NIS2-kartoitus ja toimen­pide­suunnitelma

WhiteZone tarjoaa järjestelmällisen lähestymistavan NIS2-direktiivin vaatimustenmukaisuuden rakentamiseen ja osoittamiseen. Kolmivaiheisessa projektissa kartoitetaan organisaation nykytila suhteessa NIS2-direktiivin vaatimuksia vasten, luodaan toimenpidesuunnitelma organisaation tavoitteiden ja NIS2-direktiivin vaatimusten yhteensovittamiseksi sekä käynnistetään toimenpidesuunnitelman toteuttaminen. Projektin jälkeen WhiteZone voi toimia kumppanina toimenpidesuunnitelman pitkäjänteisessä toteuttamisessa.

Projektissa hyödynnetään Cyberday-työkalua NIS2-direktiivin vaatimusten täyttämiseksi. Cyberday mahdollistaa paitsi organisaation omien resurssien, myös eri sidosryhmien tehokkaan osallistumisen toimenpiteisiin, joilla NIS2-direktiivin vaatimustenmukaisuutta vahvistetaan. Lisäksi Cyberdayn avulla toimenpiteiden dokumentointi ja vaatimustenmukaisuuden osoittaminen sujuvat kätevästi.

Projektin kulku

Vaihe 1: Nykytilan kartoitus NIS2-direktiiviä vasten

Työpaja 1/2 päivää:

  • NIS2-vaatimusten läpikäynti Cyberday työkalussa
  • Nykytilan arviointi: tekninen infrastruktuuri, kyberturvallisuuden hallintaprosessit ja organisaation maturiteetti

Työpaja 1/2 päivää:

  • Syvällinen tarkastelu nykytilan vahvuuksista ja heikkouksista
  • Riskien tunnistaminen ja arviointi
  • Tarvittavien resurssien ja osaamisen tunnistaminen

Vaihe 2: Toimen­pide­suunnitelman laatiminen

Työpaja 1/2 päivää:

  • Organisaation tavoitteiden ja NIS2-vaatimusten yhteensovittaminen

Toimen­pide­suunnitelman rakentaminen, esimerkiksi:

  • Teknisten ja hallinnollisten puutteiden korjaaminen
  • Koulutus- ja tietoisuus­kampanjoiden suunnittelu
  • Tarvittavien investointien arviointi

Toimen­pide­suunnitelman esittely ja hyväksyminen ¼ päivää:

  • Selkeät tavoitteet, vastuut ja aikataulu NIS2-vaatimusten­mukaisuuden saavuttamiseksi

Vaihe 3: Toimeenpano ja seuranta

Seurantatyöpaja toimenpiteiden käynnistämisestä ¼ päivää

Haluatko lisätietoja NIS2-kartoituksesta? Jätä yhteydenottopyyntö.

Ota yhteyttä

Miten NIS2-direktiivi vaikuttaa Suomen lainsäädäntöön lokakuussa 2024?

NIS2-direktiivi edellyttää kriittisiksi luokitelluilla toimialoilla toimivilta organisaatioilta syvällisempiä ja kattavampia riskinarviointeja tietoturvan osalta. Organisaatioiden on tunnistettava ja arvioitava tietoturvariskit ja haavoittuvuudet sekä ryhdyttävä asianmukaisiin toimenpiteisiin niiden hallitsemiksi.

NIS2-direktiivi koskee myös kriittisten toimialojen toimittajaketjuja, mikä edellyttää organisaatioilta huolellisempaa toimittajien tietoturvallisuusvalmiuksien arviointia. Tämä tarkoittaa muun muassa toimittajien tietoturvakäytäntöjen tarkastelua ja toimittajien valmiuksien vastata ja reagoida mahdollisiin tietoturvahyökkäyksiin arviointia.

Ketä NIS2-direktiivi koskee?

NIS2-direktiivi vaikuttaa erityisesti toimialoihin, jotka tarjoavat kriittisiä tai olennaisia palveluita yhteiskunnalle. NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin, joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan.

NIS2-direktiivin kriittiset toimialat

  • Energia
  • Liikenne
  • Pankkitoiminta ja finanssimarkkinoiden infrastruktuuri
  • Juoma- ja jätevesi
  • Tieto- ja viestintätekniikan (TVT) palveluiden hallinta
  • Avaruus
  • Digitaalinen infrastruktuuri
  • Terveys
  • Julkishallinto

NIS2-direktiivin muut kriittiset alat

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalisektori
  • Elintarvikeala
  • Valmistava teollisuus
  • Digitaalisten palveluiden tarjoajat
  • Tutkimustoiminta

Miten NIS2-direktiivin keskeisiin vaatimuksiin vastataan?

1. Hallinnollinen tietoturva

  • Kehittämällä tietoturvan hallintamalli, joka kattaa organisaation kriittiset toiminnot.
  • Varmistamalla, että tietoturva on integroitu osaksi organisaation hallinnollisia rakenteita ja prosesseja.

2. Säännöllinen riskienhallintaprosessi

  • Luomalla säännöllinen riskienhallintaprosessi, joka toimii perustana tietoturvatyölle.
  • Arvioimalla ja päivittämällä riskienhallintaprosessia säännöllisesti vastaamaan muuttuvia uhkia ja haavoittuvuuksia.

3. Teknisen turvallisuuden taso

  • Varmistamalla riittävä teknisen turvallisuuden taso ja toteuttaa tarvittavat tekniset toimenpiteet sen varmistamiseksi.
  • Päivittämällä ja ylläpitämällä järjestelmiä vastaamaan ajankohtaisia tietoturvavaatimuksia.

4. Toimintaperiaatteet ja menettelyt

  • Määrittelemällä organisaation toimintaperiaatteet ja menettelyt tietoturvariskien hallintaa varten.
  • Arvioimalla ja päivittämällä säännöllisesti näitä toimintaperiaatteita vastaamaan muuttuvia uhkia ja tarpeita.

5. Tietojärjestelmien turvallisuus

  • Kiinnittämällä erityistä huomiota tietojärjestelmien hankintaan, kehittämiseen ja ylläpitoon liittyvään turvallisuuteen.
  • Varmistamalla, että kaikki järjestelmät täyttävät asianmukaiset tietoturvastandardit ja -vaatimukset
Asiakastarina

“Pitkäaikainen kumppanuus WhiteZonen kanssa tarkoittaa meille sitä, että pystymme luottamaan WhiteZonen osaamiseen ja tietotaitoon erityisesti tietoturvaan liittyvissä asioissa.”

Jarmo Lahtinen, käyttöpäällikkö
Oulun Vesi

LUE ASIAKASTARINA
Asiakastarina
“Parasta WhiteZonen IT-palveluissa on toteutustapa, joka jo itsessään vähentää tarvetta tukipyynnöille. Verkkojen ja muiden palveluiden toiminta on ongelmatonta.”

Matti Kinnunen, toimitusjohtaja
NQE Rakennetekniikka Oy

LUE ASIAKASTARINA