Euroopan unioni pyrkii luomaan säännösten avulla turvallisemman ympäristön digitaalisemmaksi muuttuvalle liiketoiminnalle. NIS2-direktiivi tuo lisää kyberturvaan liittyviä vaatimuksia ja velvollisuuksia ensisijaisesti keskisuurille ja suurille organisaatioille.
Käytännössä tämä tarkoittaa sitä, että yritysten on tunnistettava verkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvia riskejä sekä määriteltävä keinot, joiden avulla näiltä suojaudutaan. Direktiivin soveltaminen alkaa 18.10.2024.
Aiempi NIS koski kahdeksaa toimialaa, nyt mukana on jo 18 yhteiskunnan sektoria, joista uusia ovat esimerkiksi tutkimustoiminta, jätehuolto ja julkishallinto. Käytännössä NIS2 kattaa suuren osan suomalaisista yrityksistä ja julkisista organisaatioista.
Yritysten tulee itse hahmottaa, koskeeko NIS2 niitä. Lisäksi yritysten tulee ilmoittautua valvovalle viranomaiselle, joka määräytyy toimialan mukaan. Pääsääntöisesti NIS2 koskee yrityksiä, joiden liikevaihto ylittää 10 miljoonaa euroa ja joissa on yli 50 työntekijää. Kaikista kriittisimmillä toimialoilla kokorajoitusta ei kuitenkaan ole.
Tarkista Kyberturvallisuuskeskuksen Kriittiset toimialat -taulukosta kuuluuko yrityksesi keskeisiin ja tärkeisiin toimialoihin, jota NIS2-direktiivin soveltaminen koskee. Ja tutustu aiheeseen myös Kyberturvallisuuskeskuksen sivulta NIS2 - Euroopan unionin kyberturvallisuusdirektiivi.
Se ei riitä, että IT-osasto hoitaa tietoturvan teknisesti kuntoon. Yrityksellä on oltava toimintamallit kyberriskien hallintaan ja niiden käytännön toteutus tulee myös pystyä näyttämään valvovalle viranomaiselle.
Luonnollisesti myös raportoinnin vaatimukset kasvavat. Merkittävästä poikkeamasta on ilmoitettava 24 tunnin kuluessa sen havaitsemisesta. Yksityiskohtaisempi jatkoilmoitus tulee tehdä kolmen vuorokauden kuluessa ja loppuraportin tulee olla valmis kuukauden kuluessa. Traficomin sivuille tulee sähköinen asiointipalvelu näitä ilmoituksia varten.
NIS2:ssa tämä määritellään tapahtumana, joka on aiheuttanut tai voinut aiheuttaa yritykselle palvelujen vakavan toimintahäiriön tai taloudellisia tappioita. Raportointia edellyttää myös toisille osapuolille aiheutunut huomattava aineeton tai aineellinen vahinko tai sellaisen mahdollisuus.
Alkuvaiheessa näitä ilmoituksia tehdään todennäköisesti varmuuden vuoksi, sillä sanktiot ovat merkittäviä. Sanktiot ovat enimmillään 10 miljoonaa euroa tai kaksi prosenttia yrityksen liikevaihdosta sen mukaan, kumpi summa on suurempi. Tämän lisäksi yrityksen ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.
Osa suomalaisista yrityksistä on ollut aktiivisia ja hoitanut asiat ajoissa kuntoon, mutta monet yritykset tulevat heräämään asian äärelle vasta määräpäivän lähestyessä.
Jos yrityksellä ei ole ollut tietoturvan johtamisjärjestelmää, edessä tulee olemaan iso työ. Tietoturvaan liittyvien toimintojen ja käytäntöjen omaksuminen organisaatiossa vie aikaa. Tässä on kyseessä toiminto, jota pitää johtaa määrätietoisesti ja aktiivisesti.
Minkälaiseen aikatauluun NIS2:n kohdalla kannattaa sitten varautua? Esimerkiksi ISO 27001 –tietoturvastandardin käyttöönottoon kuluu aikaa vähintään 9–12 kuukautta. Se antaa vähän osviittaa myös NIS2:n aikataulun hahmottamiselle.
NIS2-direktiivin vaikutukset yrityksiin ja organisaatioihin ovat merkittäviä. Direktiivi asettaa uusia vaatimuksia ja velvoitteita, jotka voivat vaatia huomattavia resursseja ja investointeja. Tässä muutamia keskeisiä vaikutuksia:
Yritysten on kehitettävä kattavat riskienhallintasuunnitelmat ja tietoturvapolitiikat, jotka kattavat kaikki mahdolliset kyberuhat. Tämä voi sisältää esimerkiksi säännölliset turvallisuusauditoinnit, haavoittuvuustestaukset ja henkilöstön koulutuksen.
