Myrskyn keskellä: miten NIS2 ja DORA määrittävät eurooppalaisen vaatimustenmukaisuuden uudelleen

EU:n NIS2-direktiivi ja DORA-asetus muuttavat kyberturvallisuuden vaatimustenmukaisuutta ja edellyttävät tiukempaa riskienhallintaa, poikkeamien raportointia ja digitaalista operatiivista häiriönsietokykyä. Tämä opas jäsentää niiden vaikutukset, osoittaa niiden tiiviin yhteyden ISO 27001 -standardiin ja tarjoaa tietoturvajohtajille ja liiketoimintajohdolle käytännön vaiheittaisen etenemispolun valmiuden saavuttamiseen.

Johdanto

Eurooppalainen vaatimustenmukaisuuden toimintaympäristö käy läpi sukupolven merkittävintä muutostaan. Network and Information Security (NIS2) -direktiivin kansallisen täytäntöönpanon määräajan ollessa lokakuussa 2024 ja Digital Operational Resilience Act (DORA) -asetuksen tullessa täysimääräisesti sovellettavaksi tammikuussa 2025 aika, jolloin kyberturvallisuutta voitiin pitää taustalla toimivana IT-toimintona, on lopullisesti ohi. Nämä kaksi säädöstä merkitsevät paradigman muutosta: kyberturvallisuus ja operatiivinen häiriönsietokyky nostetaan organisaation hallinnoinnin ytimeen, ja johtoelimistä tehdään suoraan vastuullisia epäonnistumisista.

Tietoturvajohtajille, vaatimustenmukaisuudesta vastaaville ja liiketoiminnan omistajille kyse ei ole vain uudesta viitekehyksestä, johon hallintakeinot kartoitetaan. Kyse on velvoitteesta rakentaa ylhäältä johdettu, riskiperusteinen ja todennettavasti häiriönsietokykyinen tietoturvan tila. NIS2 laajentaa edeltäjänsä soveltamisalaa kattamaan erittäin laajan joukon keskeisiä ja tärkeitä toimijoita, kun taas DORA asettaa tiukat, yhdenmukaistetut säännöt koko EU:n finanssisektorille ja sen kriittisille teknologiapalveluntarjoajille. Panokset ovat aiempaa suuremmat, vaatimukset yksityiskohtaisemmat ja vaatimustenvastaisuuden seuraamukset ankaria. Tämä artikkeli toimii oppaana tässä uudessa toimintaympäristössä ja hyödyntää ISO 27001 -viitekehystä käytännön perustana sekä NIS2:n että DORA:n vaatimustenmukaisuuden saavuttamisessa.

Mitä on panoksena

NIS2- ja DORA-velvoitteiden laiminlyönnin seuraukset ulottuvat paljon muodollista huomautusta pidemmälle. Sääntely tuo mukanaan merkittäviä taloudellisia seuraamuksia, johdon henkilökohtaisen vastuun sekä vakavan operatiivisen häiriön riskin. Näiden riskien vakavuuden ymmärtäminen on ensimmäinen askel uskottavan liiketoimintaperusteen rakentamisessa investoinneille ja organisaatiomuutokselle.

Erityisesti NIS2 nostaa taloudellisia panoksia huomattavasti. Kuten kattava oppaamme Zenith Controls selventää, seuraamukset on suunniteltu herättämään hallitustason huomio.

Keskeisille toimijoille sakot voivat nousta enintään 10 miljoonaan euroon tai 2 prosenttiin edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi. Tärkeille toimijoille enimmäissakko on 7 miljoonaa euroa tai 1,4 prosenttia maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta.

Nämä luvut ovat verrattavissa GDPR-tason seuraamuksiin ja osoittavat EU:n aikomuksen valvoa kyberturvallisuusstandardeja tiukasti. Vaikka seuraamukset on yhdenmukaistettu EU-tasolla, täsmälliset seuraamusrakenteet voivat edelleen vaihdella hieman sen mukaan, miten kukin jäsenvaltio saattaa NIS2:n osaksi kansallista lainsäädäntöään. Riski ei kuitenkaan ole vain taloudellinen. NIS2 tuo mukanaan mahdollisuuden määrätä väliaikaisia johtotehtävissä toimimisen kieltoja henkilöille, joiden todetaan olevan vastuussa rikkomuksista, jolloin kyberturvallisuudesta tulee toimitusjohtajien ja hallituksen jäsenten henkilökohtaisen vastuun kysymys.

