NIS2-tietoturvadirektiivi tarjoilee jalkapuuta mutta myös uusia mahdollisuuksia
Ensimmäisen NIS (Directive on Security of Network and Information Systems) -direktiivin tarkoitus oli luoda EU-alueelle yhtenäiset, yritysten ja organisaatioiden tietoturvaan liittyvät pelisäännöt. Sillä haettiin minimivaatimuksia ja harmoniaa, sillä sitä ennen EU:n jäsenmailla oli varsin vaihtelevia käytäntöjä tietoturvavaatimusten suhteen.
NIS kohdistettiin yhteiskunnan näkökulmasta kriittisiin toimijoihin, kuten energiasektori, vesihuolto ja oleellisten digitaalisten palveluiden tuottajat. Ajatuksena direktiivissä oli edellyttää organisaatioilta sekä teknistä että järjestäytynyttä varautumista tietoturvapoikkeamiin, ja sitä tehostettiin luonnollisesti sanktioilla. Alkuperäinen NIS astui voimaan vuonna 2016 ja se oli kaivattu avaus tietoturvan tuomiseksi teknisestä haasteesta johtoportaan omistamaksi asiaksi.
Valitettavasti NIS jäi uutisoinnissa GDPR (General Data Protection Regulation) -tietosuoja-asetuksen jalkoihin, sillä ihmisiä kiinnosti ymmärrettävästi enemmän se, mitä tietoja heistä yksilöinä kerätään ja miten tietoa käytetään, kuin miten digitaalisen maailman toiminta turvataan. Maailma oli vuonna 2016 myös hyvin erilainen: sota Euroopassa, energiakriisi ja villinä laukkaava inflaatio eivät täyttäneet uutisotsikoita.
NIS2 jatkaa EU:n valitsemaa polkua, joka vastuuttaa yritysjohdon huolehtimaan yhteiskunnalle kriittisten palvelujen suojaamisesta tietoturvauhilta ja hybridivaikuttamiselta.
NIS2 tarkoittaa tietoturvan valuvikojen korjaamista
NIS2 on edeltäjäänsä tarkempi kuvaus EU:n tahtotilasta tietoturvan suhteen, vaikka sekin jättää paljon jäsenvaltioiden tulkittavaksi. Viesti on kuitenkin kristallin kirkas: tietoturva on johdon asia, yritysten ja organisaatioiden johtajien tulee kouluttautua ja ottaa siitä lopullinen kokonaisvastuu.
NIS2 kohdentuu tarkemmin ja laajemmin verrattuna edeltäjäänsä, ja alkuperäisessä direktiivissä olleet määritykset on korvattu Essential Entity (EE) – ja Important Entity (IE) -määritteillä. Essential Entities käsittää kriittiset yhteiskunnan palvelut kuten energia, vesi, terveydenhuolto ja rahoitus. Important Entities voidaan mieltää yhteiskunnan toiminnan kannalta tärkeiden palveluiden tukipalveluiksi: asioita, joita ilman voidaan tarvittaessa hetki olla, mutta joiden puuttuminen pidemmällä aikajänteellä aiheuttaa ongelmia. Tällaisia palveluita ovat esimerkiksi posti, jätehuolto ja paikallinen ruoantuotanto.
Tietoturvan laiminlyönneistä eivät tietokoneet mene vankilaan – edelleenkään
Ehdottomasti yksi mielenkiintoisimmista laajennuksista NIS2-direktiivissä on management bodies -termi ja -konsepti. Kuten edeltäjänsä, myös NIS2 tarjoilee vahvoja sanktioita yritykselle laiminlyönneistä – mutta jatkossa myös yksilölle. Termiä management bodies ei ole yksiselitteisesti määritelty direktiivissä, vaan se on jätetty kansallisen sääntelyn määriteltäväksi. Suomessa se todennäköisesti tulee tarkoittamaan yrityksen johtajia tai hallitusta, perustuen miten ja millä sanoilla se on kirjattu direktiiviin. Aika näyttää, mikä käytäntö tulee olemaan, mutta joka tapauksessa laajennus on erittäin huomattava.
Ajatus taustalla on hyvin selkeä: tietoturva on yritysjohdon vastuulla. NIS2 näyttäisi mahdollistavan esimerkiksi, että laiminlyönnistä seuraa yksilölle kielto työskennellä yritysten hallituksissa. NIS2 vastuuttaa yritysjohtoa, ei pelkästään hyväksymään esitetyt tietoturvariskien hallintakeinot, vaan valvomaan myös niiden käyttöönottoa. Lisäksi yritysjohdon on kouluttauduttava säännöllisesti, jotta tiedot ja taidot ovat ajan tasalla ja jotta ne vastaavat tämän päivän vaatimuksia ymmärtää muuttunut ja monisäikeinen uhkakenttä. Kuten todettua, vastuun väistämisestä seuraa sanktioita.