Direktiivi edellyttää, että yritykset toteuttavat teknisiä toimenpiteitä kyberuhkien torjumiseksi. Tämä voi tarkoittaa esimerkiksi palomuurien, haittaohjelmien torjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien käyttöönottoa. Lisäksi yritysten on varmistettava, että niiden järjestelmät ja ohjelmistot ovat ajan tasalla ja suojattuja.
Yritysten on luotava selkeät raportointikäytännöt turvallisuuspoikkeamien ja -uhkien varalta. Direktiivi edellyttää, että yritykset raportoivat tietoturvaloukkauksista ennalta määritellyissä määräajoissa, mikä voi vaatia nopeaa reagointia ja tehokasta tiedonhallintaa.
NIS2-direktiivi sisältää sanktioita yrityksille, jotka eivät noudata sen vaatimuksia. Tämä voi tarkoittaa esimerkiksi huomattavia taloudellisia seuraamuksia tai liiketoiminnan keskeytyksiä. Jäsenvaltioiden on myös perustettava valvontaviranomaiset, jotka varmistavat direktiivin noudattamisen ja valvovat yritysten toimintaa.
NIS2-direktiivi on merkittävä edistysaskel Euroopan unionin kyberturvallisuuspolitiikassa. Se asettaa uusia vaatimuksia ja velvoitteita yrityksille ja organisaatioille, mutta samalla se parantaa kriittisten infrastruktuurien ja palvelujen suojelua yhä monimutkaisemmissa kyberuhkien ympäristöissä.
Vaikka direktiivin noudattaminen voi vaatia huomattavia resursseja ja investointeja, sen tavoitteet ovat selkeät:
NIS2-direktiivi edustaa uutta aikakautta kyberturvallisuuden hallinnassa Euroopassa, ja sen vaikutukset tulevat olemaan kauaskantoisia.
Tutustu aiheeseen ja Marskidatan NIS2 Tietoturvakartoitukseen nettisivuiltamme Oletko valmis NIS2-direktiiviin? Tietoturvakartoituksessa Marskidatan asiantuntijat kartoittavat yrityksesi kyberturvallisuuden nykytilan ja vertaavat tätä NIS2-direktiivin velvoitteisiin. Saat tämän jälkeen esityksen tarvittavista kehitystoimenpiteistä ja dokumentointitarpeista.
Autamme mielellämme kartoittamaan tilanteenne, ota yhteyttä myynti@marskidata.fi.
Edellisessä blogissani Tietoturva päättäjän näkökulmasta, osa 1 käsittelin sitä, että tietoturvaa ei voida enää tänä päivänä sivuttaa tai toteuttaa välttämättömänä pahana, vaan yritysjohdon tulee herätä todellisuuteen. Keskisuurissa ja suurissa yrityksissä tietoturva vieritetään usein IT-osaston vastuulle. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Vastuu on aina kuitenkin johdolla ja tietoturvauhat koskevat kaiken kokoisia yrityksiä. Blogin tässä osassa mietimme, ovatko tietoturvan resurssit riittävät? Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Mikä sitten on tämän sisäisen IT-osaston tai ulkoisen kumppanin kompetenssi vastata tietoturvasta? Samaisten viimeisen kymmenen vuoden aikana olen Account Managerina toimiessani tavannut satoja yritysten IT-vastaavia, joiden kaikkien tehtävänä on yksiselitteisesti pitää yrityksen IT-ympäristö toimintakykyisenä. He vaihtavat patterit hiireesi, ottavat sähköpostin käyttöön uuteen puhelimeesi, palauttavat unohtuneet salasanasi ja niin edelleen. Päivittäinen työkuorma on yleisesti sillä tasolla, ettei osaamisen kehittämiseen esimerkiksi tietoturvan saralla jää aikaa. Vajaan 18 vuoden aikana olen törmännyt vain kahteen IT-vastaavaan, jolla on ollut voimassa oleva sertifikaatti käytössä olevan tietoturvasovelluksen asiantuntijuuteen.
Riskien minimoimiseksi tietoturva tulisi rakentaa ja kehittää asianmukaisen mallin avulla. Tässä mallissa yritysten tietoturva rakentuu yleisesti kumppaneiden sertifioitujen asiantuntijoiden osaamisen hyödyntämiseen. Tällöin kumppanin verkkoasiantuntijat asentavat uuden palomuurin ja vastaavat ohjelmiston päivittämisestä palomuuripalvelun mukaisesti, päätelaitesuojaukseen on hankittu lisenssit kumppanilta, joissa asennuksen ja käyttöönoton hoitaa päätelaitesuojausohjelmistoon sertifioitu asiantuntija. Yrityksen IT- vastaavasta tulee pääkäyttäjä, jolle kumppani toimittaa korkeintaan raportit sovellusten keräämistä tapahtumista, ellei muuta ole sovittu.
Tekniseen tietoturvaan sertifioidut asiantuntijat pitävät osaamistaan yllä jatkuvasti, mihin yritysten IT-vastaavilla ei yksinkertaisesti ole mahdollisuutta. Teknisessä tietoturvassa vuosi on pitkä aika. Ratkaisuja tulee päivittää jatkuvalla syötöllä uhkien muuttuessa kiihtyvällä vauhdilla.
Tässä päästään yrityksissä yhden ongelman ytimeen: Tietoturvaa ei saada kerralla kuntoon, projektinomaisesti. Yrityksen tulisi prosessinomaisesti kehittää tietoturvaansa jatkuvasti ja sen tulisi olla osa yrityksen kulttuuria.
Miten päättäjän sitten tulisi toimia vastuullaan olevan tietoturvan suhteen? Tietoturvan teknisiin yksityiskohtiin on turha käyttäjätason osaamisella keskittyä, sen sijaan tulisi keskittyä kysymykseen riskistä. Mitä nämä yrityksen toimintaan liittyvät riskit voisivat olla?
Yrityksen johto vastaa siitä, että yritys toimii liikeidean mukaisesti ja toimitusjohtaja vastaa toiminnan tuloksesta. Jos yhden hiiren klikkaus johtaa 2–3 päivän tuotannon pysähdykseen, menetetään noin 1 % vuotuisesta liikevaihdosta ja tuloksesta, menetettyinä työpäivinä. Mikäli yrityksen arkaluontoisia tietoja päätyy esimerkiksi mediaan, voiko tämä maineen menetys johtaa tärkeimmän asiakkaan tai kumppanin menettämiseen ja mikä vaikutus sillä on yrityksen liikevaihtoon? Muistutan vielä, että GDPR- ja NIS2-sääntöjen rikkominen voi johtaa oikeudellisiin seurauksiin.
Liiketoimintariskin kannalta yritysjohdon tulee huolehtia omanaan siitä, että hallinnollinen tietoturva on kunnossa. Hallinnollinen tietoturva kattaa politiikan, menettelytavat ja toimintatavat, joita yritys toteuttaa tietoturvan parantamiseksi. Se sisältää esimerkiksi tietoturvapolitiikan, tietoturvasuunnitelman, riskienhallinnan, palautumissuunnitelman ja käyttöoikeuksien hallinnan. Järeimmillään yritys voi standardoida tietoturvansa osaksi kaikkea toimintaa, kansainväliseen tietoturvanhallinta standardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja). Tietoturva on niin vahva, mitä sen heikoin linkki on.
Siksi onnistunut tietoturva huomioi kaikki osa-alueet:
IT ja tietoturva mielletään helposti samaksi asiaksi, mutta eivät ne sitä ole, vaan kulkevat hyvin käsi kädessä ja päällekkäin, esimerkiksi ohjelmistopäivitykset ovat osa toimivaa IT- ympäristöä käytännön tasolla ja todella merkittävä osa tietoturvaa. Yritysjohdon olisi kuitenkin hyvä käsitellä näitä kahtena eri aiheena ainakin budjetoinnissa, hyvin usein tietoturvabudjetti on osa IT-hankintoja.
Mikä tietoturvassa sitten maksaa? Tietoturva ja siihen liittyvät palvelut vaativat aina korkeimman tason asiantuntijaosaamista. Tehty työ taas ei näy loppukäyttäjälle. Ensimmäisessä blogin osassa alussa mainitsemani epäilyttävä sähköposti on merkki siitä, ettei tekniset tietoturvaratkaisut toimi optimaalisesti, toimivassa ratkaisussa loppukäyttäjä ei edes saa epäilyttävää sähköpostia Saapuneet-kansioonsa. Tämän pienen näkyvän muutoksen eteen on mahdollisesti jouduttu hankkimaan uutta tekniikkaa ja sen käyttöönottoon tehty useampi päivä töitä. Korkean teknisen tietoturvatason ratkaisuissa nähdään, mitä kaikkialla yrityksen verkossa tapahtuu reaaliaikaisesti, mahdollisiin lauenneisiin uhkiin pystytään vastaamaan minuuteissa ja valvonta tapahtuu 24/7.
Tämän kaltaisten täyden valvonnan ja reagointipalveluiden kustannus on laajuudesta huolimatta keskimäärin vähemmän kuin yhden uuden työntekijän palkkakulut kuukausitasolla ja todennäköisesti paljon vähemmän kuin vaihtoehtoinen kustannus 1 % liikevaihdosta, mikäli tuotanto pysähtyy.
Marskidatan asiantuntijat auttavat yrityksen tietoturvan parantamisessa, tietoturvan alkukartoituksesta aina hallinnon konsultointiin, jolla luomme asiakaskohtaisen tietoturvapolun kehittyvälle tietoturvaprosessille. IT-kumppanina meillä on mahdollista täydentää palveluitamme kattavilla teknisillä tietoturvaratkaisuilla, jotka täyttävät myös NIS2-vaatimukset.
Tutustu asiakastarinaan Lakan Betoni sai tietoturvan kehityssuunnitelman Health Checkin myötä. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? ja tutustu palveluihimme Tietoturva.
Ota meihin yhteyttä, me autamme sinua!
Yritysjohdon, johtoryhmän jäsenten tai yksittäisen toimitusjohtajan ymmärrys tietoturvasta tulisi olla käyttäjän tasoa ylemmällä tasolla. Käyttäjä esimerkiksi ymmärtää olla avaamatta epäilyttävän näköisen sähköpostin, ehkä, mikäli sellainen sähköpostilaatikon Saapuneet-kansioon ilmestyy. Yritysjohdon tulee hallita erittäin monimutkaista kokonaisuutta nimeltä Yrityksen tietoturva. Jos ymmärrys tietoturvasta on käyttäjän tasolla, kuinka päättäjä osaa tehdä oikeat hankintapäätökset tarvittavista tietoturvatekniikoista tai muodostaa yrityksen säännöistä ja käytänteistä tietoturvapolitiikan, jota yritys noudattaa kaikessa tekemisessään?
Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen oma IT-osasto tai IT-kumppani ei ole vastuussa tietosuojaloukkauksista tai tietomurroista. NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan valvonnan ja toteuttamisen järjestämisestä. Se myös hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.
Harmillista onkin todeta, että kokemukseni mukaan suhtautuminen NIS2-direktiiviin on vieläkin suurella osalla yrityksiä varsin välinpitämätöntä. Kysyttäessä, miten asiaan on valmistauduttu, vastaus on hyvin usein:
”Tulkintamme mukaan, se ei koske meitä.”
Vastaus on jokseenkin hämmentävä, sillä eikö tietoturvan parantaminen aiheuta toimenpiteitä, ellei se koske kyseistä yritystä suoraan lainsäädännön puitteissa?
NIS2-direktiiviin kuuluvien yrityksien vastuu toimitusketjun tietoturvasta tulee huomioida. Marskidata on esimerkiksi saanut useita yhteydenottoja koskien asiakkaidemme kumppanien lähettämiä selvityspyyntöjä koskien asiakkaidemme tietoturvaa. Lähettäjien joukossa on esimerkiksi suuria vähittäiskauppaketjuja, kuntahankinta yhteenliittymiä tai suuria metsä- ja metallialan yrityksiä. Kyselyt pohjautuvat usein kansainväliseen tietoturvanhallintastandardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja) tai Yhdysvaltain standardisointi- ja teknologiainstituutin (NIST) standardeihin. On pääteltävissä, että kaikki kyseisten tahojen kumppanit saavat samaisen kyselyn täytettäväksi, sillä vastaanottajaorganisaatioiden koot voivat vaihdella muutamasta hengestä satoihin työntekijöihin.
Mitä tapahtuu, mikäli yritys ei täytä kyselyn mukaista ”tietoturvatasoa”?
Esimerkiksi yhdessä tapauksessa 25 kohdan kyselyssä viisi kohtaa oli asetettu pakolliseksi ehdoksi edetä tarjouskilpailuun ja näiden kohtien toteutuminen tulee pystyä näyttämään toteen. Tietoturva tai sen asianmukainen hallinta muodostavat näin ollen liiketoimintariskin yrityksen toiminnalle. Standardisoitu ja jatkuvan kehityksen prosessissa oleva yrityksen tietoturva toimii varmasti yrityksen kilpailuetuna.
Viimeisen kymmenen vuoden aikana moni yritys on pohtinut vaikutustaan ympäristöön ja omaa vastuullisuuttaan. Tämä on johtanut valtaisaan aaltoon standardoida yrityksen toiminta ympäristöjohtamisen standardin ISO 14001 täyttäväksi (ISO 14000 Ympäristöjohtamisen standardisarja). Tämä on johtunut osittain julkisesta sekä sisäisestä paineesta vihreän siirtymän aikakaudella. Vastaavaa ei ole tapahtunut yrityksissä tietoturvan puolella, vaikka kuukausittain saamme lukea mediasta hakkeroiduista yrityksistä tai yhteisöistä. Kansalaisia kehotetaan varovuuteen tiettyjen tahojen viestejä avatessa, koska hakkereiden on kerrottu ottaneen yrityksen viestinnän haltuun. Tapauksia on jatkuvasti enemmän, ne ovat yhä suurempia ja kohdistuvat yhä lähemmäksi suomalaisia yrityksiä ja yhteisöjä.
Mikäli päättäjien päässä ajatus on edelleen tasolla, ”olemme pärjänneet näillä ratkaisuilla kymmenen vuotta” tai ”miksi kukaan nyt meidät haluaisi hakkeroida”, on vain ajan kysymys koska näin tapahtuu omalle kohdalle.
Ottaen huomioon NIS2-direktiivissä mainitut vastuut, Account Managerina olen kohdannut viimeisen kymmenen vuoden aikana vain kourallisen päättäjiä, jotka ovat osoittaneet mielenkiintoa oman yrityksensä tietoturvaan. Keskisuurissa ja suurissa yrityksissä päättäjät yleisesti kertovat yrityksen tietoturvan olevan IT-osaston vastuulla. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille todennäköisesti helpompana kohteena tai reittinä ison kumppanin järjestelmiin. Yksinkertaisena ohjeena päättäjän tulisi kysyä omalta IT-osastolta tai kumppanilta:
”Onko meillä tietoa tai näkymää siitä, mitä meidän verkossamme tapahtuu tai on tapahtunut?”
Mikäli vastaus on ei tai osittain, yritys ei voi NIS2-direktiivin mukaisesti ilmoittaa tietoturvapoikkeamasta, se ei tällöin myöskään täytä direktiivin vaatimuksia ja tärkeimpänä, yritys ei voi tehdä korjausliikkeitä ehkäistäkseen saman asian toistumista uudestaan. Miten asia voidaan korjata, mikäli ei tiedä mikä on rikki?
Vielä ei ole myöhäistä pistää asioita kuntoon, mutta se on ensin aloitettava omasta asenteesta ja asennoitumisesta yrityksen tietoturvaa kohtaa.
Vastuu on sinulla, Päättäjä! Marskidata auttaa.
Marskidata IT-kumppanina auttaa sinua, jotta voit olla varma yrityksesi asianmukaisesta tietoturvan tasosta. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? Tutustu palveluihimme Tietoturva ja IT-palvelut yrityksille. Seuraavassa blogin osassa tulen pohtimaan sitä, ovatko yrityksen tietoturvaresurssit riittävät. Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Marskidatan asiakkaisiin kuuluu laaja-alaisesti erilaisia yrityksiä, joita yhdistää ainakin yksi asia. Arvaatko mikä? Näiden yritysten työtavat ja tarpeet kehittyvät hurjalla vauhdilla ja samalla mekin. Panostamme henkilöstöömme ja asiantuntijuuteen alallamme. Digitaalisuuden myötä ihan kaikkeen tarvitaan koneita, tietoturvaa ja hyvä kumppani ratkomaan IT-ongelmia, kun sellaisia ilmenee. Ja mielellään sellainen, jonka kanssa on vaivatonta ja helppoa asioida. Palvelumme koostuvat kolmesta eri osa-alueesta, jotka ovat IT- kumppanina toimiminen, tulostusratkaisut ja erilaiset modernin työn ratkaisut. Olemme kokonaisvaltainen palvelutarjoaja kaikkiin yrityksesi IT-ratkaisuihin ja meidän missionamme on valjastaa teknologiset ratkaisut tukemaan jokaisen inhimillisiä vahvuuksia.
IT-kumppanina tuotamme erilaisia ratkaisuja ja palveluita helpottamaan työntekijöiden arkea. Näitä palveluita ovat muun muassa Marskidatan Service Desk ja muut IT-tukipalvelut. Marski DMA -palvelu huolehtii tärkeimmät työvälineesi käyttövalmiina ja virusturvattuina – älypuhelimet, tabletit, pöytäkoneet ja läppärit maailman suosituimmilta valmistajilta. Emme pelkästään toimita laitteita, vaan huolehdimme myös niiden käyttöönotosta, hallinnasta, asennuksesta ja päivityksistä.
Teemme erilaisia tietoturvakartoituksia ja -testejä, joiden tarkoituksena on tuoda esiin puutteita, jotta ne voidaan ratkaista ennen niiden ilmenemistä ikävillä tavoilla, mutta myös opastamme ja koulutamme työntekijöitänne, jotta inhimilliset erehdykset minimoidaan. Oikeaoppinen suojautuminen laitteissa ja Microsoft 365 -ohjelmissa on tärkeää olla kunnossa, mutta työntekijöiden osaaminen korostuu yhä enemmän. Tietoturvapalvelumme ovat kysyttyjä nyt, kun kyberturvallisuus puhuttaa laajasti. Tutustu nettisivuilta palveluihimme IT-kumppani - Marskidata ja Lakan Betonin kokemuksiin Microsoft 365 Health Checkistä: Lakan Betoni sai tietoturvan kehityssuunnitelman Health Checkin myötä - Marskidata Palvelutarjontamme on laaja ja Marskidatan asiantuntijat auttavat ITC-ratkaisujen kokonaisvaltaisessa kehittämisessä aina ympäristösi ja tilanteesi huomioiden.
Kyberturvallisuuden saralla NIS2-direktiivi ("The Directive on Security of Network and Information Systems", suomeksi verkko- ja tietoturvadirektiivi) on ajankohtainen kaikilla kriittisillä toimialoilla. Sen soveltaminen alkaa Suomessa virallisesti 18.10.2024. Olemme halunneet tuoda NIS2 -direktiiviin koskevia asioita selkeään ja ymmärrettävään muotoon ja mikäli aihe kiinnostaa sinua tutustu sivuumme: Oletko valmis NIS2-direktiiviin? - Marskidata. Mikäli direktiivi koskettaa yritystäsi, voimme kartoittaa kyberturvallisuuden nykytilan ja autamme sinua. Ota yhteyttä rohkeasti myyntiimme: myynti@marskidata.fi.
Toteutamme myös SharePoint-projekteja, joiden paras anti on yhtenäinen näkymä työntekijän kannalta tärkeiden tietojen löytämiseen ja käyttöön. Näkymä, missä voidaan opastaa ja tiedottaa sisäisesti tärkeistä asioista ja jakaa tietoa kaikille yritysten työntekijöille. SharePoint-dokumenttien hallinnassa selviä hyötyjä ovat muun muassa:
Automaatioiden avulla tehostetaan prosesseja korvaamalla manuaalisia työsuoritteita automaation avulla. Esimerkiksi paperinen lomake korvataan Forms-lomakkeella, automaatio siirtää tiedot lomakkeelta haluttuun paikkaan käsiteltävään muotoon ja lähettää ilmoituksen käsittelijöille. Automaatiot ovat ihan loisto juttu, mikä säästää työaikaa ja vaivaa!
Tutustu nettisivuilta palveluihimme Moderni työ - Marskidata ja Xamkin matkaan kohti entistä sujuvampia työpäiviä: Xamk – kohti entistä sujuvampia työpäiviä - Marskidata.
Suurimmalla osalla suomalaisista yrityksistä on käytössä Microsoft 365. Kuitenkin monessa yrityksessä on se tilanne, että Microsoftin lisenssejä ei käytetä kaikessa laajuudessaan. Toki Teams, Outlook, Word ja Excel ovat päivittäisessä käytössä, mutta oletko sinä käyttänyt esimerkiksi Microsoft Planneria tai Microsoft Formsia? Näiden avulla muun muassa tehostat omien tehtävien hallintaa, jaat tehtäviä helposti tiimisi kesken ja teet näppäriä kyselyitä.
Käytössä olevien Microsoft-ohjelmien käyttöä kannattaa tarkastella. Monet yritykset ovat tehostaneet toimintaansa pelkän Teamsin rakenteen uudelleen suunnittelulla. Teams on erityisesti etätyön kautta monelle tuttu työkalu, yrityksissä on saatettu ottaa käyttöön se jo vuosia sitten. Sen jälkeen sinne on ilmestynyt lukematon määrä tiimejä ja kanavia, ja kukaan ei tiedä mihin tiimiin/kanavaan asiasta pitäisi kirjoittaa. Jossain vaiheessa on hyvä istua alas ja käydä nykyinen rakenne läpi ja suunnitella uusi, joka tukee yrityksen nykyistä toimintaa.
Kun puhutaan työn tehostamisesta ja modernista työstä, voidaan todeta, että suomenkielinen Copilot on jo julkaistu vappuna 2024 ja tämä tuo aivan uutta draivia työntekoon. Jos aihe kiinnostaa sinua enemmän, tutustu kollegani Emmin blogeihin Copilot Microsoft 365 – kuinka ottaa tekoäly tehokkaasti käyttöön, osa 1 - Marskidata ja Copilot Microsoft 365 – kuinka ottaa tekoäly tehokkaasti käyttöön, osa 2 - Marskidata.
Tulostusratkaisuissamme korostuu erityisesti kustannustehokkuus ja vaivattomuus asiakkaalle, kun sinulle tärkeintä on, että homma toimii, eikä sinun tarvitse kantaa huolta siitä toimiiko laite vai ei. Marskidatalta saat täydellisen ylläpidon rajattomalla käytöllä, etävalvonnalla ja niin, että me huolehdimme varaosista, väriaineista sekä huoltotöistä. Sinulle jää tehtäväksi vain antaa tulostimen rokata, kun työ sitä vaatii!
Tutustu nettisivuilta palveluihimme Tulostusratkaisut - Marskidata ja Kiinteistömaailma Savonlinnan kokemuksiin.
Marskidata on suomalainen, 40-vuotias perheyritys. Meidän mielestämme hyvän tyypin tekee hyvä työyhteisö ja mielenkiintoiset työtehtävät. Meillä panostetaan työntekijöihin, tuetaan kouluttautumista ja panostetaan viihtyvyyteen. Meillä on motivoitunut asiantuntijajoukko, jolla on kova draivi päällä! Haluamme kertoa asiakkaillemme alan tuoreimmista uutisista ja toimia luotettavana IT-kumppanina asiakkaidemme rinnalla. Haluamme, että meidän kanssamme on vaivatonta ja helppoa asioida. Kotimaisena yrityksenä tavoitat meidän aina puhelimitse automaattisten vastaajien sijaan. Meillä toimitaan neljän keskeisen arvot mukaan: avoimuus, arvostus, laadukkuus ja luotettavuus. Tutustu lisää toimintatapoihimme Marski -Tapa toimia -ohjeemme myötä.
Meidän asiakkaamme ovat supermukavia – voisitko kuvitella itsesi mukaan joukkoon?
Marskidatan asiakkaita ovat:
Meille jokainen asiakas on tärkeä. Ota yhteyttä myynti@marskidata.fi, niin pidetään huolta teidänkin työntekonne draivista!
Moni on kuullut viime aikoina yhä enenevissä määrin puhuttavan NIS2-direktiivistä, joka astui alun perin voimaan 14.12.2022. NIS2-direktiivi on Euroopan unionin uusi kyberturvallisuusdirektiivi, joka koskee kaikkia kriittisten toimialojen toimijoita, jotka työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan euron liikevaihto. Yli 250 henkilön organisaatiot kuuluvat automaattisesti NIS2:n soveltamisalaan. Käytännössä NIS2-direktiivi ulottuu myös pienempiin yrityksiin, jos ne toimivat alihankintaketjussa NIS2:en kuuluvien yritysten kanssa. EU-maiden on saatettava NIS2-direktiivi osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja 18.10.2024 alkaa virallisesti NIS2-direktiivin soveltaminen jäsenmaissa.
NIS2 lyhenne tulee sanoista "The Directive on Security of Network and Information Systems".
NIS2:n tarkoituksena on vastata nykypäivän muuttuneeseen kybertoimintaympäristöön ja parantaa vaadittavilla toimilla koko EU:n turvallisuudentasoa. Samalla NIS2 korvaa aiemman NIS1-direktiivin laajentaen huomattavasti sen vaatimuksia ja soveltamisalaa. NIS1-direktiivi jäi valitettavasti uutisoinnissa (2016) GDPR-tietosuoja-asetuksen jalkoihin, koska ihmisiä kiinnosti selvästi enemmän, mitä tietoja heistä yksilöinä kerätään ja miten näitä tietoja käytetään. Lisäksi kyberturvahaasteet olivat vielä tuolloin moninkertaisesti nykyhetkeä pienemmät.
