NIS2 ja DORA: Mitä ne ovat ja miten ne vaikuttavat organisaatioihin?

Vinkkejä
Written By Marvel Consulting Team

Euroopan unioni lisännyt ja päivittänyt tietoturvalainsäädäntöä. Esimerkkejä tästä ovat pian voimaan astuva NIS2-direktiivi ja DORA-asetus. Mutta mitä nämä akronyymit oikeasti tarkoittavat, erityisesti organisaatioille?

NIS2-direktiivi: Päivitys olemassa olevaan lainsäädäntöön

NIS2 on EU:n laajuinen tietoturvadirektiivi. Se on päivitetty versio aiemmasta NIS-direktiivistä (Network and Information Systems), joka on modernisoitu sopimaan muuttuvaan tietoturvallisuuden maailmaan. NIS2 lisäälainsäädäntöön sovellettavien sektoreita, tavoitteenaan lisätä EU-alueella toimivien tärkeiden, olennaisten ja kriittisten organisaatioiden kykyä estää ja reagoida uhkiin.

NIS2 koskee keskisuuria ja suuria yrityksiä, jotka toimivat seuraavilla aloilla:

  • Energia

  • Kuljetus

  • Pankkitoiminta

  • Rahoitusmarkkinoiden infrastruktuurit

  • Terveys

  • Juomavesi

  • Jätevesi

  • Digitaalinen infrastruktuuri

  • ICT-palveluiden hallinta (B2B)

  • Julkishallinto

  • Avaruus

  • Posti- ja kuriiripalvelut

  • Jätehuolto

  • Kemikaalien valmistus, tuotanto ja jakelu

  • Ruoan tuotanto, jalostus ja jakelu

  • Valmistus

  • Digipalveluntarjoajat

  • Tutkimus

Lainsäädäntö voi koskea myös muita organisaatioita niiden koosta riippumatta, jos ne katsotaan yhteiskunnan kannalta kriittisiksi CER-direktiivin (Critical Entities Resilience Directive) mukaan.

NIS2 voi myös vaikuttaa epäsuorasti organisaatioihin, joita ei ole mainittu lainsäädännössä.

NIS2-direktiivin alaisilta organisaatioilta odotetaan kattavaa tietoturvariskien hallintasuunnitelmaa uhkien välttämiseksi, lieventämiseksi ja hallitsemiseksi. Sen tulee sisältää muun muassa tietojärjestelmien turvallisuuden hallintaa koskevat linjaukset, poikkeamien hallinta, työntekijöiden tietoturvakoulutus ja toimitusketjujen turvallisuus. NIS2-direktiivi voi siten vaikuttaa epäsuorasti myös niihin organisaatioihin, joita ei ole direktiivissä mainittu. 

Lisäksi NIS2 linjaa tietoturvariskien raportoinnista. Direktiivin mukaan tietoturvallisuusuhan aiheuttavista riskeistä tulee ilmoittaa viranomaisille hyvissä ajoin.

NIS2 tulee voimaan 17. lokakuuta 2024. Direktiivin noudattamatta jättäminen voi johtaa seuraamuksiin. NIS2-direktiivin löydät EUR-Lexin sivuilta klikkaamalla tästä.

DORA keskittyy taloussektoriin

DORA velvoittaa hallinnoimaan ICT-riskejä. Älä päästä hakkereita käsiksi tietoihisi! Kuva luotu Adoben ja Canvan tekoälyn avulla.

DORA, eli Digital Operational Resilience Act, on EU:n asetus, jolla pyritään vahvistamaan taloussektorin tietoturvallisuutta. Se liittyy läheisesti NIS2:een, mutta sillä ei ole yhtä laajaa soveltamisalaa kuin NIS2:lla. DORA:n tavoitteena on vahvistaa EU-alueen taloussektorin kestävyyttä, jotta se pystyy toimimaan myös häiriöiden aikana.

DORA:n vaatimukset ovat samankaltaiset kuin NIS2:n, koska molemmilla on samat tavoitteet: tietoturvallisuuden parantaminen. DORA velvoittaa taloussektoria huomioimaan seuraavat asiat:

  • ICT-riskien hallinta

  • Kolmannen osapuolen ICT-riskinhallinta

  • Digitaalinen käyttökestävyystestaus

  • ICT-tapahtumien raportointi

  • Tietojen ja tiedustelutietojen vaihto tietoturvauhkista

  • Kriittisten kolmannen osapuolen palveluntarjoajien valvonta

ICT-riskit voivat johtaa rahoituspalvelujen häiriintymiseen, jos niitä ei hallita kunnolla. Nämä häiriöt voivat aiheuttaa lisähaittoja muille sektoreille tai jopa taloudelle, minkä vuoksi finanssisektorin digitaalinen toimintakyky nähdään erityisenä prioriteettina.

DORA tulee voimaan 17. tammikuuta 2025. DORA:n noudattamatta jättäminen voi myös johtaa seuraamuksiin. DORAn löydät EUR-Lexin sivuilta klikkaamalla tästä.

Mitä seuraavaksi?

Jos organisaatiosi kuuluu näiden lakien piiriin — joko suoraan tai välillisesti — nyt on aika toimia ja parantaa tietoturvallisuuttasi! Mutta vaikka organisaatiosi ei kuuluisikaan tämän lainsäädännön piiriin, ei tietoturvallisuuden tehostaminen ole koskaan huono idea. Tässä on luettelo toimista, joilla voit aloittaa!

Tee kattava riskiarviointi.

Arvioi organisaatiosi tietoturvallisuuden nykytila. Tunnista ja priorisoi mahdolliset haavoittuvuudet ja uhat.

Luo tietoturvallisuusriskien hallintasuunnitelma.

Hallintasuunnitelman pitäisi sisältää päivittäiset toiminnot, poikkeamien käsittely sekä tietoturvariskien raportointi.

Ota tietoturvallisuustoimenpiteet käyttöön.

Ota käyttöön tarvittavat tietoturvallisuustoimenpiteet, mukaan lukien tekniikat ja käytännöt. Kouluta työntekijöitäsi tietoturvallisuudesta.

Varmista vaatimustenmukaisuus ja huomioi jatkuva kehitys. 

Pysy ajan tasalla uusista lainsäädännöistä ja tietoturvariskeistä. Päivitä suunnitelmasi säännöllisesti varmistaaksesi, että kaikki tarvittavat tekijät otetaan huomioon.

Oletko epävarma siitä, mitä pitäisi tehdä?

Yllä olevat vinkit ovat yleisiä eivätkä organisaatiokohtaisia. Jos tunnet olevasi jumissa tai epävarma siitä, miten jatkaa, älä huoli! IT-ammattilaisten verkostossamme on myös tietoturvallisuuden asiantuntijoita. Katso lisätiedot palvelut-sivultamme ja ota meihin yhteyttä!

Tämä blogi julkaistiin englanniksi 6/2024.

Marvel Consulting Team
Previous

Työhaastatteluvinkit osa 1: Vinkkejä työhaastatteluun valmistautumiseen
Next

Vinkkejä digitaalisen disruption navigointiin