Euroopan unionin NIS2-direktiivi toi uusia vaatimuksia kyberturvallisuuden hallintaan lokakuusta 2024 alkaen. DNA on kuitenkin jo askeleen edellä, kiitos vahvan turvallisuuskulttuurin ja kansainvälisen yhteistyön. Miten DNA on varautunut direktiiviin ja miten hyödyt toimenpiteistä siirtyvät asiakkaalle asti?
NIS2-direktiivi asettaa entistä tiukempia vaatimuksia kriittisen infrastruktuurin kyberturvallisuudelle ja siirtää vastuun korkeimmalle johdolle – sääntörikkomustapauksissa jopa henkilökohtaiselle tasolle asti. DNA:lla turvallisuus on ollut jo pitkään strateginen prioriteetti, jota käsitellään säännöllisesti niin johtoryhmässä kuin hallituksessakin. Yhtiö on ottanut jälleen merkittäviä askeleita varmistaakseen, että se täyttää direktiivin vaatimukset.
”Turvallisuusriskien tunnistaminen ja oikein mitoitettujen hallintatoimien suunnittelu on yksi keskeisimpiä turvallisuusjohdon tehtäviä. Yrityksen ylimmällä johdolla on oltava riittävän tarkalla tasolla tieto organisaation turvallisuusriskeistä, joiden hallintakeinot ja jäännösriskit sen on hyväksyttävä”, kertoo DNA:n turvallisuusjohtaja Seppo Pekonen.
DNA on kasvattanut turvallisuusosaamistaan kansainvälisessä toimintaympäristössä osana Telenor-konsernia.
"Telenorilla on erittäin vahva turvallisuuskulttuuri, ja DNA on adaptoitunut hyvin tähän toimintamalliin. Teemme tiivistä yhteistyötä Telenorin sisäisten turvallisuusyksiköiden kanssa", Pekonen toteaa.
Siinä missä Telenor vastaa koko konsernin turvallisuudesta, vastaa DNA:n turvallisuusyksikkö kotimaisen operaattorin turvallisuudesta paikallisten säädösten ja vaatimusten mukaisesti. Näin voidaan varmistaa, että DNA pystyy tarjoamaan asiakkailleen palveluita, jotka täyttävät sekä kansalliset että tarvittaessa myös kansainväliset vaatimukset.
Riskienhallinta ja prosessien päivitys avainasemassa
NIS2-direktiiviin mukautumisen myötä riskienhallinta on noussut entistäkin keskeisempään rooliin. DNA:lle tämä ei ole ollut uusi asia, vaan yritys on jo pitkään keskittynyt niiden hallintaan.
"Turvallisuusriskien hallinta sekä riskirekisterien ajantasaisuus ja kattavuus ovat keskeisessä roolissa osana teknisiä ja hallinnollisia toimenpiteitämme. NIS2-direktiivi korostaa tätä entisestään", Pekonen kertoo.
DNA järjestää säännöllisiä turvallisuuskoulutuksia niin tietoturvallisuuden kuin muidenkin turvallisuuden osa-alueiden osalta omalle henkilöstölleen ja kumppaneilleen. NIS2:n myötä myös turvallisuusriskien hallinta on koulutusohjelmassa.
DNA:lle myönnettiin heinäkuussa 2024 ISO 27001 -sertifikaatti, joka osoittaa yrityksen tietoturvakäytäntöjen olevan standardin vaatimalla tasolla.
"ISO 27001 tuo erittäin hyvän pohjan myös NIS2:een valmistautumiseen. Niissä on paljon yhteneväisyyksiä erityisesti kyberturvallisuuteen liittyvien hallintamallien ja kontrollien osalta", Pekonen huomauttaa.
Toimitusketjun hallinta ja viranomaisyhteistyö ovat kriittisiä
NIS2-direktiivi korostaa myös kumppanien ja koko alihankintaketjun turvallisuuden merkitystä. DNA on jo pitkään pitänyt tätä tärkeänä osana turvallisuusstrategiaansa.
"Teemme tiivistä yhteistyötä kumppaneidemme kanssa varmistaaksemme, että heidän turvallisuuskäytänteensä täyttävät DNA:n asettamat vaatimukset. Tämä tarkoittaa muun muassa auditointien ja turvallisuuteen liittyvien kontrollien järjestelmällistä arviointia”, Pekonen avaa.
Alihankintaketjun turvallisuus tulee varmistaa niin sopimuksellisesti kuin teknisesti, jotta myös ketjun loppupäässä olevat noudattavat asiakasyhtiön ja ISO-standardin sekä NIS2-direktiivin vaatimuksia.
Teleoperaattorit, kuten DNA, ovat aina tehneet tiivistä yhteistyötä viranomaisten kanssa. Traficom toimialaa valvovana viranomaisena on määritellyt teleoperaattoreille turvallisuusvaatimukset, jotka noudattavat ISO 27001 ja NIS2-direktiivin henkeä.
"NIS2 ei tuo merkittävää muutosta turvallisuuden hallintaan DNA:lla, sillä olemme jo pitkään noudattaneet ISO 27001 -standardin parhaita käytänteitä. Olemme tehneet NIS2:n osalta tarkennuksia toimintamalleihimme ja -tapoihimme varmistaaksemme direktiivin noudattamisen", Pekonen summaa.
Vahva johtotason sitoutuminen, kansainvälinen yhteistyö, riskienhallinnan painotus ja ISO 27001 -sertifikaatti luovat vankan pohjan, jolta DNA voi tarjota asiakkailleen luotettavia ja turvallisia palveluita.
Yrityksille, jotka vasta heräävät NIS2:n vaatimuksiin, Pekosella on selkeä viesti.
"ISO 27001 on varsin hyvä pohja NIS2-vaatimusten täyttämiselle. Järjestelmällinen turvallisuusriskien käsittely organisaation eri tasoilla tuo varmuutta siihen, ettei olennaisia riskejä jää tunnistamatta ja että yrityksen johdolla on aina ajantasainen tilannekuva ja oikein mitoitetut hallintakeinot."
Kyberrosvot-podcastin 9. jaksossa keskusteltiin NIS2-direktiivin vaikutuksista kyberhyökkäyksiin. Kuuntele jakso!
Tutustu DNA:n tietoturvapalveluihin!