NIS2:n yksi tavoite on muun muassa selkiyttää ja resursoida entistä paremmin yritysten tietoturvastrategioita, ja tätä kautta direktiivi onkin enemmän mahdollisuus kuin uhka myös yrityksille itselleen.
Direktiivi koskee valtion toiminnan kannalta kriittisillä toimialoilla toimivia vähintään keskisuuria organisaatioita. Kriittiset toimialat on jaoteltu kahteen erilliseen ryhmään seuraavasti:
Erittäin kriittiset toimialat:
Kriittiset toimialat:
Koska NIS2-direktiivi velvoittaa entistä enemmän suoraan yritysjohtoa, on tavoitteissa mahdollistaa tätä kautta enemmän resursseja toteuttamaan velvoitteita.
NIS2-velvoitteet edellyttävät selkeiden roolien ja vastuiden määrittelyä kyberturvallisuuteen liittyen. Yrityksen ylin hallintoelin on pidettävä ajan tasalla tietoturvaan liittyvästä suorituskyvystä, tärkeistä kehitysaskeleista ja muutoksista organisaation kyberturvallisuusympäristössä. Tehokas hallinto voi esimerkiksi edellyttää riippumattomien arviointien tai kyberturvallisuustasoon liittyvien auditointien tilaamista.
Toisin kuin NIS1:ssa, NIS2:ssa yritysten hallintoelimet ovat henkilökohtaisesti vastuussa organisaation kyberturvallisuuden mahdollisista rikkomuksista. Tästä käytetään termiä ”management bodies”. Suomessa tämä tulee todennäköisesti tarkoittamaan yrityksen johtajia tai hallitusta, perustuen siihen, miten ja millä sanoilla se meillä kirjataan direktiiviin. Näin pyritään varmistamaan NIS2-direktiivin velvoitteiden noudattaminen. Tietyissä tilanteissa ”management bodies” -henkilöt voidaan väliaikaisesti kieltää hoitamasta johtotehtäviään.
Sanktiot velvoitteiden laiminlyönnistä voivat olla kriittisillä toimijoilla jopa 10 miljoonaa euroa tai 2 % toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi. Kriittisellä toimijalla samat sanktiot ovat 7 miljoonaa euroa tai 1,4 % liikevaihdosta. Kansallisesti maksimisanktio voidaan säätää myös tätä suuremmaksi.
Kuten jo blogissa sivuttiinkin, NIS2-direktiivi sisältää useita velvoitteita ja teknisiä vaatimuksia. Lisäksi se vaatii asiaan perehtymistä niin teknisiltä henkilöiltä, kuin yritysjohdoltakin. Moniulotteisuutensa vuoksi NIS2:en haltuunotto saattaa olla haastavaa, esimerkkinä tekniset toimenpiteet, kuten haavoittuvuuksien hallinta ja kyberhyökkäyksien havaitseminen ajoissa. Nämä konkreettiset toimenpiteet kuitenkin palvelevat parhaiten NIS2:en vaatimuksia ja yritystä itseään tulevaisuudessa.
Suosittelemmekin aloittamaan riskienhallintalain vaikutusten selvittämisen ja tarvittavien toimenpiteiden toteuttamisen mahdollisimman nopeasti. Kevään tehtäviä voisi olla esimerkiksi nimetä roolit, aloittaa ympäristön nykytilan kartoitus sekä -peilaus direktiiviä vasten. Kesälle ja alkusyksylle jäisi tehtäväksi muun muassa puuttuvat hallintatoimenpiteet (hallinnolliset sekä tekniset), koulutukset ja raportointi. Katso kuvasta kuinka NIS2 kannattaa ottaa järjestelmällisesti haltuun.
Me Marskidatalla autamme mielellämme organisaatiotasi matkalla NIS2-direktiivin vaatimusten noudattamiseen. Autamme halutessanne selvittämään, kuuluuko organisaationne uuden sääntelyn soveltamisalaan, suunnittelemme tarvittaessa organisaatiollenne tietoturvapolun toimenpiteiden vaatimusten täyttämiseksi, tarjoamme yhdessä yhteistyökumppanimme kanssa tehokkaan työvälineen tietoturvan dokumentointiin ja -raportointiin, sekä annamme teidän liiketoiminnallenne lisäarvoa laajan tieto- ja kyberturvaosaamisen, sekä käytännön esimerkkien myötä. Ota yhteyttä niin aloitetaan!
Lähiviikkoina julkaisemme blogin, jossa kerromme aiheesta lisää. Olethan yhteydessä, mikäli tarvitset asiantuntemustamme. Alkutoimenpiteiden aika on viimeistään NYT.
