Artikkeli   14 marraskuuta 2023

Julkinen sektori – mitä uutta NIS2 tuo mukanaan?

Uusi NIS2-direktiivi on kaikkien aikojen kattavin eurooppalainen direktiivi tietoturvariskeille, sillä yhä useammalla alalla on riskien ja virheiden hallinta sekä kovemmat rangaistukset sääntöjen noudattamatta jättämiselle. NIS2-direktiivi määrittää julkisen sektorin ”kriittisenä yksikkönä”, minkä johdosta se painottaa sektorin tärkeyttä kyberturvallisuuden kannalta.

Turvallisuus
Tietoturva
Tietosuoja
Julkinen sektori – mitä uutta NIS2 tuo mukanaan?

Julkinen sektori kohtaa erilaisia haasteita, jotka koostuvat useista eri asioista. Niihin lukeutuvat esimerkiksi tietoisuuden yleinen puute, rajoitetut resurssit sekä suuret ja monimutkaiset ICT-järjestelmät. Kolme keskeistä hyökkäystyyppiä erottuvat muista: Ransomware, tietojenkalastelu sekä ohjatut hyökkäykset, joiden torjunnan tulee olla korkealla julkisella tietoturvallisuuden listalla. Julkinen hallinto onkin haavoittuvainen kyberhyökkäykislle, sillä työntekijöitä koulutetaan harvemmin kyberuhkia vastaan.

NIS2-direktiivillä on laajat seuraukset julkisella toimialalla, sillä turvallisuusrikkomukset tällä sektorilla voisivat vaarantaa arkaluontoisia tietoja kansalaisista ja häiritä keskeisiä julkisia palveluita sekä luoda epävakautta paikallisella ja kansallisella tasolla. NIS2-direktiivin mukaan julkisen sektorin tulee implementoida parannettuja turvallisuusmittareita suojellakseen herkkäluontoisia tietoja erilaisilta kyberhyökkäyksiltä. Niihin lukeutuvat kansalaisten henkilökohtaiset tiedot, taloustiedot ja kriittisen infrastruktuurin tiedot.

Näiden seikkojen lisäksi tulee tarve jatkuvalle riskien arvioinnille. Tämän tavoitteen tarkoituksena on varmistaa, että organisaatioilla on kapasiteettia identifioida osa-alueet, joilla parannuksia tarvitaan. Tarkoituksena on varmistaa keskeisten palveluiden saatavuus ja toimiminen jopa kyberonnettomuuden aikana.

Tuleviin NIS2-direktiivin vaatimuksiin vastatakseen julkisen sektorin tulee investoida työntekijöiden kyberturvallisuuskoulutukseen. Tämä asia on erityisen tärkeä, sillä työntekijöiden tulee hallita kyberturvallisuuden tietoisuuden erilaisia osa-alueita, koska inhimilliset virheet edustavat itsessään riskiä. Uusi painotus työntekijöiden koulutukseen ja sääntöjen seuraamiseen on tarkoitus painottua sektorin puolustuskykyyn, kun taas riskien arvioinnin vaatimus ja vahinkojen raportoinnin suunnittelu voivat varmistaa, että koko sektori pysyy varuillaan.

Kyberturvallisuuskoulutus – yksi 10 tärkeimmästä kyberhygieniatekijästä

NIS2-direktiivi edellyttää, että julkinen sektori ja muut 'kriittiset ja tärkeät toimielimet' implementoivat 10 perustavanlaatuista turvallisuustekijää, jotta ne hoitavat asianmukaisesti erilaiset kyberuhat. 

- Tietojärjestelmien riskienarvioinnin ja turvallisuuskäytännöt.
- Käytännöt ja menettelyt turvallisuustoimien tehokkuuden arvioimiseksi.
- Käytännöt ja menettelyt salaustekniikan käyttämiseksi.
- Suunnitelma turvallisuudessa tapahtuvien vaaratilanteiden käsittelemiseksi.
- Turvallisuus järjestelmän hankinnan ja kehityksen sekä järjestelmien toimintaan liittyen.
- Turvallisuustoimenpiteet työntekijöille, joilla on pääsy arkaluontoisiin tai tärkeisiin tietoihin.
- Suunnitelma liiketoiminnan yksikön toimimiseen turvallisuusvaaratilanteen aikana ja sen jälkeen.
- Monivaiheisen tunnistamisen käyttö.
- Toimitusketjujen välinen turvallisuus ja suhteet yrityksen ja suorien toimittajien välillä.
- Kyberturvallisuuskoulutus ja käytäntö ovat keskeisiä IT-hygienian käyttöä varten.

Kyberturvallisuuskoulutus ei ole vain “listalla”. On tunnettu fakta, että tietoisuuskoulutus on tärkeässä osassa organisaation turvallisuuskoulutuksen luomisessa. Sitä tarvitaan, jotta organisaatiot voivat seurata monia muita turvallisuustoimia, joita NIS2 omaa vaatimuksissaan. Ilman ympäri vuoden kestävää tietoisuuskoulutusta monet operatiiviset toiminnot epäonnistuvat pikku hiljaa, mikä johtuu inhimillisistä virheistä.   

Meillä on uusi ja päivitetty versiomme tietoturvatietoisuuden koulutuksista. Se on tarkoitettu kaikille työntekijöille, esimiehille, johdolle ja hallituksille NIS2-direktiivin soveltuvuuden mukaisesti.

Me tarjoamme myös NIS2-direktiivin johdannon kaikille asiakkaillemme.

Artikkeli   14 marraskuuta 2023