Verkko- ja tietoturvadirektiivi koskee yhä useampaa toimijaa
Mistä on kyse ja miten sinun tulisi toimia?
Mistä on kyse ja miten sinun tulisi toimia?
Mikä ihmeen NIS2?
Direktiivin tavoitteena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella ja kasvattaa suojan tasoa verkko- ja tietoturvaloukkauksia, -riskejä ja -uhkia vastaan.
NIS2-direktiivin (Network and Information Security Directive, suomeksi verkko- ja tietoturvadirektiivi) mukaan jäsenvaltioiden on lisäksi velvoitettava keskeiset palveluntarjoajat sekä tietyt digitaalisten palvelujen tarjoajat kattavaan verkko- ja tietoturvallisuusriskienhallintaan ja raportoimaan palvelujaan vaarantavista turvallisuuspoikkeamista kansallisille viranomaisille.
Milloin tulee olla valmista ja ketä direktiivi koskee?
Määräaika NIS2-direktiivin saattamiseksi osaksi kansallista lainsäädäntöä on 17.10.2024 mennessä.
NIS2-direktiivin soveltaminen alkaa 18.10.2024.
NIS2-direktiivi vaikuttaa erityisesti toimialoihin, jotka tarjoavat kriittisiä tai olennaisia palveluja yhteiskunnalle. NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin, joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan.
Direktiivin keskeiset vaatimukset
- Hallinnollinen tietoturvallisuus: organisaation ja yhteiskunnan näkökulmasta kriittiset toiminnot kattava tietoturvallisuuden hallintamalli.
- Säännöllinen riskienhallintaprosessi tietoturvatyön lähtökohtana.
- Riittävä teknisen turvallisuuden taso ja sen mukaisesti toteutetut toimenpiteet.
- Tietoturvatoimenpiteiden tarkoituksena on, että organisaatiossa pystytään toteuttamaan tietoturvariskeihin suhteutettu riittävä verkko- ja tietojärjestelmien turvallisuuden taso, huomioiden muun muassa uudet teknologiat.
Miten KPMG voi auttaa?
KPMG toteuttaa NIS2-direktiivin vaatimuksenmukaisuuden vahvistamisen modulaarisesti kolmessa osassa:
- Ensimmäinen moduuli koostuu organisaation tietoturvallisuuden nykytilakartoituksesta NIS2-direktiivin vaatimuksiin peilaten. Lopputuloksena tästä syntyy raportti, jossa esitellään puutteet vaatimuksenmukaisuuteen nähden, sekä esitetään ylätason kehitysehdotukset puutteiden korjaamiseksi.
- Toisessa moduulissa toteutamme yhdessä organisaation kanssa toimenpidesuunnitelman puutteiden korjaamiselle, sekä avustamme organisaatiota kriittisimpien puutteiden korjaamisessa.
- Kolmannessa moduulissa avustamme organisaatiota toteuttamaan ei-kriittisten puutteiden korjaustoimenpiteet, jotta organisaatio saavuttaa NIS2-direktiivin vaatimuksenmukaisuuden. Osana tätä, toteutamme loppukartoituksen, jossa varmistetaan vaatimuksenmukaisuuden toteutuminen kaikkien vaatimusten osalta.
Organisaatio voi valita itselleen sopivan kokonaisuuden yhdestä tai useammasta moduulista. Toimithan ripeästi, jotta organisaatiosi täyttää direktiivin vaatimukset määräaikaan mennessä.
Ota rohkeasti yhteyttä, kerromme mielellämme lisää!
Ari Hyvärinen
Tietoturva-asiantuntija
+358 50 472 5192
etunimi.sukunimi@kpmg.fi