DORA kohdistuu finanssisektoriin, mutta tuo mukanaan omat paineensa. Sen ensisijainen tavoite on varmistaa kriittisten rahoituspalvelujen jatkuvuus myös merkittävän ICT-häiriön aikana. Riski on tässä järjestelmätason riski. Yksittäisen finanssitoimijan tai sen kriittisen ICT-palveluja tarjoavan kolmannen osapuolen epäonnistuminen voi aiheuttaa ketjureaktion Euroopan taloudessa. DORA:n tarkoituksena on estää tämä edellyttämällä digitaalisen operatiivisen häiriönsietokyvyn korkeaa tasoa. Vaatimustenvastaisuuden kustannus voi tarkoittaa sakkojen lisäksi toimilupien menettämistä ja katastrofaalista mainevahinkoa sektorilla, joka perustuu luottamukseen.

Operatiivinen vaikutus on yhtä vaativa. Molemmat säädökset edellyttävät tiukkoja poikkeamien ilmoitusmääräaikoja. NIS2 edellyttää ensimmäistä ilmoitusta toimivaltaisille viranomaisille 24 tunnin kuluessa merkittävän poikkeaman tietoon tulemisesta ja yksityiskohtaisempaa raporttia 72 tunnin kuluessa. Tämä tiivis aikataulu asettaa valtavan paineen tietoturvapoikkeamiin reagoinnista vastaaville tiimeille ja edellyttää kypsiä, hyvin harjoiteltuja prosesseja, joita monilta organisaatioilta tällä hetkellä puuttuu. Painopiste ei ole enää vain rajaamisessa ja toipumisessa, vaan myös nopeassa ja läpinäkyvässä viestinnässä viranomaisten kanssa.

Miltä hyvä näyttää

Tässä lisääntyneen valvonnan ajassa hyvä ei enää tarkoita hyllyssä olevia politiikkoja tai yksittäiseen ajankohtaan sidottua sertifiointia. Kyse on jatkuvasta, todennettavasta operatiivisesta häiriönsietokyvystä. Se tarkoittaa siirtymistä reaktiivisesta, vaatimustenmukaisuuden ohjaamasta toimintatavasta ennakoivaan, riskitietoiseen kulttuuriin, jossa kyberturvallisuus on osa liiketoiminnan rakenteita. Organisaatio, joka onnistuu toimimaan NIS2- ja DORA-ympäristössä, osoittaa useita keskeisiä ominaisuuksia, joista monet perustuvat hyvin toteutetun ISO 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän (ISMS) periaatteisiin.

Lopullinen tavoite on tila, jossa organisaatio pystyy luottavaisesti kestämään ICT-häiriöitä, reagoimaan niihin ja toipumaan niistä sekä samalla suojaamaan kriittisiä omaisuuseriään ja palvelujaan. Tämä edellyttää syvällistä ymmärrystä liiketoimintaprosesseista ja niitä tukevasta teknologiasta. Kuten Zenith Controls kuvaa, näiden säädösten tavoitteena on luoda vahva digitaalinen infrastruktuuri koko EU:ssa.

NIS2-direktiivin ensisijaisena tavoitteena on saavuttaa kyberturvallisuuden korkea yhteinen taso koko unionissa. Sen tavoitteena on parantaa sekä julkisen että yksityisen sektorin häiriönsietokykyä ja tietoturvapoikkeamiin reagoinnin valmiuksia.

Tämän korkean yhteisen tason saavuttaminen tarkoittaa kattavan tietoturvaohjelman toteuttamista, joka kattaa hallinnoinnin, riskienhallinnan, omaisuuden suojaamisen, tietoturvapoikkeamiin reagoinnin ja toimittajaturvallisuuden. Kypsällä organisaatiolla on selkeä yhteys hallitustason riskinottohalukkuudesta yksittäisiin teknisiin hallintakeinoihin. Johto ei vain hyväksy budjettia, vaan osallistuu aktiivisesti riskienhallintapäätöksiin, kuten sekä NIS2 (Article 20) että DORA (Article 5) edellyttävät.

Tätä tavoitetilaa määrittää ennakoiva, tiedustelutietoon perustuva turvallisuus. Sen sijaan, että organisaatio vain reagoisi hälytyksiin, se kerää ja analysoi aktiivisesti uhkatiedustelua ennakoidakseen ja lieventääkseen mahdollisia hyökkäyksiä. Tämä vastaa suoraan ISO/IEC 27002:2022 Control 5.7 (Threat intelligence) -hallintakeinoa, joka on nyt nimenomainen odotus molempien uusien säädösten perusteella.

Lisäksi häiriönsietokyky testataan, sitä ei oleteta. Hyvä organisaatio toteuttaa säännöllisesti realistisia testejä tietoturvapoikkeamiin reagointisuunnitelmistaan ja liiketoiminnan jatkuvuussuunnitelmistaan. DORA:n piiriin kuuluvien nimettyjen finanssitoimijoiden osalta tämä voi ulottua edistyneeseen Threat-Led Penetration Testing (TLPT) -testaukseen eli tiukkaan simulaatioon todellisista hyökkäysskenaarioista. Kaikki organisaatiot eivät kuulu soveltamisalaan, mutta niille, jotka kuuluvat, TLPT on sitova vaatimus. Tällainen testauskulttuuri varmistaa, että suunnitelmat eivät ole vain teoreettisia asiakirjoja vaan paineen alla toimivia käytännön toimintakäsikirjoja.

