Vain alle neljännes suomalaisista organisaatioista nauttii modernista kyberturvajohtamisesta. Karkeasti arvioiden puolet organisaatioista tekee kyberturvapäätökset edelleen projektien lopussa.
Yhdenmukaistetut kyberturvallisuuslait ovat tulossa – aika toimia on nyt
Monet suomalaiset yritykset ovat törmäämässä seinään alle kahden vuoden kuluttua, vaikka tuo seinä on jo näkyvissä.
NIS2-direktiivi, eli uusi EU:n kyberturvallisuusdirektiivi, on jo tullut voimaan. Koska EU:n jäsenvaltioilla on kuitenkin lokakuuhun 2024 asti aikaa saattaa direktiivin velvoitteet osaksi kansallista lainsäädäntöään, monet sellaiset yritykset, joita direktiivi koskee, eivät ole asiasta täysin tietoisia.
NIS2-direktiivi asettaa monille toimialoille kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden yhteisen perustason. Jos vaatimuksia ei noudateta, NIS2-direktiivi mahdollistaa määräämään rikkojalle sakon, joka on enintään 10 miljoonaa euroa tai enintään 2 % yrityksen maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta riippuen siitä, kumpi näistä summista on suurempi. Lisäksi ylin johto ja ns. C-tason johtajat voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.
Parannetuilla valmiuksilla kyberrikollisuutta vastaan
Nämä kaksi uhkatekijää ovat hallinneet NIS2-direktiivin ympärillä käytävää keskustelua. Direktiivillä on kuitenkin myös monia positiivisia vaikutuksia. NIS2-direktiivi pyrkii pohjimmiltaan tekemään kansainvälisestä kyberturvallisuudesta entistä parempaa, yhdenmukaisempaa ja paremmin häiriöitä sietävää. Yhteinen kieli lisää keskinäistä luottamusta ja helpottaa hyvistä käytännöistä ja kokemuksista oppimista. Yhdenmukaiset ja entistä läpinäkyvämmät kyberturvallisuusvalmiudet helpottavat yritysten välistä liiketoimintaa ja tekevät meistä vahvempia jatkuvassa taistelussa rikollisuutta vastaan.
Vaatimustenmukaisuus edellyttää toimia kolmella pääalueella: hallinto, poikkeamien havaitseminen ja hallitseminen sekä infrastruktuurin ja sovellusten turvallisuus.
- Hallinto tarkoittaa kyberturvallisuuden hallinnasta, koulutuksesta ja riskienhallinnasta huolehtimista sekä näihin kohdistuvia investointeja.
- Poikkeamien havaitsemista ja niiden hallitsemista koskevat vaatimukset eivät keskity vain poikkeamien käsittelyyn ja raportointiin, vaan myös toiminnan jatkuvuuteen ja kriisinhallintaan.
- Infrastruktuurin ja sovellusten turvallisuutta koskevat vaatimukset voivat vaatia muutoksia verkkojen turvallisuuteen, sovelluskehityksen käytäntöihin sekä identiteetin- ja pääsynhallintaan.
Aika ja resurssit eivät riitä kaikille
Muutosten toteuttaminen vaatii paljon työtä. NIS2-direktiivin vaatimusten täyttäminen ei ole asia, joka voidaan vain tilata tänään ja ottaa toimitettuna käyttöön ensi viikolla. Vaikka poikkeuksia tietysti on, voimme yleisesti ottaen arvioida, että yrityksen saattaminen NIS2-direktiivin vaatimukset täyttäväksi kestää puolesta vuodesta jopa yli vuoteen.
Kansallisen lainsäädännön odottaminen saattaa tuntua houkuttelevalta, mutta kun pääsemme lähemmäs vuoden 2024 syyskuuta, odottamaan jääviltä loppuvat sekä aika että resurssit. Osaavista kyberturvallisuuden ammattilaisista on jo nyt pulaa.
Haastammekin kaikki toimitusjohtajat, tietohallintojohtajat ja tietoturvajohtajat vastaamaan seuraaviin kysymyksiin:
- Vaikuttaako NIS2-direktiivi yritykseenne suoraan tai epäsuorasti?
- Haluatko, että asiakkaanne luottavat teihin ja kyberturvallisuustoimenpiteisiinne?
- Teetkö mieluummin hyvin perusteltuja päätöksiä hätäisten päätösten sijaan?
Jos vastasit kaikkiin kysymyksiin ”kyllä”, on aika ryhtyä toimiin NIS2-direktiivin suhteen. Ei myöhemmin tänä vuonna tai joskus ensi vuonna. Heti.
Mikäli NIS2-direktiiviin liittyvät valmistelut ovat organisaatiossasi ajankohtaisia, olemme mielellämme apunasi. Palveluistamme voit lukea lisää täältä, ja yhteyden meihin saat kotisivuillamme olevan yhteydenottolomakkeen kautta.