Skip to content

Scam messages have been sent in the name of Cyber Security Finland.

Learn more

NIS2 Sprint -ohjelma - Nopea vaatimustenmukaisuuden toteutus

Nopeutettu 12 viikon ohjelma NIS2-direktiivin vaatimustenmukaisuuteen

NIS2 Sprint -ohjelma tarjoaa kattavat kyberturvallisuuden hallinnon, riskienhallinnan ja häiriönhallintakyvykkyydet, jotka vaaditaan EU:n NIS2-direktiivissä.

Aloita NIS2 Sprint -ohjelma

NIS2-direktiivi: Parannettu kyberturvallisuus Euroopalle

Verkko- ja tietoturvadirektiivi (NIS2) vahvistaa kyberturvallisuusvaatimuksia kriittisillä aloilla koko EU:ssa. Sprint-ohjelmamme tarjoaa nopean vaatimustenmukaisuuden organisaatioille, joiden on täytettävä nämä tehostetut kyberturvallisuusvelvoitteet.

Pakollinen

Vaatimustenmukaisuus pakollista kaikille soveltamisalaan kuuluville keskeisille ja tärkeille toimijoille

Korkeat sakot

Jopa 10M€ tai 2% vuosiliikevaihdosta noudattamatta jättämisestä

Aktiivinen valvonta

Kansalliset viranomaiset valvovat aktiivisesti vaatimustenmukaisuutta

Liiketoimintahyöty

Parannettu kyberturvallisuuden sietokyky ja kilpailuetu

NIS2 Soveltamisalaan kuuluvat sektorit

NIS2 koskee keskeisiä ja tärkeitä palveluntarjoajia talouden kriittisillä sektoreilla.

Keskeiset palvelut (Korkea riski)

  • Energiasektori (sähkö, öljy, kaasun jakelu ja toimitus)
  • Liikenne (ilma-, raide-, vesi-, tieliikenne ja liikenteenhallinta)
  • Pankki- ja rahoitusmarkkinainfrastruktuurit
  • Terveyssektori (terveydenhuollon tarjoajat ja laitokset)
  • Juomaveden toimitus- ja jakelujärjestelmät
  • Digitaalinen infrastruktuuri (Internet-yhdysliikennepisteet, DNS, TLD-rekisterit)
  • ICT-palvelunhallinta (B2B) ja pilvipalvelut
  • Julkinen hallinto (keskushallinnon yksiköt)

Tärkeät palvelut (Keskitason/Korkea riski)

  • Digitaaliset palvelut (verkkokaupat, hakukoneet, sosiaaliset verkostot)
  • Jäteveden hallinta ja käsittelylaitokset
  • Kemikaalien tuotanto, käsittely ja jakelu
  • Elintarvikkeiden tuotanto, jalostus ja jakelu
  • Valmistus (lääkinnälliset laitteet, elektroniikka, koneet, moottoriajoneuvot)
  • Tutkimusorganisaatiot ja -laitokset
  • Avaruussektori (satelliittioperatiot ja palvelut)
  • Posti- ja kuriiripalvelut (rajat ylittävät toiminnot)

Kokorajat

  • Keskeiset palvelut: Kaikki yksiköt koosta riippumatta
  • Tärkeät palvelut: Vain keskisuuret ja suuret yritykset
  • Keskisuuret yritykset: 50-249 työntekijää TAI 10-50M€ liikevaihto
  • Suuret yritykset: 250+ työntekijää TAI 50M€+ liikevaihto
  • Julkisen sektorin yksiköt kuuluvat yleensä soveltamisalaan

NIS2 Kyberturvallisuusvaatimukset

Kattavat kyberturvallisuustoimenpiteet, joita NIS2-direktiivi vaatii.

Viikot 1-3

Kyberturvallisuusriskien hallinta

Kattava kyberturvallisuusriskien arviointi- ja hallintakehys

  • Politiikat riskianalyysistä ja tietojärjestelmien turvallisuudesta
  • Häiriöiden käsittely ja liiketoiminnan jatkuvuuden hallinta
  • Toimitusketjun turvallisuus ja turvallisuus verkkosuhteissa
  • Turvallisuus järjestelmien hankinnassa, kehityksessä ja ylläpidossa
  • Politiikat ja menettelyt toimenpiteiden tehokkuuden arvioimiseksi
Viikot 4-7

Tekniset & Organisatoriset toimenpiteet

Asianmukaisten teknisten ja organisatoristen kyberturvatoimenpiteiden toteuttaminen

  • Monivaiheinen todennus ja turvalliset viestintäprotokollat
  • Salaus ja kryptografiset mekanismit tietojen suojaamiseksi
  • Verkkoturvallisuustoimenpiteet ja verkon segmentointi
  • Varmuuskopiointimekanismit ja palautumismenettelyt
  • Turvallisuustestaus ja haavoittuvuuksien hallintaohjelmat
Viikot 8-10