Yhteys ISO 27001:2022 -hallintakeinojen teemoihin

ISO 27001:2022:n liitteen A hallintakeinot, sellaisina kuin ne on kuvattu tarkemmin standardissa ISO/IEC 27002:2022, muodostavat modernin ISMS:n selkärangan. Kuten oppaassa Zenith Controls: The Cross-Compliance Guide korostetaan,

Hallintakeinot, kuten A.5.7 (Threat Intelligence), A.5.23 (Information Security for Use of Cloud Services) ja A.5.29 (Supplier Relationships), mainitaan suoraan sekä NIS2:n että DORA:n toteutusohjeistuksessa, mikä korostaa niiden keskeistä merkitystä usean sääntelyn vaatimustenmukaisuuden kannalta. Organisaatiot, jotka toteuttavat nämä hallintakeinot täysimääräisesti ja tuottavat niistä näyttöä, ovat hyvässä asemassa, mutta niiden on silti vastattava uusien säädösten mukaisiin erityisiin raportointi-, hallinnointi- ja häiriönsietokykyvaatimuksiin.

Käytännön etenemispolku: vaiheittainen ohjeistus

NIS2:n ja DORA:n vaatimustenmukaisuuden saavuttaminen voi vaikuttaa valtavalta tehtävältä, mutta se muuttuu hallittavaksi, kun se jaetaan keskeisiin tietoturvan osa-alueisiin. Hyödyntämällä ISO 27001 -standardin mukaiseen ISMS:ään perustuvaa rakenteista lähestymistapaa organisaatiot voivat rakentaa tarvittavat kyvykkyydet järjestelmällisesti. Alla on käytännön etenemispolku, jota ohjaavat vakiintuneet politiikat ja parhaat käytännöt.

1. Vahvista hallinnointi ja vastuunjako

Molemmat säädökset asettavat lopullisen vastuun johtoelimelle. Tämä tarkoittaa, ettei kyberturvallisuutta voi enää delegoida yksinomaan IT-osastolle. Hallituksen on ymmärrettävä kyberturvallisuusriskien hallinnan viitekehys, valvottava sitä ja hyväksyttävä se.

Ensimmäinen askel on tämän rakenteen virallistaminen. Organisaation politiikkojen on heijastettava tätä ylhäältä johdettua lähestymistapaa. P01S Tietoturvapolitiikkaa koskeva politiikka - pk-yritys, joka on minkä tahansa ISMS:n perusasiakirja, edellyttää, että itse politiikkakehyksellä on ylimmän johdon nimenomainen hyväksyntä.

Johdon tulee hyväksyä tietoturvapolitiikat, ne tulee julkaista ja niistä tulee viestiä työntekijöille ja asiaankuuluville ulkoisille osapuolille.

Tämä tarkoittaa, että johto osallistuu aktiivisesti suunnan määrittämiseen. Tätä vahvistetaan edelleen määrittelemällä selkeät roolit. P02S Hallinnointirooleja ja vastuita koskeva politiikka - pk-yritys toteaa, että tietoturvavastuut on määriteltävä ja jaettava, jotta ei jää epäselvyyttä siitä, kuka omistaa minkäkin osa-alueen tietoturvaohjelmassa. NIS2:n ja DORA:n osalta tähän on sisällytettävä nimetty henkilö tai komitea, joka vastaa vaatimustenmukaisuuden tilan raportoinnista suoraan johtoelimelle.

Keskeiset toimenpiteet:

• Nimeä hallitustason sponsori kyberturvallisuudelle ja häiriönsietokyvylle.
• Aikatauluta säännölliset hallituksen katselmoinnit ISMS:n suorituskyvystä ja sääntelyvaatimusten noudattamisesta.
• Dokumentoi päätökset, toimenpiteet ja valvontaa koskeva todentava aineisto.

2. Toteuta kattava riskienhallinnan viitekehys

Arvioi riskienarviointiprosessisi uudelleen ja päivitä se. Riskienarviointimenetelmää koskevassa toteutusoppaassa todetaan: ”NIS2 ja DORA edellyttävät dynaamisia, uhkalähtöisiä riskienarviointeja, jotka menevät pidemmälle kuin staattiset vuosittaiset katselmoinnit. Organisaatioiden on integroitava uhkatiedustelu (A.5.7) ja varmistettava, että riskienarviointeja päivitetään uhkaympäristön tai liiketoimintaympäristön muutosten perusteella.” Zenith Controls. NIS2 menee yleistä riskienarviointia pidemmälle ja edellyttää Article 21:ssä konkreettisia riskienhallintatoimenpiteitä, kuten toimitusketjun turvallisuutta, poikkeamien käsittelyä, liiketoiminnan jatkuvuutta ja kryptografian käyttöä. Nämä vaatimukset on toteutettava todennettavasti ja katselmoitava säännöllisesti. Tämä tekee selväksi, ettei vaatimustenmukaisuus perustu pelkkään dokumentaatioon vaan todennettaviin operatiivisiin käytäntöihin.

Keskeiset toimenpiteet:

• Sisällytä reaaliaikainen uhkatiedustelu riskienarviointeihin.
• Varmista, että riskienarvioinnit kattavat nimenomaisesti toimitusketjun ja ICT-kolmansien osapuolten riskit (A.5.29).
• Dokumentoi katselmointi- ja päivitysprosessi sekä sitä koskeva näyttö.

Prosessin tulee olla jatkuva ja iteratiivinen, ei vuosittainen rastiruututehtävä. Se kattaa kaiken toimitusketjun turvallisuudesta työntekijöiden tietoturvatietoisuuteen.

3. Vahvista tietoturvapoikkeamiin reagointia ja raportointia

NIS2:n tiukat raportointimääräajat, kuten ensimmäinen ilmoitus 24 tunnin kuluessa, ja DORA:n yksityiskohtainen luokittelu- ja raportointimalli edellyttävät erittäin kypsää poikkeamien hallintatoimintoa. Tämä vaatii enemmän kuin SOC:n; se edellyttää selkeästi määriteltyä ja harjoiteltua suunnitelmaa.

P30S Tietoturvapoikkeamien hallintapolitiikka - pk-yritys tarjoaa mallin tämän kyvykkyyden rakentamiseen. Se korostaa, että organisaation tulee suunnitella ja valmistella tietoturvapoikkeamien hallintaa määrittelemällä, perustamalla ja viestimällä tietoturvapoikkeamien hallintaprosessit, roolit ja vastuut. Tietoturvapoikkeamiin reagointi on sekä NIS2:n että DORA:n keskeinen painopiste. Tietoturvapoikkeamien hallintapolitiikassa (kohta 4.2) todetaan:

Organisaatioiden tulee toteuttaa menettelyt poikkeamien havaitsemiseksi, raportoimiseksi ja niihin reagoimiseksi sovellettavien säädösten edellyttämissä määräajoissa sekä ylläpitää yksityiskohtaisia tallenteita auditointitarkoituksia varten.

Toteutettavia keskeisiä elementtejä ovat:

• Selkeä merkittävän poikkeaman määritelmä, joka käynnistää NIS2:n ja DORA:n raportointiaikataulun.
• Ennalta määritellyt viestintäkanavat ja mallit raportointiin viranomaisille, CSIRT-yksiköille ja muille sidosryhmille.
• Säännölliset harjoitukset ja pöytäharjoitukset, joilla varmistetaan, että reagointitiimi pystyy toteuttamaan suunnitelman tehokkaasti paineen alla.
• Poikkeaman jälkiarviointiprosessit, joiden avulla jokaisesta tapahtumasta opitaan ja reagointikyvykkyyttä parannetaan jatkuvasti.

4. Vahvista toimitusketjun ja kolmansien osapuolten riskienhallintaa

Erityisesti DORA nostaa ICT-kolmansien osapuolten riskienhallinnan huolellisuustoiminnosta operatiivisen häiriönsietokyvyn ydinalueeksi. Finanssitoimijat ovat nyt nimenomaisesti vastuussa kriittisten ICT-palveluntarjoajiensa häiriönsietokyvystä. Myös NIS2 edellyttää toimijoiden käsittelevän toimittajistaan aiheutuvia riskejä.

Kolmansien osapuolten ja toimittajien tietoturvapolitiikka, kohta 5.2 - pk-yritys edellyttää, että:

Ennen yhteistyön aloittamista jokainen toimittaja on arvioitava mahdollisten riskien varalta.

Se kuvaa myös tarvittavat hallintakeinot ja toteaa, että organisaation tietoturvavaatimuksista on sovittava toimittajien kanssa ja ne on dokumentoitava. DORA:n ja NIS2:n osalta tämä menee pidemmälle:

• Ylläpidä rekisteriä kaikista ICT-palveluja tarjoavista kolmansista osapuolista, ja erottele selkeästi ne, joita pidetään kriittisinä.
• Varmista, että sopimuksiin sisältyy nimenomaisia lausekkeita, jotka kattavat tietoturvakontrollit, tarkastusoikeudet ja irtautumisstrategiat. DORA on tältä osin erittäin yksityiskohtainen.
• Toteuta säännöllisiä riskienarviointeja kriittisille toimittajille, ei vain käyttöönoton aikana vaan koko suhteen elinkaaren ajan.
• Laadi varautumissuunnitelmat kriittisen toimittajasuhteen epäonnistumisen tai päättymisen varalle palvelun jatkuvuuden varmistamiseksi.

