteen paikkaan, jolloin poikkeukset ovat välittömästi tarkastusvalmiita.
Kypsää vaatimustenmukaisuutta mitataan suljettujen poikkeusten määrällä, ei kirjattujen tekosyiden määrällä.
Poikkeusten jäljitettävyystaulukko
| Laukaista | Riskilokivite | SoA-linkki | Ohjausobjekti käytössä | näyttö |
|---|---|---|---|---|
| Omaisuuden käyttöiän loppu | A.8.8 rako | Omaisuus_x123 | VLAN, manuaaliset lokit | Hallituksen vähimmäistarkastuspaketti Q2 |
Aktiivisten, tarkistettujen poikkeustietojen puute on nyt merkki sekä tilintarkastajille että kybervakuutusyhtiöille. Jokaisen poikkeuksen tulisi osoittaa suunniteltu sulkemis- tai siirtopäivämäärä.
Miten kansalliset tai toimialan säännöt muuttavat NIS 2 -järjestelmän vaatimustenmukaisuutta?
Vaatimustenmukaisuus ei lopu EU:n rajoilla – useimmat maat ja säännellyt sektorit lisäävät nyt päällekkäisyyksiä tai tiukempia sääntöjä NIS 2:n lisäksi. Joitakin tärkeitä esimerkkejä:
- Ison-Britannian NHS Digital: Vaatii vuosittaista hallituksen hyväksyntää, käytöstäpoistosuunnitelmia ja täydellistä omaisuus-/edistymisdokumentaatiota terveydenhuoltojärjestelmille.
- Saksan taseindeksi: Edellyttää kuukausittain hallituksen tarkastamaa näyttöä ja yksilöllisen omistajan määrittämistä energia-/infrastruktuurisektoreille.
- Espanjan kuninkaallinen asetus 43/2021: Edellyttää kuukausittaista poikkeusten tarkastelua ja sääntelyyn perustuvaa näyttöä yleishyödyllisille yrityksille/palveluntarjoajille.
Yhden maan "läpäisy" voi epäonnistua toisessa maassa, varsinkin jos toimialakohtaiset arvioinnit vaativat useammin tehtäviä arviointeja, lisädokumentaatiota tai erityisiä raportointimalleja. Ylläpidä versiohallittuja paketteja sekä EU:n että toimialakohtaisten/kansallisten auditointien vaatimusten täyttämiseksi ja tarkista säännöllisesti tulevat sääntelymuutokset.
Kansalliset peittokuvat eivät ole enää vaatimustenmukaisuuden kannalta miellyttäviä lisäyksiä – ne ovat nyt ydinriskialuetta.
Peittokuvavertailutaulukko
| Etu | Maa | Sektori | Tarkista sykli | Sääntelymalli |
|---|---|---|---|---|
| MRI skanneri | UK | Terveydenhuolto | Vuotuinen | NHS:n digitaalinen vaatimustenmukaisuus |
| SCADA-keskustietokone | Saksa | energia | Kuukausittain | BSI KritisV |
| Apuohjelmapalvelin | Espanja | Utilities | Kuukausittain | Kuninkaan asetus 43/2021 |
Monikansallisissa organisaatioissa päällekkäisrakenteiden integroinnin tulisi olla osa soA:ta ja sisäistä arviointisykliä.
Hyväksytäänkö manuaaliset lokit tai laskentataulukot edelleen todisteena vanhanaikaisesta hallinnasta – ja mikä on auditointikynnys?
Manuaaliset lokit ja laskentataulukot hyväksytään NIS 2:n nojalla vain, koska lyhytaikaisia, siirtymävaiheen todisteita-ei koskaan pysyvinä vaatimustenmukaisuustoimenpiteinä. Tilintarkastajat vaativat:
- Suora yhteys riskirekisteriin ja soA:han,
- Johdon (ei vain IT:n) hyväksyntä ja tarkastus määritellyin välein (vähintään neljännesvuosittain),
- Aseta sulkemissuunnitelma, jossa on konkreettinen määräaika siirtymiselle automatisoituihin ja turvallisiin ratkaisuihin,
- Lokit ja todisteet, joita tarkistetaan ja päivitetään säännöllisesti (BSI Group, 2024).
Tarkistamattomat, ikuisesti käytettävät laskentataulukot ovat nyt vaatimustenmukaisuusvelvoite, eivät kiertotie. Tavanomainen "säilyvyysaika" on yksi auditointijakso tai 6–12 kuukautta. Lomakkeiden vanheneminen, tarkistus ja siirtyminen vakaampaan ratkaisuun on dokumentoitava ja todisteet on asetettava johtokunnalle näkyviksi.
Pysyviksi muuttuvat laskentataulukot perivät vastuun jokaisesta puuttuvasta lokista ja allekirjoittamattomasta hyväksynnästä.