Häiriöiden raportointi & Vastaaminen

24/7 häiriöiden havaitsemis-, reagointi- ja viranomaisilmoituskyvykkyydet

  • Tietoturvahäiriöiden havaitsemis- ja reagointikyvykkyydet
  • Varhaisvaroitukset asianomaisille viranomaisille
  • 24 tunnin, 72 tunnin ja yhden kuukauden raportointiaikataulut
  • Todisteiden säilyttäminen ja tekninen tutkinta
  • Palautumismenettelyt ja opittujen asioiden dokumentointi
Viikot 11-12

Hallinto & Henkilöstöresurssit

Yhtiön hallintokehys ja henkilöstöturvallisuustoimenpiteet

  • Kyberturvallisuuden hallintopolitiikat ja johdon vastuut
  • Säännölliset kyberturvallisuuskoulutukset ja tietoisuusohjelmat
  • Pääsynhallintapolitiikat ja etuoikeutettujen pääsyn hallinta
  • Kolmannen osapuolen riskinarviointi ja toimittajien turvallisuusvaatimukset
  • Säännölliset turvallisuusauditoinnit ja tunkeutumistestausohjelmat

8 Viikon Sprint -toteutus

Nopeutettu toteutusmenetelmä NIS2-vaatimustenmukaisuuden saavuttamiseksi nopeasti ja tehokkaasti.

Viikot 1-3: Perusta & Arviointi

Tavoitteet:

  • NIS2 laajuuden ja sovellettavuuden määrittäminen lakianalyysilla
  • Kattava kyberturvallisuuden tilan arviointi ja kypsyystason evaluointi
  • Puuteanalyysi kaikkia NIS2 teknisiä ja organisatorisia vaatimuksia vasten
  • Riskiarviointimenetelmän valinta ja uhkamaisema-analyysi
  • Hallintokehyksen suunnittelu ja johdon vastuiden kartoitus
  • Toteutussuunnitelman kehittäminen ja resurssien suunnittelu

Tuotokset:

  • NIS2 Lakisääteisen sovellettavuuden arviointiraportti
  • Kyberturvallisuuden kypsyysarviointi puuteanalyysillä
  • Riskiarviointikehys ja uhkamallinnusdokumentaatio
  • Hallintokirja (Governance Charter) rooleineen ja vastuineen
  • 12 viikon toteutussuunnitelma resurssien allokoinnilla

Viikot 4-7: Tekninen toteutus & Turvakontrollit

Tavoitteet:

  • Kriittisten turvakontrollien käyttöönotto koko infrastruktuurissa
  • Verkkoarkkitehtuurin katselmointi ja segmentoinnin toteutus
  • Identiteetin- ja pääsynhallintajärjestelmän parantaminen
  • Salauksen ja kryptografisten kontrollien toteutus
  • Varmuuskopioinnin, palautumisen ja liiketoiminnan jatkuvuuden asennus
  • Turvallisuusvalvonnan ja uhkien havaitsemiskyvykkyyksien käyttöönotto

Tuotokset:

  • Parannettu turvallisuusinfrastruktuuri dokumentoiduilla kontrolleilla
  • Verkon segmentoinnin ja mikrosegmentoinnin toteutus
  • Monivaiheisen todennuksen (MFA) käyttöönotto kaikissa järjestelmissä
  • Tietoturvatietojen ja tapahtumien hallinta (SIEM) -alusta
  • Kattavat varmuuskopiointi- ja palautusmenettelyt
  • 24/7 turvallisuusvalvonnan kojelauta ja hälytysjärjestelmä

Viikot 8-10: Häiriönhallinta & Sääntelyn noudattaminen

Tavoitteet:

  • Tietoturvaloukkauksiin reagoivan ryhmän (CSIRT) perustaminen
  • Häiriöiden havaitsemis-, luokittelu- ja vakavuusarviointimenettelyt
  • Sääntelyraportoinnin työnkulut 24h, 72h ja kuukausittaisille vaatimuksille
  • Kriisiviestintä- ja sidosryhmäilmoitusprotokollat
  • Todisteiden säilyttäminen ja digitaalisen forensiikan kyvykkyydet
  • Palautumismenettelyt ja liiketoiminnan jatkuvuuden aktivointiprotokollat

Tuotokset:

  • Täydellinen häiriönhallintasuunnitelma CSIRT-toimintaohjeineen
  • Häiriönhallinta-alusta automaattisilla raportointikyvykkyyksillä
  • Sääntelyraportoinnin mallipohjat ja ilmoitustyönkulut
  • Kriisiviestintäsuunnitelma sidosryhmien yhteystietoineen
  • Digitaalisen forensiikan työkalupakki ja todisteiden säilytyskäytännöt
  • Liiketoiminnan jatkuvuuden ja palautumisen aktivointimenettelyt

