Open search

    NIS-direktiivin velvoitteet tietoturvauhkien ja -poikkeamien raportointiin

    Kuvittele arkea ilman sähköä, puhdasta vesijohtovettä tai digitaalisia palveluita. Heräät arkiaamuna ja huomaat, että kännykässä ei ole kenttää, vettä ei tule hanasta tai aamupuuro jää tekemättä sähkökatkoksen takia. Töihin lähtiessäsi huomaat polttoaineen olevan autosta vähissä ja pyrit tankkaamaan autoasi siinä onnistumatta, sillä jakeluasematkin toimivat sähköllä. Radiosta kuuluu vaaratiedotteita laajasta kyberhyökkäyksen aiheuttamasta häiriöstä. Töissä et pääse toimiston ovesta sisälle, eikä työntekokaan olisi onnistunut, sillä kaikki on digitaalista…

    Edellä oleva kuvaus on täysin fiktiivinen, mutta sen perusteella varmasti ymmärrät mitä yhteistä on pilvipalveluiden tarjoajilla, energiayhtiöillä ja vesihuollon toimijoilla. Ne tarjoavat yhteiskunnan toimivuuden kannalta kriittisiä palveluita.

    Yhteiskunnan kybertilannetietoisuuden lisäämiseksi ja kyberhäiriöiden hallitsemiseksi on EU-tasolla säädetty verkko- ja tietoturvadirektiivi (NIS, Network and Information Security). Direktiivi astui voimaan osana kansallista lainsäädäntöä 9.5.2018 ja velvoittaa kriittisen infrastruktuurin toimijoita raportoimaan tietoturvallisuuteen liittyvistä uhista ja poikkeamista laajasti ja järjestelmällisesti valvoville viranomaisille. Tavoitteena on yhteiskunnan toiminnan jatkuvuuden varmistaminen, EU-tason ajantasaisen kybertilannekuvan luominen ja digitaalisten palveluiden luotettavuuden lisääminen.

    NIS-direktiivi koskettaa laajaa joukkoa yrityksiä ja julkisia organisaatioita eri toimialoilla. Nämä toimialat tarjoavat Suomen ja koko Euroopan alueella kansalaisille välttämättömiä ja keskeisiä palveluita tukeutumalla tietoteknisiin kyberavaruuden järjestelmiin. Direktiivin mukaiset palveluntarjoajat jakautuvat digitaalisten palveluiden tarjoajiin ja keskeisten palveluiden tarjoajiin. Digitaalisia palveluita tarjoavat hakukoneet, pilvipalvelut ja digitaaliset markkinapaikat, joiden tulee raportoida poikkeamista suoraan Traficomin kyberturvallisuuskeskukselle.

    Tämän lisäksi EU-maat määrittelevät itsenäisesti säädösten piiriin kuuluvat keskeisten palveluiden tarjoajat kansallisilla päätöksillään toimialakohtaisesti. Tällaisia organisaatioita on esimerkiksi energia-, liikenne-, pankki, finanssi-, terveydenhuolto-, vesihuolto- ja digitoimialoilla.

    Jokaiselle toimialalle on määritelty oma kansallinen säädöspohja ja vastuuviranomaisensa. Esimerkiksi Suomessa energiasektori raportoi sähkömarkkinalain mukaisista poikkeamista ja uhkaavista tilanteista Energiavirastolle, finanssiala luottolaitoksia koskevan sääntelyn mukaan Finanssivalvonnalle ja terveydenhuoltoalan tuottajat asiakastietojen sähköisen käsittelyn säädösten mukaisesti Valviralle. Vastuuviranomaiset välittävät tiedot Suomen keskitetylle kansalliselle EU-yhteyspisteelle (POC) Traficomin Kyberturvallisuuskeskukseen, josta tieto välitetään EU-tason CSIRT-verkostolle.

    Kyberturvallisuuspoikkeamista ilmoittaminen ei lisää tai poista organisaation vastuita. Ilmoittamisen myötä avautuu mahdollisuus viranomaisapuun poikkeaman selvittämisessä. Toisaalta, ilmoitus sisältää strategisen maineriskin mahdollisuuden ja ilmoitettujen tietojen huolimaton viranomaiskäsittely voi johtaa operatiiviseen liikesalaisuuksien vuotamisriskiin. Näitä riskejä voidaan pienentää varautumalla tuleviin velvoitteisiin etukäteen ja tiivistämällä yhteistyötä viranomaisten kanssa.

