NIS2: alustava ohjelma valmiina asiakkaille

Uuden kyberturvallisuusdirektiivin NIS2 voimaantuloon on nyt alle vuosi aikaa. Direktiivi on parhaillaan kansallisen lainsäädännön toimeenpanovaiheessa, mutta valmistautumista ei ole syytä lykätä sen lopulliseen julkaisuun asti.

Kasvava vastuu ja tiukentuvat vaatimukset

Monien yritysten on varauduttava uuteen toimintaympäristöön, jossa kyberturvallisuudelle ja tietoturvariskien hallinnalle asetetaan aiempaa tiukemmat vaatimukset sekä organisaation sisällä että toimitusketjussa. Vaatimusten noudattamatta jättäminen voi johtaa merkittäviin seuraamuksiin.

NIS2-direktiivin keskeinen muutos on se, että vastuu kyberturvallisuudesta siirtyy selkeästi yrityksen hallitukselle ja ylimmälle johdolle. Samalla mahdolliset seuraamukset voivat olla taloudellisesti huomattavia. Tämä korostaa valmistautumisen ja vaatimustenmukaisuuden merkitystä.

NIS2-direktiivin voimaantulo ei kuitenkaan tarkoita, että yritysten tulisi toimia hätiköidysti. Valmistautumiseen on riittävästi aikaa – edellyttäen, että työ aloitetaan nyt.

NTT DATA Business Solutionsissa olemme valinneet saman lähestymistavan kuin GDPR:n käyttöönoton yhteydessä. Perustamalla poikkiorganisatorisen yksikön varmistamme, että kaikki keskeiset haasteet katetaan, teemme tarvittavat lisäykset ja mukautukset olemassa oleviin ohjelmiimme sekä varmistamme, että asia on huomioitu kaikilla organisaation osa-alueilla. Tilintarkastusyhtiö PwC on tunnistanut tämän lähestymistavan parhaaksi käytännöksi. Lisätietoja PwC:n vuonna 2018 antamasta arviosta GDPR-ohjelmastamme on saatavilla erillisessä artikkelissa.

Alustava toimintamalli NIS2-direktiiviin

NTT DATA Business Solutions on kartoittanut vaatimukset, joiden osalta teknisiä, organisatorisia ja viestinnällisiä prosesseja on vahvistettava tai luotava, ja laatinut tämän pohjalta alustavan toimintamallin NIS2-direktiiviä varten.

”Vaikka emme vielä tiedä tulevien toimialakohtaisten vaatimusten yksityiskohtia, voimme hyödyntää lähtökohtana jo tunnettuja vaatimuksia esimerkiksi lääke-, rahoitus- ja energia-aloilta”, sanoo Martin Hallengreen, Compliance Manager, NTT DATA Business Solutions.

”Onnistuneen käyttöönoton avain on myös siinä, että voimme tarjota asiakkaillemme NIS2-ohjelmakonseptin, johon he voivat siirtyä suoraan – vastaavalla tavalla kuin GDPR:n osalta – ilman, että heidän tarvitsee perehtyä yksityiskohtaisesti NTT DATA Business Solutionsin sisäisiin prosesseihin ja kontrolleihin tai huolehtia niiden jatkumisesta toimitusketjuissa”, Hallengreen jatkaa.

Aika on ratkaiseva tekijä

Yksi NIS2-direktiivin keskeisistä vaatimuksista on hyvin lyhyt ilmoitusvelvollisuusaika tietoturvaloukkauksissa.

Tämän vuoksi tiiviisti integroitunut ohjelma koko toimitusketjussa on ratkaisevan tärkeä. Jatkuva valvonta sekä koulutettu ja toimintavalmiudessa oleva reagointitiimi ovat keskeisiä tekijöitä. NIS2-ohjelmaa ei voida toteuttaa ilman toimittajien aktiivista osallistumista.

Gitte de Linde, Senior Director, Head of Managed Services Nordics, NTT DATA Business Solutions: 

”On tärkeää, että asiakkaamme ja liikekumppanimme voivat jo ennen NIS2-lainsäädännön voimaantuloa luottaa meihin toimittajana. Olemme siksi päättäneet GDPR-lähestymistapamme mukaisesti hankkia riippumattoman kolmannen osapuolen auditointilausunnon, joka osoittaa vaatimustenmukaisuutemme. Tämä auditointiraportti täydentää nykyisiä ISAE 3402 Type II- ja ISAE 3000 (GDPR) Type II -raporttejamme.”

Lue lisää NIS2-direktiivistä:

EU NIS2 Directive Calling for Attention to SAP Application Security

PwC approves NTT DATA Business Solutions GDPR-program

Dansk Industri: 1079 companies across critical sectors are covered by the new complex requirements for IT-security procedure and data control