Viikot 11-12: Hallinnon viimeistely & Vaatimustenmukaisuuden validointi

Tavoitteet:

  • Kyberturvallisuuden hallintokehyksen viimeistely ja hallituksen hyväksyntä
  • Täydellisen politiikka- ja menettelytapakokonaisuuden kehitys ja hyväksyntä
  • Kattavat henkilöstökoulutukset ja kyberturvallisuustietoisuusohjelmat
  • Kolmannen osapuolen toimittaja-arviointi ja toimitusketjun turvaprotokollat
  • Vaatimustenmukaisuuden testaus, validointi ja auditointivalmius
  • Jatkuva seuranta ja parannussuunnittelu KPI-mittareiden määrityksellä

Tuotokset:

  • Hallituksen hyväksymä kyberturvallisuuden hallintokirja ja politiikat
  • Täydellinen NIS2-politiikka- ja menettelytapadokumentaatio
  • Henkilöstökoulutusohjelmat suoritusten seurannalla ja sertifioinnilla
  • Toimittaja-arviointikehys ja toimitusketjun turvallisuusvaatimukset
  • NIS2-vaatimustenmukaisuuden validointiraportti audit-valmiilla dokumentaatiolla
  • Jatkuva vaatimustenmukaisuuden seurantasuunnitelma suorituskykymittareilla

NIS2 Vaatimustenmukaisuuden Aikajana

Keskeiset virstanpylväät ja määräajat NIS2-toteutukselle ja jatkuvalle vaatimustenmukaisuudelle.

NIS2 Direktiivin voimaantulo

Valmis

16. Tammikuuta 2023

EU:n NIS2-direktiivi astui virallisesti voimaan

Kansallinen täytäntöönpanon määräaika

Valmis

17. Lokakuuta 2024

EU:n jäsenvaltiot saattoivat direktiivin osaksi kansallista lainsäädäntöä

Vaatimustenmukaisuuden määräaika

Aktiivinen

17. Lokakuuta 2024

Organisaatioiden on oltava täysin NIS2-vaatimusten mukaisia

Jatkuva vaatimustenmukaisuus

Jatkuva

Jatkuva

Säännölliset auditoinnit, häiriöraportointi ja vaatimustenmukaisuuden valvonta

NIS2 Sanktiot & Seuraamukset

Ymmärrä valvontaympäristö ja noudattamatta jättämisen mahdolliset seuraukset.

Hallinnolliset sakot

Jopa 10 miljoonaa € tai 2% vuosiliikevaihdosta

Koskee: Keskeiset ja tärkeät toimijat

Kyberturvatoimenpiteiden ja häiriöraportoinnin laiminlyönti

Johdon sanktiot

Johdon henkilökohtainen vastuu

Koskee: Ylin johto ja hallituksen jäsenet

Kyberturvallisuusvastuiden laiminlyönti

Toiminnalliset sanktiot

Palveluiden tai toimintojen keskeyttäminen

Koskee: Kriittiset palveluntarjoajat

Vakava vaatimustenmukaisuuden laiminlyönti, joka vaikuttaa palvelun saatavuuteen

NIS2 Sprint -ohjelma sisältää

Kattava NIS2-vaatimustenmukaisuuden toteutus jatkuvalla tuella ja valvonnalla.

Täydellinen NIS2-soveltuvuus- ja puuteanalyysi
Kyberturvallisuusriskien hallintakehyksen toteutus
Teknisten turvakontrollien käyttöönotto ja konfigurointi
24/7 häiriönhallinta- ja sääntelyraportointijärjestelmä
Täydellinen sääntelyvaatimustenmukaisuuden dokumentaatiopaketti
Kattavat henkilöstökoulutus- ja tietoisuusohjelmat
Jatkuvan valvonnan ja uhkien havaitsemisen asennus
12 kuukauden tuki ja ylläpito käyttöönoton jälkeen
Neljännesvuosittaiset vaatimustenmukaisuuskatsaukset ja parannussuositukset
Lakisääteisen vaatimustenmukaisuuden varmistus ja auditointituki
Vuosittainen NIS2-vaatimustenmukaisuuden arviointi ja sertifiointi
24/7 asiantuntijatuki vaatimustenmukaisuuskysymyksiin
Aloita NIS2 Sprint -ohjelma

Saavuta NIS2-vaatimustenmukaisuus vain 8 viikossa

Älä odota pakkotoimia. Aloita NIS2-vaatimustenmukaisuusmatkasi todistetulla Sprint-ohjelmamme menetelmällä.

Aloita NIS2 Sprint