5. Rakenna ja testaa häiriönsietokykyä

Lopulta molemmissa säädöksissä on pohjimmiltaan kyse häiriönsietokyvystä. Organisaation on kyettävä ylläpitämään kriittisiä toimintoja kyberturvallisuuspoikkeaman aikana ja sen jälkeen. Tämä edellyttää kattavaa liiketoiminnan jatkuvuuden hallinnan (BCM) ohjelmaa.

Liiketoiminnan jatkuvuus- ja katastrofipalautuspolitiikka - pk-yritys korostaa tarvetta sisällyttää tietoturva BCM-suunnitteluun. Siinä todetaan: ”Organisaation tulee määrittää tietoturvaa ja tietoturvallisuuden hallinnan jatkuvuutta koskevat vaatimuksensa epäsuotuisissa tilanteissa.” Tämä tarkoittaa, että BCM- ja katastrofipalautussuunnitelmat (DR) on suunniteltava kyberhyökkäykset huomioiden. Keskeisiä toimenpiteitä ovat:

• Liiketoimintavaikutusten arviointien (BIA) tekeminen, jotta kriittiset prosessit ja niiden toipumisaikatavoitteet (RTO) voidaan tunnistaa.
• BCM- ja DR-suunnitelmien laatiminen ja dokumentointi siten, että ne ovat selkeitä, toteutuskelpoisia ja saatavilla.
• Suunnitelmien säännöllinen testaaminen realistisilla skenaarioilla, mukaan lukien kyberhyökkäyssimulaatiot. DORA:n vaatimus Threat-Led Penetration Testing -testauksesta nimetyille toimijoille on tämän käytännön korkein taso.

Noudattamalla näitä vaiheita ja sisällyttämällä ne ISO 27001 -standardin mukaiseen ISMS:ään organisaatiot voivat rakentaa puolustettavan ja tehokkaan vaatimustenmukaisuusohjelman, joka täyttää sekä NIS2:n että DORA:n asettaman korkean vaatimustason.

Yhteyksien hahmottaminen: näkökulmia usean sääntelyn vaatimustenmukaisuuteen

Yksi tehokkaimmista tavoista käsitellä NIS2:ta ja DORA:a on tunnistaa niiden merkittävä päällekkäisyys olemassa olevien, maailmanlaajuisesti tunnustettujen standardien kanssa, erityisesti ISO/IEC 27001- ja 27002-viitekehyksen kanssa. Kun uusia säädöksiä tarkastellaan ISO-hallintakeinojen näkökulmasta, organisaatiot voivat hyödyntää olemassa olevia ISMS-investointejaan ja välttää pyörän keksimisen uudelleen.

Zenith Controls tarjoaa keskeisiä ristiinviittauksia, jotka tekevät nämä yhteydet näkyviksi ja osoittavat, miten yksi ISO/IEC 27002:2022 -standardin hallintakeino voi auttaa täyttämään useiden säädösten vaatimuksia.

Hallinnointi ja politiikka (ISO/IEC 27002:2022 Control 5.1): Johtoelimen valvontavelvoite on sekä NIS2:n että DORA:n kulmakivi. Se vastaa täydellisesti Control 5.1 -hallintakeinoa, joka keskittyy selkeiden tietoturvapolitiikkojen määrittämiseen. Kuten Zenith Controls selittää, tämä hallintakeino on perusta johdon sitoutumisen osoittamiselle.

Tämä hallintakeino tukee suoraan NIS2 Article 20:tä, joka asettaa johtoelimille vastuun kyberturvallisuusriskien hallintatoimenpiteiden toteutuksen valvonnasta. Se on myös yhdenmukainen DORA Article 5:n kanssa, joka edellyttää johtoelimen määrittelevän, hyväksyvän ja valvovan digitaalisen operatiivisen häiriönsietokyvyn viitekehystä.

Toteuttamalla vahvan politiikkakehyksen, jonka johto hyväksyy ja katselmoi säännöllisesti, luot ensisijaisen näytön, jota tarvitaan näiden keskeisten hallinnointiartiklojen täyttämiseksi.

Poikkeamien hallinta (ISO/IEC 27002:2022 Control 5.24): Molempien säädösten vaativiin poikkeamien raportointivaatimuksiin vastataan suoraan kypsällä poikkeamien hallintasuunnitelmalla. Control 5.24 (Information security incident management planning and preparation) tarjoaa tähän rakenteen. Yhdenmukaisuus on nimenomainen:

Tämä hallintakeino on keskeinen NIS2 Article 21(2):n vaatimustenmukaisuuden kannalta, sillä kyseinen artikla edellyttää toimia tietoturvapoikkeamien käsittelemiseksi, sekä Article 23:n kannalta, jossa asetetaan tiukat poikkeamien raportointimääräajat. Se vastaa myös DORA:n Article 17:ssä kuvattua yksityiskohtaista poikkeamien hallintaprosessia, joka sisältää merkittävien ICT:hen liittyvien poikkeamien luokittelun ja raportoinnin.