Moderni maailma rakentuu ekosysteemeistä
Toinen huomion arvoinen ja myös kaivattu muutos NIS2:ssa on sen laajentuminen toimitusketjuihin. Digitaalinen maailma ketjuuntuu ja rakentuu ekosysteemeistä, joissa yhdenkin lenkin pettäminen johtaa väistämättä arvaamattomiin seurauksiin. Software as a Service tai mitä vaan palveluna -maailmassa vastuut ovat hämärtyneet tai vääristyneet. Kiinnostaako pilvipalvelun tarjoajaa se, että kuka dataa käyttää? Tuskin, enemmän heitä kiinnostaa datan saatavuuden palvelulupaus (SLA). Vallalla on kuitenkin edelleen vahvasti ajatus, että kun datan siirtää vaikkapa pilveen tai jonkun muun varastoitavaksi, samalla vastuu sen sääntöjen mukaisesta käytöstä tai turvaamisesta siirtyisi myös.
Näihin lähtökohtiin NIS2 tuo selkeyttä, sillä kun EE (Essential Entity) tai IE (Important Entity) hyödyntää digitaalisia ekosysteemejä, vastuu kokonaisuudesta on niitä käyttävällä organisaatiolla. Riskienhallinta ulottuu jatkossa oman hiekkalaatikon ulkopuolelle, koska palveluita ostavan organisaation pitää huolehtia ostamiinsa palveluihin liittyvä riskienhallinta aivan samalla tasolla kuin varsinaisten ”omien” osa-alueidensa riskienhallinta.
NIS2 muuttaa tietoturvapoikkeaman määrittelyn
Alkuperäinen NIS määritteli tietoturvapoikkeaman käyttäjämäärän kautta: mitä suurempi käyttäjämäärä on kyseessä, johon poikkeama vaikuttaa, sen vakavammaksi se luokitellaan. NIS jätti liikaa tulkinnan varaa, milloin tietoturvapoikkeamalle tulee oikeasti tehdä jotakin. NIS2 korjaa tämän muuttamalla määritystä niin, että mistä tahansa poikkeamasta, joka vaarantaa tiedon saatavuuden, aitouden ja eheyden, pitää ilmoittaa. Samoin mikä tahansa tapahtuma, joka saattaa vahingoittaa tai häiritä haitallisesti verkkoon kytkettyjä laitteita, lasketaan velvoitteeseen mukaan.
Uusia mahdollisuuksia ja tietoturvaan liittyvien vinoumien korjaamista
NIS2 on loistava mahdollisuus tietoturvapäälliköille. Nopeasti katsottuna se tarjoilee jalkapuuta huonoille johtajille, jotka eivät usko hyvällä. Asian voi nähdä myös toisin, sillä NIS2 nostaa tietoturvajohtajan profiilia ja painoarvoa. NIS2 korjaa vinoumia ”kertakäyttö- CISO:ista”, joita lähes rituaalisin menoin uhrataan iltalehtien alttarilla hyökkäyksen osuttua kohdalle. Jatkossa talousjohtajan, jonka alle CISO organisaatiossa usein sijoittuu, on vaikeampi torjua esiteltyjä kehityskohteita, koska talousjohtaja joutuu myös itse vastuuseen.
EU:n Impact Assessment -raportti arvioi, että NIS2 tulee vaikuttamaan huomattavasti yritysten ict-budjetteihin. Arviot liikkuvat 12 % kasvussa niissä yrityksissä, joissa NIS on jo omaksuttu käyttöön. Yli 20 % kasvua povataan yrityksille, jotka lähtevät kylmiltään liikkeelle. Summat tulevat olemaan merkittäviä, mutta jälleen kerran hyvä uutinen tähteitä syöneelle tietoturvajohtajalle.
Onko NIS2 pyörä keksittynä uudelleen?
NIS2:ta lukiessa väistämättä tulee mieleen jotain muutakin samankaltaista, nimittäin ISO/IEC27001-tietoturvan hallintamalli. Olisiko ollut helpompaa vaatia NIS-direktiivin piiriin kuuluvia yrityksiä täyttämään ISO27001? Vaikka suoraa linkkiä näiden välillä ei ole, ISO27001 todennäköisesti kattaa suurimman osan NIS2:n vaatimuksista. Universaalina tietoturvan hallintamallina se todennäköisesti olisi palvellut asiaa paremmin. Toisaalta NIS2 jatkaa EU:n valitsemaa polkua, joka vastuuttaa yritysjohdon huolehtimaan yhteiskunnalle kriittisten palvelujen suojaamisesta tietoturvauhilta ja hybridivaikuttamiselta.
Tags: