In an era of increasing cyber threats, the importance of network and information security is paramount. NIS2-direktiivi (verkko- ja tietojärjestelmädirektiivi) on merkittävä askel kohti EU:n jäsenvaltioiden valmiuksien parantamista kyberturvallisuusuhkia vastaan. Monista yrityksistä NIS2:n ymmärtäminen ja noudattaminen voi kuitenkin tuntua pelottavalta tehtävältä. Onneksi on olemassa yksinkertaistettu lähestymistapa, jossa hyödynnetään seuraavia näkökohtia. ISO 27001 NIS2:n noudattamisen varmistamiseksi.

Mikä on NIS2?

NIS2-direktiivi, joka korvaa alkuperäisen verkko- ja tietoturvadirektiivin, laajennetaan tietoverkkoturvallisuusvaatimusten soveltamisalaa useammalle alalle ja otetaan käyttöön tiukempia toimenpiteitä, joilla parannetaan yksiköiden häiriönsietokykyä ja valmiuksia toimia häiriötilanteissa. Direktiivissä edellytetään, että elintärkeiden infrastruktuurien, kuten terveydenhuollon, energian, liikenteen ja digitaalisten palvelujen, ylläpitäjät varmistavat järjestelmiensä vankan tietoturvan, raportoivat vaaratilanteista ja hallitsevat riskejä tehokkaasti.

NIS2:ssa painotetaan erityisesti kriittisessä infrastruktuurissa ja keskeisissä palveluissa käytettäviin verkko- ja tietojärjestelmiin kohdistuvien riskien hallintaa. Direktiivi rakentuu keskeisten periaatteiden, kuten riskinhallinnan, vaaratilanteiden raportoinnin ja rajat ylittävän yhteistyön ympärille EU:n digitaalisen infrastruktuurin suojaamiseksi.

NIS2-direktiivi + ISO27001

NIS2-direktiivi + ISO27001

NIS2:n vaatimustenmukaisuuden yksinkertaistaminen ISO 27001 -standardin kanssa

Yksi helpoimmista tavoista valmistella yritystäsi - NIS2-yhteensopivuus on hyväksymällä ISO 27001 standardi. ISO 27001 tarjoaa järjestelmälliset puitteet arkaluonteisten yritystietojen hallinnalle ja varmistaa niiden turvallisuuden. 

Vaihtoehtoisesti voit käyttää ISO27001:n yksittäisiä osia ja järjestää NIS2:n noudattamisen.

Toteuttamalla tärkeimmät artikkelit osoitteesta ISO 27001voit vastata moniin NIS2:n kyberturvallisuusvaatimuksiin. 

Näin ISO 27001 voi auttaa:

Riskienhallinta (ISO 27001, kohta 6.1): Yksi NIS2:n keskeisistä vaatimuksista on tehokkaat riskinhallintatoimenpiteet. ISO 27001 -standardin jäsennelty riskinhallinta auttaa tunnistamaan ja lieventämään tietojärjestelmiin liittyviä riskejä.

Häiriötilanteiden torjunta (ISO 27001, liite A.16): NIS2:n mukaan organisaatioiden on raportoitava merkittävistä vaaratilanteista 24-72 tunnin kuluessa. Noudattamalla ISO 27001 -standardin vaaratilanteiden hallintaa koskevia ohjeita yritykset voivat luoda tehokkaita raportointimekanismeja, jolloin vaatimustenmukaisuus on saumatonta.

Tietoturvapolitiikat (ISO 27001, lauseke 5.1).: Sekä ISO 27001:n että NIS2:n edellyttämät hyvin dokumentoidut turvallisuuskäytännöt varmistavat, että koko henkilöstö ja sidosryhmät ymmärtävät roolinsa kyberturvallisuuden ylläpitämisessä.

Toimitusketjujen turvallisuus (ISO 27001, liite A.15): NIS2:ssa korostetaan sisäisten järjestelmien lisäksi myös ulkopuolisten toimittajien turvallisuutta. ISO 27001 opastaa organisaatioita toimitusketjun riskien hallinnassa ja varmistaa, että ulkoiset kumppanit noudattavat kyberturvallisuusstandardeja.

Liiketoiminnan jatkuvuus (ISO 27001, lauseke 17): NIS2 korostaa palvelujen ylläpitämisen tärkeyttä häiriötilanteissa. ISO 27001 -standardin mukainen liiketoiminnan jatkuvuuden suunnittelu antaa organisaatioille mahdollisuuden toipua häiriötilanteista ja jatkaa toimintaa ilman merkittäviä käyttökatkoksia.

Alla on lueteltu ISO27701-standardin pakolliset artikkelit muokkausta varten. Ota yhteyttä meihin saadaksesi lopullisen luettelon muokattavista kohdista. Tämä auttaa sinua valmistautumaan NIS2:een.

Doumentin koodi Asiakirjan nimi Pakollinen
1) Johdon tuki Hankkeen käynnistämistä koskeva päätös  
2) Hankesuunnitelma Hankesuunnitelma  
3) Alustava koulutussuunnitelma Alkuperäinen koulutussuunnitelma  
4) Ylimmän tason politiikka Tietojärjestelmien turvallisuutta koskeva politiikka KYLLÄ
5) Riskienhallintamenetelmä Riskinarviointimenetelmä KYLLÄ
6) Riskien arviointi ja hoito Riskinarviointitaulukko KYLLÄ
6) Riskien arviointi ja hoito Riskienkäsittelytaulukko KYLLÄ
6) Riskien arviointi ja hoito Jäännösriskien hyväksyminen  
6) Riskien arviointi ja hoito Riskinarviointi- ja hoitokertomus KYLLÄ
7) Riskienkäsittelysuunnitelma Riskienkäsittelysuunnitelma KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Tietoturvapolitiikka KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Tyhjiä työpöytiä ja näyttöjä koskeva käytäntö  
8) Kyberturvallisuusperiaatteet ja -menettelyt Mobiililaitteita ja etätyötä koskevat säännöt  
8) Kyberturvallisuusperiaatteet ja -menettelyt Tuo oma laite mukanasi (BYOD) -käytäntö  
8) Kyberturvallisuusperiaatteet ja -menettelyt Mobiililaitteita ja etätyötä koskevat säännöt  
8) Kyberturvallisuusperiaatteet ja -menettelyt Turvallisilla alueilla työskentelyä koskevat menettelyt  
8) Kyberturvallisuusperiaatteet ja -menettelyt Tietojen luokittelupolitiikka  
8) Kyberturvallisuusperiaatteet ja -menettelyt Omaisuudenhallintamenettely KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt IT-omaisuusrekisteri KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Tietotekniikkaosaston turvallisuusmenettelyt KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Muutoksenhallintapolitiikka  
8) Kyberturvallisuusperiaatteet ja -menettelyt Varmuuskopiointikäytäntö KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Tiedonsiirtopolitiikka KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Turvallisen viestinnän politiikka KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Hävittämis- ja hävittämispolitiikka  
8) Kyberturvallisuusperiaatteet ja -menettelyt Salauskäytäntö KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Pääsynvalvontakäytäntö KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Todennuskäytäntö KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Salasanakäytäntö  
8) Kyberturvallisuusperiaatteet ja -menettelyt Turvallinen kehityspolitiikka KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Lisäys 1 - Tietojärjestelmävaatimusten määrittely KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Henkilöstöhallinnon turvallisuuspolitiikka KYLLÄ
8) Kyberturvallisuusperiaatteet ja -menettelyt Kyberturvallisuusasiakirjojen hyväksymisilmoitus  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Liiketoiminnan vaikutusten analysointimenetelmä  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Liiketoiminnan vaikutusten analyysin kyselylomake  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Liiketoiminnan jatkuvuusstrategia  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 1 - Toimintaa koskevat toipumisaikatavoitteet  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 2 - Esimerkkejä häiriötilanteiden skenaarioista  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 3 - Toiminnan jatkuvuuden valmisteluohjelma  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 4 - Toiminnan elvytysstrategia (toiminnan nimi)  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Kriisinhallintasuunnitelma KYLLÄ
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Liiketoiminnan jatkuvuussuunnitelma KYLLÄ
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 1 - Häiriötilanteiden torjuntasuunnitelma  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta 9.11 Lisäys 2 - Luettelo toiminnan jatkuvuuden varmistuspaikoista  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta 9.12 Liite 3 - Liikennesuunnitelma  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 4 - Keskeiset yhteyshenkilöt  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 5 - Katastrofivalmiussuunnitelma KYLLÄ
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 6 - Toiminnan elvytyssuunnitelma (toimen nimi)  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Harjoitus- ja testaussuunnitelma  
9) Liiketoiminnan jatkuvuus ja kriisinhallinta Lisäys 1 - Harjoitus- ja testausraportti  
10) Toimitusketjun turvallisuus Toimittajan turvallisuuspolitiikka KYLLÄ
10) Toimitusketjun turvallisuus Turvallisuuslausekkeet toimittajille ja kumppaneille KYLLÄ
10) Toimitusketjun turvallisuus Luottamuksellisuutta koskeva lausunto KYLLÄ
11) Kyberturvallisuuden tehokkuuden arviointi Mittausmenetelmä KYLLÄ
11) Kyberturvallisuuden tehokkuuden arviointi Mittausraportti KYLLÄ
12) Tapahtumien hallinta ja raportointi Tapahtumien hallintamenettely KYLLÄ
12) Tapahtumien hallinta ja raportointi Tapahtumaloki  
12) Tapahtumien hallinta ja raportointi Tapahtuman jälkeinen arviointilomake  
12) Tapahtumien hallinta ja raportointi Palvelujen vastaanottajille tarkoitetut ilmoitukset merkittävistä vaaratilanteista KYLLÄ
12) Tapahtumien hallinta ja raportointi Merkittävien vaaratilanteiden ennakkovaroitus KYLLÄ
12) Tapahtumien hallinta ja raportointi Ilmoitus merkittävistä vaaratilanteista KYLLÄ
12) Tapahtumien hallinta ja raportointi Merkittävän vaaratilanteen väliraportti KYLLÄ
12) Tapahtumien hallinta ja raportointi Loppuraportti merkittävästä vaaratilanteesta KYLLÄ
12) Tapahtumien hallinta ja raportointi Merkittävän vaaratilanteen edistymisraportti KYLLÄ
13) Kyberturvallisuuskoulutus ja -tietoisuus Koulutus- ja tiedotussuunnitelma KYLLÄ
14) Sisäinen tarkastus Sisäisen tarkastuksen menettely KYLLÄ
14) Sisäinen tarkastus Vuotuinen sisäisen tarkastuksen ohjelma KYLLÄ
14) Sisäinen tarkastus Sisäisen tarkastuksen kertomus KYLLÄ
14) Sisäinen tarkastus Sisäisen tarkastuksen tarkistuslista KYLLÄ
15) Johdon katsaus Hallinnollisen tarkastelun menettely KYLLÄ
15) Johdon katsaus Johdon tarkastuspöytäkirja KYLLÄ
16) Korjaavat toimet Korjaavia toimia koskeva menettely KYLLÄ
16) Korjaavat toimet Lisäys 1 - Korjaustoimenpidelomake KYLLÄ

Täysi tuki NIS2- ja ISO 27001 -integraatiolle

Vaikka NIS2 tuo mukanaan uusia haasteita, ISO 27001 -standardin hyödyntäminen sen vaatimusten täyttämiseksi voi vähentää taakkaa merkittävästi. Osoitteessa Marcelinotarjoamme kattavaa tukea, jotta yrityksesi voi noudattaa seuraavia vaatimuksia NIS2. Tarjoamme asiantuntevaa opastusta ja ohjelmistoratkaisuja, jotka on räätälöity hallitsemaan teidän ISO-standardit ja tietoverkkoturvallisuutta koskevat toimet. Työkalumme yksinkertaistavat prosessia ja auttavat sinua integroimaan NIS2-periaatteet tehokkaasti päivittäisiin toimintoihisi.

Yhdessä kumppaneidemme kanssa tarjoamme:

Näytteitä ISO27001- ja valituista NIS2-asiakirjoista;

NIS2-tietoverkkoturvakoulutus ja tietoisuuden lisääminen;

- Webinaari Mikä on NIS2 ja miten varmistetaan sen noudattaminen? 

- Artikkeleita ja vinkkejä Miten järjestää DORA:n mukaista koulutusta ja tietoisuuden lisäämistä;

- Kattava DORA-opas.

Jos tarvitset NIS2-mallioppaan tai muuta sisältöä, ota meihin yhteyttä: [email protected].

Yhteystiedot:
Jurij Cvikl
Puh: +386 31 324 100
Sähköposti: [email protected]
 

Lisätietoja ja täydellinen luettelo siitä, miten ISO 27001 auttaa NIS2-vaatimusten noudattamisessa, Ota yhteyttä jo tänäänTarjoamme sinulle näytteitä ja materiaaleja ja yhdistämme sinut oikeisiin kumppaneihin.

Ota yhteyttä!

Vastaa