Hyvin dokumentoitu ja testattu tietoturvapoikkeamiin reagointisuunnitelma, joka perustuu tähän hallintakeinoon, ei ole vain hyvä käytäntö; se on suora edellytys NIS2:n ja DORA:n vaatimustenmukaisuudelle.

ICT-kolmannen osapuolen riski (ISO/IEC 27002:2022 Control 5.19): DORA:n voimakas painotus toimitusketjuun on yksi sen määrittävistä piirteistä. Control 5.19 (Information security in supplier relationships) tarjoaa viitekehyksen näiden riskien hallintaan. Zenith Controls korostaa tätä kriittistä yhteyttä:

Tämä hallintakeino on perustavanlaatuinen DORA Chapter V:n laajojen ICT-kolmannen osapuolen riskienhallintavaatimusten täyttämisessä. Se tukee myös NIS2 Article 21(2)(d):tä, joka edellyttää toimijoiden varmistavan toimitusketjujensa turvallisuuden, mukaan lukien kunkin toimijan ja sen suorien toimittajien väliset suhteet.

Control 5.19:ssä kuvattujen prosessien, kuten toimittajien arvioinnin, sopimusjärjestelyjen ja jatkuvan seurannan, toteuttaminen rakentaa juuri niitä kyvykkyyksiä, joita DORA ja NIS2 edellyttävät.

Liiketoiminnan jatkuvuus (ISO/IEC 27002:2022 Control 5.30): DORA:n ytimessä on häiriönsietokyky. Control 5.30 (ICT readiness for business continuity) on tämän periaatteen ISO-vastine. Yhteys on suora ja vahva.

Tämä hallintakeino on kulmakivi DORA:n ydintavoitteen saavuttamisessa: ICT-järjestelmien liiketoiminnan jatkuvuuden ja häiriönsietokyvyn varmistamisessa. Se tukee suoraan DORA Chapter III:ssa (Digital Operational Resilience Testing) ja Chapter IV:ssä (Managing ICT Third-Party Risk) kuvattuja vaatimuksia. Se on myös yhdenmukainen NIS2 Article 21(2)(e):n kanssa, joka edellyttää liiketoiminnan jatkuvuutta koskevia politiikkoja, kuten varmuuskopioinnin hallintaa ja katastrofipalautusta.

Rakentamalla BCM-ohjelmasi tämän hallintakeinon ympärille rakennat samalla perustan DORA:n vaatimustenmukaisuudelle. Tämä osoittaa, ettei ISO 27001 ole vain rinnakkainen polku, vaan suora mahdollistaja Euroopan uusien sääntelyvaatimusten täyttämiselle.

Pikakatsaus: ISO 27001 liite A vs. NIS2 vs. DORA

Tämä yhdenmukaisuus osoittaa, miten yksi ISO-hallintakeino voi auttaa täyttämään useita sääntelyvaatimuksia ja tehdä ISO 27001 -standardista suoran mahdollistajan NIS2:n ja DORA:n vaatimustenmukaisuudelle.

Valmistautuminen tarkasteluun: mitä auditoijat kysyvät

Kun viranomaiset tai auditoijat saapuvat paikalle, he etsivät konkreettista näyttöä elävästä tietoturva- ja häiriönsietokykyohjelmasta, eivät vain asiakirjakokonaisuutta. He hakevat todisteita siitä, että politiikat on toteutettu, hallintakeinot toimivat ja suunnitelmat on testattu. Kun ymmärrät heidän painopisteensä, voit valmistella oikean todentavan aineiston ja varmistaa, että tiimisi ovat valmiita vastaamaan vaikeisiin kysymyksiin.

Zenith Blueprint, auditoijan tiekartta, tarjoaa arvokasta näkemystä siitä, mitä odottaa. Auditoijat käyvät järjestelmällisesti läpi keskeiset osa-alueet, ja sinun on oltava valmis jokaiseen niistä.

Alla on tarkistuslista siitä, mitä auditoijat pyytävät ja mitä he tekevät menetelmiensä perusteella:

1. Hallinnointi ja johdon sitoutuminen:

• Mitä he pyytävät: hallituksen kokouspöytäkirjoja, riskikomitean tehtävänkuvauksia sekä allekirjoitettuja kopioita keskeisistä tietoturvapolitiikoista.
• Mitä he tekevät: Kuten Zenith Blueprint -oppaan kohdassa ”Phase 1, Step 3: Understand the Governance Framework” kuvataan, auditoijat varmistavat, että johtoelin on muodollisesti hyväksynyt ISMS-politiikan ja saa säännöllisesti tietoa organisaation riskiasemasta. He etsivät näyttöä aktiivisesta osallistumisesta, eivät pelkkää allekirjoitusta vuoden vanhassa asiakirjassa.

