EU:n uusittu verkko- ja tietoturvadirektiivi NIS2 tuo mukanaan uusia vaatimuksia organisaatioiden kyberturvallisuudelle. Visma Aquilan tietoturvajohtaja Mika Muurinen avaa, kuinka huolehdimme Solveon- ja Wilma-ohjelmistoratkaisuiden tietoturvasta ja olemme valmistautuneet täyttämään NIS2-direktiivin vaatimukset.
Digitaalinen toimintaympäristö ja uusi NIS2-direktiivi asettavat vaatimuksia tietoturvan tasolle
Tietoturvan huomioiminen on nykyajan digitaalisessa toimintaympäristössä yhä kriittisempää. Huolehtimalla tietoturvan korkeasta tasosta varmistamme, että järjestelmien tiedot pysyvät turvassa, eivätkä joudu luvattomiin käsiin tai tule väärinkäytetyiksi. Tämä parantaa myös digitaalisten palveluiden jatkuvaa käytettävyyttä, jolloin vältymme odottamattomilta katkoksilta. Samalla tietoturvallisuus ei ainoastaan suojaa tietoja, vaan vahvistaa luottamusta - se suojaa palveluita häiriöiltä, jotka voisivat heikentää käyttäjäkokemusta tai aiheuttaa merkittäviä taloudellisia vaikutuksia ja mainevahinkoja.
Uuden NIS2-direktiivin tarkoitus on tiukentaa tietoturvakäytäntöjä kriittisillä toimialoilla, joihin lukeutuvat muun muassa digitaalisen infrastruktuurin ja palvelun tarjoajat, energia- ja terveysala, liikenne, julkishallinto sekä valmistava teollisuus. Samalla se nostaa esille niin keskisuurten ja suurten yritysten kuin pienten, kriittisen infrastruktuurin toimijoiden tarpeen tehostaa omaa kyberturvaansa.
Direktiivi luettelee ne vähimmäistoimenpiteet, jotka velvoitettujen toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä. NIS2-direktiivillä halutaan varmistaa kyberturvallisuuden yhteinen taso kaikkialla Euroopan unionissa ja sen kansallinen soveltaminen alkaa lokakuussa 2024.
NIS2-direktiivi korostaa organisaation johdon vastuuta tietoturvan varmistamisessa
Uusi verkko- ja tietoturvadirektiivi korostaa erityisesti yritysjohdon vastuuta: NIS2 velvoittaa johtoa varmistamaan, että organisaatiossa ovat käytössä riittävän tehokkaat kyberturvallisuusrakenteet ja -prosessit. Rakenteilla viitataan teknisiin kontrolleihin ja suunnitelmiin, jotka muodostavat kyberturvallisuuden perustan, kuten esimerkiksi tietoturva-arkkitehtuuri, tietoverkot ja järjestelmät. Kyberturvallisuuden prosesseilla taas tarkoitetaan toimintatapoja ja menettelyjä, joita on otettu käyttöön kyberhyökkäysten, tietoturvauhkien ja muiden kyberturvallisuuteen liittyvien riskien hallitsemiseksi. Tämä vaatimus koskee myös alihankkijoita ja toimittajia EU:n ulkopuolella. Lisäksi direktiivi tuo mukanaan henkilökohtaisia vastuita ylimmälle johdolle.
Tietoturvallisuuden merkitystä korostaa direktiivissä myös mahdollisuus liiketoimintaan perustuviin sanktioihin: tietoturvan laiminlyönnin sakkosummat voivat olla suurimmillaan jopa 2% liikevaihdosta.
Miten valmistautua NIS2-direktiiviin?
Uuden direktiivin konkreettisen valmistautumisen osalta organisaatiot voivat hyödyntää ISO 27001 -standardia oman tietoturvan hallintajärjestelmänsä kehittämiseen ja tietoturvan riittävän tason varmistamiseen. Kyseinen standardi tarjoaa ulkoisen varmennuksen tietoturvan hallintajärjestelmän tehokkuudesta ja sopivuudesta yrityksen toimintaan, tuoden konkreettisen työkalun myös uusien NIS2-vaatimusten täyttämiseen.
Miten huomioimme NIS2-direktiivin vaatimukset Wilma- ja Solveon-ohjelmistoratkaisuissa?
Olemme myös Solveon- ja Wilma-ohjelmistoratkaisuja kehittävässä Visma Aquila Oy:ssä varautuneet uuden NIS2-direktiivin asettamiin vaatimuksiin. Tietoturvallisuuden hallintajärjestelmämme perustuu ISO 27001 -standardiin ja osalla tuotteistamme on myös ISO 27001 -sertifikaatti. Näitä tuotteitamme ovat: Wilma, M2, Numeron, Saima HR ja Tiima.
Tietoturvan hallintamallin standardinmukaisuus sekä oma tietoturvaohjelmamme Visma Security Program (VSP), joka tarjoaa työkaluja, kyvykkyyksiä ja koulutusta tietoturvallisuuden hallintaan, muodostavat vankan perustan kyberturvallisuuden ylläpitämiseen ja kehittämiseen.
Tietoturvan hallintamalli ja Visma Security Program mahdollistavat niin kyberturvallisuusriskien jatkuvan tunnistamisen, arvioinnin ja hallinnan, tehokkaiden tietoturvatoimenpiteiden suunnittelun ja toteutuksen kuin henkilöstön jatkuvan koulutuksen tietoturvallisuuskäytännöissä.
NIS2-direktiivin asettamat erityisvaatimukset, kuten esimerkiksi:
- automaattiset tietoturvatestaukset,
- tietoturvahäiriöiden hallinnan prosessit,
- penetraatiotestaukset,
- riskienhallinta (mukaan lukien kolmannet osapuolet),
- uhkatiedustelu,
- haavoittuvuuden hallinta, sekä
- pilvipalveluiden 24/7 SOC (Security Operation Center) eli tietoturvan valvonta vuorokauden ympäri
on jo osittain huomioitu ja toteutettu Visma Security Programin kautta, joita ISO 27001 -standardin mukainen tietoturvan hallintamalli täydentää. Tämän lisäksi olemme huomioineet muut NIS2:n vaatimukset ja ryhtyneet toimiin niiden täyttämiseksi.
Visman palveluista löydettyjä tietoturvahavaintoja voi myös raportoida meille määritellyissä eri kanavissa ja tarkemmat ohjeet tietoturvahaavoittuvuuksien raportointiin löydät täältä. Visma nostaa esiin vastuullisia tietoturvahavaintoja tehneitä tietoturva-asiantuntijoita myös omassa Security Hall of Fame -listauksessa.
Tutustu lisää Visma Aquilan tuotekohtaiseen tietoturvaan:
