Mitä NIS2-direktiivissä esitetyt kyberhygieniakäytännöt ovat?

Traficom on laatinut suositusluonnoksen NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä. Suositusluonnoksessa esitetään myös perustason tietoturvakäytännöt. Ehdotetut tietoturvakäytännöt on laadittu siten, että soveltuvat laajasti myös sellaisille toimijoille, jotka eivät kuulu NIS-sääntelyn soveltamisalaan. Perustason tietoturvakäytäntöjen avulla organisaatio voi huolehtia siitä, että tavanomaiset kybertapahtumat ovat hallittavissa. Suositusluonnoksen valmistelun tukena on käytetty yleisesti ja laajasti käytössä olevia suosituksia ja uhka-analyysejä. 

Tietoturvakäytännöt sisältävät sekä hallinnollisia että teknisiä toimenpiteitä

Ehdotettuihin käytäntöihin on esitetty perustason teknisiä ja muita toimenpiteitä järjestelmien, ohjelmien ja palveluiden turvallisuuden varmistamiseksi. 

Suositusluonnoksessa esitetyt perustason tietoturvakäytännöt ovat:

1. Toimija on ohjeistanut perustason tietoturvakäytännöt henkilöstölle, alihankkijoille ja muille kumppaneille,
2. Toimija on tunnistanut kriittisimmän omaisuutensa,
3. Toimija on suojannut viestintäverkkonsa ja tietojärjestelmänsä,
4. Toimija on erottanut kriittiset ja haavoittuvat viestintäverkot ja tietojärjestelmät muista ympäristöistä,
5. Toimija on suojannut viestintäverkkonsa ja tietojärjestelmänsä haitallisia ja luvattomia ohjelmistoja vastaan,
6. Toimija on järjestänyt tunnistautumisen sisäisiin ja ulkoisiin palveluihinsa ja laitteisiinsa turvallisesti,
7. Toimija on erottanut järjestelmiensä pääkäyttäjätunnukset ja korotettujen oikeuksien tunnukset muista tunnuksista,
8. Toimija on varmistanut, että sen luottamuksellista tietoa käsitellään turvallisesti,
9. Toimija on huolehtinut, että sen järjestelmiä päivitetään säännöllisesti ja kriittiset päivitykset asennetaan viivytyksettä,
10. Toimija on huolehtinut, että sen palvelut ja laitteet on turvallisesti konfiguroitu,
11. Toimija on huolehtinut, että sen kriittiset palvelut ja tieto-omaisuus on varmuuskopioitu,
12. Toimija on varautunut, miten sen toiminta voidaan ylläpitää vakavissa poikkeamissa ja
13. Toimijalla on käytössään kriittisten toimintojen tapahtumakirjaus.

Täydennä perustason tietoturvakäytäntöjä riskiarvion perusteella

Perustason tietoturvakäytäntöjä on esitetty yhtenä toimenpidekokonaisuutena kyberturvallisuuden riskienhallintaan toiminnan turvallisuuden sekä tietoliikenne-, laitteisto-, ohjelmisto- ja tietoaineistoturvallisuuden varmistamiseksi. NIS2-soveltamisalaan kuuluvan organisaation tulisi toteuttaa tarpeelliset perustason toimenpiteet ja varmistaa että organisaatio ja sen yhteistyökumppanit noudattavat niitä. Toimenpiteiden taso tulisi mitoittaa riittäväksi toimintojen kriittisyyteen perustuen. 

NIS2-sääntelyn soveltamisalaan kuuluu paljon erilaisia organisaatioita, minkä vuoksi toimenpiteisiin on pyritty keräämään vain keskeiset toimet kyberturvallisuuden varmistamiseksi. Ehdotetut käytännöt sopivat erityisen hyvin pienemmille toimijoille ja sellaisille, joiden toiminta on vähemmän riippuvainen viestintäverkoista ja tietojärjestelmistä. Muita hyviä perustason tietoturvakäytäntöjä voisivat olla esimerkiksi järjestelmien turvallisuustestaaminen säännöllisesti ja toimitusketjujen kyberturvallisuusriskin arviointi. 

Kybermittarista apua tietoturvatoimenpiteiden toteuttamiseen

Suositusluonnos sisältää viittaukset myös Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tarjoamaan Kybermittariin, joka on mittaristo kyberturvallisuuden kypsyystason toistuvaan arviointiin, kehittämiseen ja raportointiin. Kybermittari voi toimia työkaluna perustason tietoturvakäytäntöjen toteuttamisessa organisaatioissa. 

Kybermittari on myös täysin muokattavissa organisaation omiin tarpeisiin. Siinä voidaan huomioida esimerkiksi toimialakohtaiset erityispiirteet ja uhkaprofiili, jotka vaikuttavat tarvittaviin kyvykkyyksiin suojautua kyberuhilta ja turvata toiminnan jatkuvuus.