Artikkeli   14 marraskuuta 2023

Digitaalisen infrastruktuurin sektori – mitä uutta NIS2-direktiivi tuo?

Uusi NIS2-direktiivi on kaikkien aikojen kattavin eurooppalainen direktiivi tietoturvariskeille, sillä yhä useammalla alalla on riskien ja virheiden hallinta sekä kovemmat rangaistukset sääntöjen noudattamatta jättämiselle. Koska olemme yhä enemmän riippuvaisia digitaalisista teknologioista, datakeskuksista on muodostumassa yhteiskunnan tukijalka. Näin ollen koko digitaalisen infrastruktuurin sektori onkin pahansuopaisten tekijöiden prioriteettilistalla korkealla.

Tietoturva
Tuottavuus
Turvallisuus
NIS2
Digitaalisen infrastruktuurin sektori – mitä uutta NIS2-direktiivi tuo?

Kuva: piqsels.com (royalty free)

Digitaalisen infrastruktuurin sektori kohtaa useita kyberturvallisuuteen liittyviä haasteita. Jotkut niistä liittyvät teknisiin operaatioihin, kun taas toiset liittyvät järjestelmiä hallitseviin ihmisiin. Ransomware-hyökkäykset ovat yleensä suurin uhka, joka voi aiheuttaa järjestelmien kaatumista ja palautumista. Tämä sektori nojaa myös vahvasti erilaisiin kolmannen osapuolen myyjiin eri palveluissa, mikä voi johtaa lisääntyneisiin riskeihin, jos myyjillä ei ole riittäviä turvallisuustoimia. Toimitusketjun turvallisuus on avainasemassa.

Kyberturvallisuusammattilaisten puute ja kyberturvallisuuden mittarien kalliit kulut ovat  johtaneet siihen, että ne luovat merkittäviä esteitä digitaalisen infrastruktuurin turvaamiseksi. Fyysiset turvallisuusjärjestelmät, kuten kamerat ja sisäänpääsyjen seuranta, ovat tarpeellisia digitaalisen infrastruktuurin suojelemiseksi monimutkaisten fyysisten hyökkäysten varalta. Esineiden internet eli Internet of Things (IoT) -laitteet ovat operaattorien käytössä samaan aikaan ja ne luovat valtavia määriä dataa, mikä omalta osaltaan lisää hyökkäyspintaa.

NIS2-direktiivillä tulee olemaan valtava vaikutus digitaalisen infrastruktuurin sektoriin, sillä se vaikuttaa jokaiseen operationaaliseen seikkaan. Fyysisen turvallisuuden mittarit, parempi onnettomuuksien raportointi ja palautumisen suunnitelmat edellyttävät parannuksia. Digitaalisen infrastruktuurin sektorilla toimivat operaattorit saattavat kohdata yleisesti lisääntynyttä sääntelyä, sillä EU-tason viranomaiset ovat valmistautuneet seuraamaan tarkasti NIS2-direktiivin vaatimuksia. Lisäksi ne edellyttävät yritysten toimivan luottamuksellisesti suojellakseen niiden kriittisiä järjestelmiä ja verkostoja.

Kyberturvallisuuskoulutus – yksi 10 tärkeimmästä kyberhygieniatekijästä

NIS2-direktiivi edellyttää, että digitaalisen infrastruktuurin sektori ja muut 'kriittiset ja tärkeät toimielimet' implementoivat 10 perustavanlaatuista turvallisuustekijää, jotta ne hoitavat asianmukaisesti erilaiset kyberuhat.  

NIS2-direktiivi edellyttää, että digitaalisen infrastruktuurin sektori ja muut kriittiset ja tärkeät toimielimet implementoivat 10 perustavanlaatuista turvallisuustekijää, jotta ne hoitavat asianmukaisesti erilaiset kyberuhat. 

  • Tietojärjestelmien riskienarvioinnin ja turvallisuuskäytännöt.
  • Käytännöt ja menettelyt turvallisuustoimien tehokkuuden arvioimiseksi.
  • Käytännöt ja menettelyt salaustekniikan käyttämiseksi.
  • Suunnitelma turvallisuudessa tapahtuvien vaaratilanteiden käsittelemiseksi.
  • Turvallisuus järjestelmän hankinnan ja kehityksen sekä järjestelmien toimintaan liittyen.
  • Turvallisuustoimenpiteet työntekijöille, joilla on pääsy arkaluontoisiin tai tärkeisiin tietoihin.
  • Suunnitelma liiketoiminnan yksikön toimimiseen turvallisuusvaaratilanteen aikana ja sen jälkeen.
  • Monivaiheisen tunnistamisen käyttö.
  • Toimitusketjujen välinen turvallisuus ja suhteet yrityksen ja suorien toimittajien välillä.
  • Kyberturvallisuuskoulutus ja käytäntö ovat keskeisiä IT-hygienian käyttöä varten.

Kyberturvallisuuskoulutus ei ole vain “listalla”. On tunnettu fakta, että tietoisuuskoulutus on tärkeässä osassa organisaation turvallisuuskoulutuksen luomisessa. Sitä tarvitaan, jotta organisaatiot voivat seurata monia muita turvallisuustoimia, joita NIS2 omaa vaatimuksissaan. Ilman ympäri vuoden kestävää tietoisuuskoulutusta monet operatiiviset toiminnot epäonnistuvat pikku hiljaa, mikä johtuu inhimillisistä virheistä.

Meillä on uusi ja päivitetty versiomme tietoturvatietoisuuden koulutuksista. Se on tarkoitettu kaikille työntekijöille, esimiehille, johdolle ja hallituksille NIS2-direktiivin soveltuvuuden mukaisesti. 

Tai miksi et aloittaisi meidän NIS2-direktiivin johdannon kurssiamme? Sen tarkoituksena on antaa johdollenne parempi ymmärrys, mitä sinun organisaatiosi tarvitsee ollakseen NIS2-direktiivin mukainen. 

Artikkeli   14 marraskuuta 2023