    Direktiivin velvoitteet vaikuttavat lisäksi epäsuorasti verkko- ja tietojärjestelmäalueen ratkaisuja tarjoaviin organisaatioihin, kuten järjestelmä-, laite- ja palvelutoimittajiin – esimerkiksi Insta DefSeciin. Direktiivin alaiset toimijat tarvitsevat verkko- ja tietojärjestelmäratkaisuja sekä kyberturvallisuuden prosessiasiantuntijuutta, jotka tukevat direktiivin mukanaan tuomien kansallisten velvoitteiden täyttämistä. Tällaista kyberturvavalmiutta parantavaa tietotaitoa Instan kaltaiset yritykset tarjoavat.

    Velvoitteiden täyttäminen voidaan jakaa teknisiin ja hallinnollisiin toimenpiteisiin. Teknisiä ratkaisuja ovat esimerkiksi kyberturvallisuuden tilannetietoisuusratkaisujen, kuten SIEM ja SOC –palvelujen käyttöönotto ja jatkuva kehittäminen, turvallisen identiteetti varmistaminen sekä tietoliikenteen turvaamisratkaisut. Ilman riittäviä teknisiä työkaluja kybertapahtumista ei saada tarpeeksi tietoa viranomaisilmoitusten tekemiseksi.

    Hallinnollisia ratkaisuja puolestaan toteutetaan direktiivin mukaisesti soveltuvien turvallisuusstandardien käyttöönotolla, esimerkiksi ISO/IEC 27001 -standardin mukaisella tietoturvallisuuden hallintajärjestelmällä ja riskienhallinnalla. Menettelyiden ja ratkaisuiden toimivuus todennetaan arvioinneilla ja teknisillä tietoturvatestauksilla hallitun tavoitteellisen toiminnan varmistamiseksi. Näin voidaan jatkuvasti parantaa organisaation kyberturvallisuuden tasoa liiketoiminnallisesta ja lainsäätäjän velvoitteiden näkökulmasta.

    Yhtä kaikki, NIS-direktiivin velvoitteista tulisi huolehtia ilman NIS-direktiivin olemassaoloakin yhteiskunnan tärkeiden palveluiden toiminnan varmistamiseksi. Vaatimuksia ei kannata ajatella vain hankaloittavana lisävelvoitteena, vaan tarvittavat toimenpiteet kannattaa toteuttaa tehokkaasti ja samalla liiketoiminnan jatkuvuutta sekä kyberresilienssiä parantavalla tavalla. Ohjeistusta, apua ja valmiita ratkaisuja on saatavilla. Nyt on korkea aika tarttua tilaisuuteen ja johtaa toimintatavat NIS-direktiivin kannalta liiketoiminnallisesti järkevään lopputulokseen. Näin kannattaa toimia, jotta voisit nukkua tulevat yösi kunnolla sekä herätä uuteen aamuun turvallisin ja levollisin mielin.

    Kirjoitus on julkaistu aiemmin Cyber Security Nordic -tapahtuman Cyber Blogissa.

    Lähteet

    1. Euroopan unionin virallinen lehti, 19.7.2016, Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa.
    2. Euroopan unionin virallinen lehti, 14.11.2012, Euroopan parlamentin ja neuvoston asetus (EU) 2012/1025 eurooppalaisesta standardoinnista.
    3. Rantala, Jonna, 24.9.2017, NIS-direktiivin kahdet kasvot – riskit ja riskienhallinta. Jyväskylän yliopisto.
    4. Hartikainen, Jarna, 8.10.2018, NIS-direktiivi ja toimeenpano Suomessa. Viestintävirasto.
    5. Valtiopäivät, 2017, Hallituksen esitys 192/2017 laeiksi Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta.
    6. FINLEX, 21.8.2019, Sähkömarkkinalaki 2013/588.
    7. FINLEX, 9.2.2007, Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 2007/159
    8. FINLEX, 8.8.2014, Laki luottolaitostoiminnasta 610/2014

    Kirjoittaja

    Taskinen

    Santeri Taskinen