Manuaalinen todistetaulukko
| Todisteen tyyppi | Tarkistusväli | Suunnitellun sulkemisen laukaisin |
|---|---|---|
| Merkkilokilomake | 3–6 kuukautta | Ajoitettu siirto |
| Excel-riskitaulukko | Auditointisykli | Automatisoidut lokit käyttöön |
| Allekirjoitettu lokikirja | <12 kuukautta | Käytöstä poistettu omaisuus |
Sido kunkin vanheneminen siirtoon tai resurssin muutokseen – älä koskaan jätä sitä avoimeksi toimenpiteeksi.
Millainen on hallitustason prosessi vanhojen IT-riskien sulkemiseksi – ja miten ISMS.online toteuttaa NIS 2/ISO 27001 -toimet?
Puolustavassa hallituksen etenemissuunnitelmassa perinteisten IT-riskien varalle yhdistyvät:
- Täydellinen omaisuusluettelo aukko-/kriittisyyspistemäärällä
- Teknisen ja johtoryhmän selkeä vastuualue jokaiseen vanhaan järjestelmään,
- Poikkeusten kartoitus tiettyihin ISO 27001 / liitteen A ja NIS 2 artiklan 21(2) mukaisiin valvontatoimiin,
- Todisteiden työnkulku-tarkistaa virstanpylväät, toimintalokit, sulkemisen seurannan ja tarkastus-/vakuutusyhtiölle valmiit viennit,
- Automaatio-alustojen, kuten ISMS.onlinen, avulla, jotka tarjoavat kojelaudat aktiiviselle poikkeusten sulkemiselle, ajoitetuille muistutuksille ja vietäväksi kelpaaville edistymistodistuksille ((https://fi.isms.online/solutions/legacy-systems-and-isms/)).
Hallituksen johtama vaatimustenmukaisuus tarkoittaa, että jokaisella riskialttiilla omaisuuserällä on nimi, tarkastuspäivämäärä, toimenpide ja sulkemisloki, joka vie jokaista tarkastusta eteenpäin.
Vaatimustenmukaisuuden virstanpylvästaulukko
| Vaihe | ulostulo |
|---|---|
| Omaisuusluettelo | Rekisteröidyt varat, kriittiset aukot |
| Omistajan määrittäminen | Live-matriisi aikataulutetuilla tarkistuksilla |
| Poikkeusten kartoitus | SoA/riski-yhteys kuhunkin poikkeukseen |
| Todisteiden seuranta | Lokien tarkistus, tarkastusvalmiit viennit |
| Sulkemisen edistyminen | Status + päivämäärät, johdon allekirjoittama |
ISMS.online tekee jokaisesta vaiheesta seurattavan, paperittoman ja valmiin hallitukselle tai tilintarkastukselle – ei enää huomaamattomia poikkeuksia hälinässä.
Miten ISO 27001:2022 ja NIS 2 muuttavat poikkeusten hallinnan toimintakykyiseksi ja auditointivalmiiksi prosessiksi?
Sekä ISO 27001:2022 että NIS 2 edellyttävät jäljitettävyyttä, rooliperusteista vastuullisuutta ja näyttöä jokaisesta teknisestä aukosta ja poikkeuksesta. Aloita yhdistämällä reaaliaikaiset poikkeukset ja omaisuustietueet niiden Annex A- ja NIS 2 -valvontapisteisiin, määritä omistajat, aseta automatisoidut tarkastussyklit ja sido jokainen toiminto kuittaus-/vientilokeihin. Tavoitteena on luoda todisteketju, joka voi siirtyä välittömästi omaisuuserästä poikkeukseen ja sulkemispäivään, valmiina dokumenttien tarkasteluun missä tahansa auditoinnissa, hallituksen kokouksessa tai vakuutusyhtiön kokouksessa (ISO/IEC 27001:2022;.
Seuraava vaihe: ota käyttöön (tai päivitä) poikkeusrekisteri, joka on yhdistetty kaikkiin asiaankuuluviin kontrolleihin, integroi se todistusaineiston työnkulkuihin ja hallituksen tarkistusaikatauluihin ja automatisoi muistutukset, jotta poikkeusten tila ei koskaan vanhene. ISMS.online tarjoaa käyttövalmiita työkaluja, joilla jokainen aukko, hyväksyntä ja toimenpide voidaan yhdistää yhdeksi, hallituksen näkyväksi jäljeksi.
Jokainen suljettu poikkeus muuttaa vanhan riskin vaatimustenmukaisuusjohtajuudeksi – jokainen toimenpide on todistepiste.
Tuo poikkeusprosessisi avoimeksi, sido se johtokunnan aikatauluihin ja osoita jatkuvaa sulkemislähtöistä edistymistä. Tämä on uusi valuutta auditoinneille ja vakuutusyhtiöiden luottamukselle NIS 2:n ja ISO 27001:2022 -standardin mukaisesti.