2. Kolmansien osapuolten riskienhallinta:

• Mitä he pyytävät: täydellisen luettelon ICT-toimittajista, sopimukset kriittisten palveluntarjoajien kanssa, toimittajien riskienarviointiraportit sekä näytön jatkuvasta seurannasta.
• Mitä he tekevät: Kohdassa ”Phase 4, Step 22: Assess Third-Party Risk Management” auditoijan painopiste on asianmukaisessa huolellisuudessa ja sopimusten täsmällisyydessä. Zenith Blueprint mainitsee keskeisenä vaadittavana näyttönä: ”Contracts, Service Level Agreements (SLAs), and audit reports from suppliers.” Auditoijat tarkastelevat näitä asiakirjoja varmistaakseen, että ne sisältävät DORA:n edellyttämät nimenomaiset lausekkeet, kuten tarkastusoikeudet ja selkeät tietoturvavelvoitteet.

3. Tietoturvapoikkeamiin reagointia ja liiketoiminnan jatkuvuutta koskevat suunnitelmat:

• Mitä he pyytävät: tietoturvapoikkeamiin reagointisuunnitelman, liiketoiminnan jatkuvuussuunnitelman, katastrofipalautussuunnitelman ja ennen kaikkea uusimpien testien, harjoitusten ja simulaatioiden tulokset.
• Mitä he tekevät: Auditoijat eivät vain lue suunnitelmia. Kuten kohdassa ”Phase 3, Step 15: Review Incident Response and Business Continuity Plans” kuvataan, heidän painopisteensä on suunnitelmien testauksessa ja validoinnissa. He pyytävät jälkiraportteja pöytäharjoituksista, penetraatiotestaustuloksia, erityisesti DORA:n mukaisia TLPT-raportteja, sekä näyttöä siitä, että testien havainnot on viety korjaaviin toimenpiteisiin asti. Auditoijan näkökulmasta suunnitelmaa, jota ei ole koskaan testattu, pidetään suunnitelmana, jota ei käytännössä ole olemassa.

4. Tietoturvatietoisuus ja koulutus:

• Mitä he pyytävät: koulutusmateriaaleja, suoritustietoja eri henkilöstöryhmiltä, mukaan lukien johtoelin, sekä tietojenkalastelusimulaatioiden tuloksia.
• Mitä he tekevät: Kohdassa ”Phase 2, Step 10: Evaluate Security Awareness and Training” auditoijat arvioivat koulutusohjelman vaikuttavuutta tarkastelemalla sen sisältöä, tiheyttä ja suoritusasteita. He haluavat nähdä, että koulutus on räätälöity roolikohtaisesti ja että sen vaikuttavuutta mitataan.

Kun tämä todentava aineisto on valmisteltu etukäteen, auditointi muuttuu stressaavasta, reaktiivisesta kiireestä sujuvaksi osoitukseksi organisaation kypsyydestä ja sitoutumisesta häiriönsietokykyyn.

Yleiset sudenkuopat

Vaikka polku NIS2:n ja DORA:n vaatimustenmukaisuuteen on selkeä, useat yleiset sudenkuopat voivat suistaa myös hyvin tarkoitukselliset hankkeet raiteiltaan. Näiden riskien tunnistaminen on ensimmäinen askel niiden välttämiseen.

1. Pelkkä IT-ajattelutapa: NIS2:n ja DORA:n käsitteleminen yksinomaan IT- tai kyberturvallisuusosaston ongelmana on yleisin virhe. Kyse on liiketoimintatason sääntelystä, joka keskittyy operatiiviseen häiriönsietokykyyn. Ilman johtoelimen ja liiketoimintayksiköiden johtajien sitoutumista ja aktiivista osallistumista mikään vaatimustenmukaisuushanke ei täytä hallinnoinnin ja riskinomistajuuden keskeisiä vaatimuksia.

2. Toimitusketjun aliarviointi: Monilla organisaatioilla on katvealue sen suhteen, kuinka riippuvaisia ne todellisuudessa ovat ICT-palveluja tarjoavista kolmansista osapuolista. Erityisesti DORA edellyttää syvällistä ja kattavaa ymmärrystä tästä ekosysteemistä. Pelkkä tietoturvakyselyn lähettäminen ei enää riitä. Kaikkien kriittisten toimittajien asianmukainen tunnistamatta jättäminen sekä vahvojen tietoturva- ja häiriönsietokykyvaatimusten sisällyttämättä jättäminen sopimuksiin on merkittävä vaatimustenmukaisuuden puute.

3. Paperille jäävä häiriönsietokyky: Laaditaan yksityiskohtaisia tietoturvapoikkeamiin reagointi- ja liiketoiminnan jatkuvuussuunnitelmia, jotka näyttävät hyviltä paperilla mutta joita ei ole koskaan testattu realistisessa skenaariossa. Auditoijat ja viranomaiset tunnistavat tämän nopeasti. Häiriönsietokyky osoitetaan toiminnalla, ei dokumentaatiolla. Säännöllisen ja perusteellisen testauksen puute on varoitusmerkki siitä, ettei organisaatio ole valmis todelliseen kriisiin.

4. Uhkatiedustelun sivuuttaminen: Pelkkä uhkiin reagoiminen on häviävä toimintamalli. Sekä NIS2 että DORA edellyttävät välillisesti ja nimenomaisesti ennakoivampaa, tiedustelutietoon perustuvaa tietoturvaa. Organisaatiot, jotka eivät luo prosessia uhkatiedustelun keräämiseen, analysointiin ja hyödyntämiseen, joutuvat vaikeuksiin osoittaessaan riskien tehokasta hallintaa ja ovat aina askeleen hyökkääjiä jäljessä.

5. Vaatimustenmukaisuuden käsitteleminen kertaluonteisena projektina: NIS2 ja DORA eivät ole projekteja, joilla on päättymispäivä. Ne luovat jatkuvan vaatimuksen seurannalle, raportoinnille ja jatkuvalle parantamiselle. Organisaatiot, jotka näkevät tämän kilpailuna määräaikaan ja vähentävät resursseja sen jälkeen, ajautuvat nopeasti vaatimustenvastaisuuteen ja ovat valmistautumattomia seuraavaan auditointiin tai, mikä pahempaa, seuraavaan poikkeamaan.

Seuraavat vaiheet

Matka NIS2:n ja DORA:n vaatimustenmukaisuuteen on maraton, ei sprintti. Se edellyttää strategista ja rakenteista lähestymistapaa, joka perustuu koeteltuihin viitekehyksiin. Tehokkain etenemistapa on hyödyntää ISO 27001 -standardin kattavia hallintakeinoja perustana.

1. Tee puuteanalyysi: Aloita arvioimalla nykyinen tietoturvan tilasi suhteessa NIS2:n, DORA:n ja ISO 27001:n vaatimuksiin. Lippulaivaoppaamme Zenith Controls tarjoaa yksityiskohtaisen kartoituksen, jonka avulla ymmärrät, missä hallintakeinosi täyttävät vaatimukset ja missä puutteita on.

2. Rakenna ISMS: Jos sinulla ei vielä ole tietoturvallisuuden hallintajärjestelmää, perusta muodollinen ISMS. Hyödynnä politiikkamallipakettiamme, kuten Full SME Pack - pk-yritys tai Full Enterprise Pack, nopeuttaaksesi hallinnointikehyksesi kehittämistä.

3. Valmistaudu auditointeihin: Omaksu auditoijan ajattelutapa ensimmäisestä päivästä alkaen. Käytä Zenith Blueprint -opasta ymmärtääksesi, miten ohjelmaasi tarkastellaan, ja rakentaaksesi todentavan aineiston, jolla voit osoittaa vaatimustenmukaisuuden luottavaisesti.

Yhteenveto

NIS2-direktiivin ja DORA-asetuksen voimaantulo merkitsee käännekohtaa Euroopan kyberturvallisuudelle ja operatiiviselle häiriönsietokyvylle. Ne eivät ole pelkkiä vähittäisiä päivityksiä olemassa oleviin sääntöihin, vaan sääntelyodotusten perustavanlaatuinen uudelleenmuotoilu, joka edellyttää johdolta suurempaa vastuuta, toimitusketjun syvempää tarkastelua ja konkreettista sitoutumista häiriönsietokykyyn.

Vaikka haaste on merkittävä, se on myös mahdollisuus. Se on mahdollisuus siirtyä pois rastiruutuun perustuvasta vaatimustenmukaisuudesta ja rakentaa aidosti vahva tietoturvan tila, joka paitsi täyttää viranomaisten odotukset myös suojaa liiketoimintaa jatkuvasti kasvavalta häiriöiden uhalta. Hyödyntämällä ISO 27001 -standardin rakenteista ja riskiperusteista lähestymistapaa organisaatiot voivat rakentaa yhden yhtenäisen ohjelman, joka vastaa tehokkaasti molempien säädösten keskeisiin vaatimuksiin. Eteneminen edellyttää sitoutumista, investointeja ja ylhäältä johdettua kulttuurimuutosta, mutta lopputuloksena on organisaatio, joka ei ole vain vaatimustenmukainen vaan aidosti häiriönsietokykyinen nykyaikaisten digitaalisten uhkien edessä.