NIS2 tulee – Varmista että tietoturva on kunnossa koko toimitusketjussasi
EU-tasoinen tietoturvalainsäädäntö uudistuu kovaa vauhtia ja siksi muutoksiin kannattaa varautua nyt. Jokainen yritys on vastuussa omista toimitusketjuistaan ja niiden tietoturvasta. Asiantuntevan kumppanin avulla työ helpottuu. Telia ja Palo Alto Networks tarjoavat avuksi parasta tietoturvaosaamista niin kansallisella kuin kansainväliselläkin tasolla.
Lokakuussa 2024 astuu voimaan NIS2-kyberturvallisuusdirektiivi, jonka tavoitteena on parantaa Euroopan tietoturvallisuuden tasoa. Samaan aikaan ja pian sen jälkeen tulee useita muita kyberturvaan liittyviä säädöksiä.
Telian Senior Legal Counsel Irina Kitinprami korostaa, että muutos on merkittävä. Enää ei riitä, että yrityksen oma pesä ja riskinhallintakyky ovat kunnossa, vaan jatkossa vastuu ulottuu koko toimitusketjuun.
”Kyberturvallisuus tarkoittaa, että kyberhyökkäyshäiriön sietokyvyn ja turvallisuuskontrollien pitää olla kunnossa koko toimitusketjussa. Yrityksen on varmistettava, että myös sen alihankkijoilla on tietoturva-asiat kunnossa ja että ne noudattavat turvallisuusvaatimuksia”, Kitinprami sanoo.
Sertifioitua yhteistyötä asiakkaan parhaaksi
Toimitusketjun varmistaminen on helpointa luotettavan ja sertifioidun kumppanin kanssa. Telia ja Palo Alto Networks tarjoavat siihen yhteistä tietotaitoaan.
Johtava, globaali tietoturvatoimija Palo Alto Networks on yksi Telian pitkäaikaisimmista avainkumppaneista tietoturvan palveluiden teknologiatoimittajana.
”Palo Alto Networks täyttää Telian tiukat teknologiset ja toiminnalliset toimittajavaatimukset ja on mukana varmistamassa asiakkaiden toimitusketjua myös tiukkenevan sääntelyn näkökulmasta”, Telian Senior Business Manager Marko Koukka sanoo.
”Olemme tehneet Telian kanssa kauan ja laaja-alaisesti yhteistyötä asiakkaittemme tietoturvan eteen. Telia tuntee tarkasti Palo Alto Networksin tuotteet, mikä antaa erinomaisen pohjan asiakkaiden ongelmien ratkaisemiselle”, sanoo Palo Alto Networksin Sr. SE Manager Antti Lehtonen.
Kumppanivalinnalla on merkitystä myös tulevaisuuden kannalta.
”Tietoturvallisuuden johtamisessa on muistettava, että nykyiset ratkaisut eivät välttämättä riitä vaikkapa vuoden päästä, koska teknologia kehittyy koko ajan. Paras ratkaisu on valita kumppanit, jotka ovat teknologian kehityksen aallonharjalla ja reagoivat muutoksiin jo ennakoivasti”, Marko Koukka huomauttaa.
Liiketoiminnan turvaaminen tärkeintä
Marko Koukka, Irina Kitinprami ja Antti Lehtonen korostavat, että yritykset eivät tarvitse muutoksia tietoturvaansa NIS2:n tai muidenkaan direktiivien takia, vaan turvatakseen oman liiketoimintansa jatkossakin. Siihen NIS2 tarjoaa myös uutta asennetta: tärkeintä on katsoa kokonaisuutta.
”Tärkeää on tunnistaa riskit ja rakentaa tietoturvakontrollit niin, että riskeiltä suojaudutaan. Ja oleellista on tietää, mitä ovat oman yhtiön kriittiset toiminnot, joita pitää erityisesti suojata”, Irina Kitinprami muistuttaa.
”Tietoturva-asiat eivät sinänsä ole mitään rakettitiedettä – kun tietoturva-asiat hoitaa alusta asti hyvin osana digitaalisten palveluiden hallintaa, se auttaa tulevaisuudessakin. Tietoturvajohtaja ja tietohallintojohtaja voivat nukkua yönsä hyvin, kun toimenpiteet on tehty liiketoiminnan jatkuvuuden turvaamiseksi – eikä direktiivin määräysten täyttämiseksi”, Marko Koukka sanoo.
”Sääntely edellyttää entistä todennettavampaa, dokumentoitua tietoturvallisuuden hallintaa. Oman toiminnan ja siihen liittyvien palveluketjujen riskit on kartoitettava, jotta saadaan kokonaiskuva tilanteesta. Yrityksen on siis valvottava tilannetta ja reagoitava, jos havaitaan jotain poikkeavaa. Kun ymmärtää riskit ja pystyy reagoimaan poikkeamiin, pystyy myös palautumaan nopeammin”, Irina Kitinprami kuvailee.
Apua yhden luukun periaatteella
Telialta ja Palo Alto Networksiltä saa nopeaa tukea yrityksen toimitusketjujen kyberturvallisuuden varmistamiseen.
”Tarjoamme yhden luukun periaatteella sopimuksen, johon liitetään kaikki tarvittavat palvelut kyberturvallisuuden varmistamiseksi yrityksen koko toimitusketjussa. Asiakas tarvitsee myös havainnointi- ja reagointikyvykkyyttä, jos ketjussa havaitaan poikkeamia. Siihen Palo Alto Networks tarjoaa erinomaisia ja globaalisti testattuja tietoturvahavainnoinnin tekniikoita”, Marko Koukka kuvailee.
Antti Lehtonen korostaa, että kun mukana on osaavat kumppanit, yritys pääsee nopeasti etenemään tietoturvansa parantamisessa. Tavoitteena on helpottaa asiakkaan arkea.
”Tietoturvaprojektien ei tarvitse olla pitkiä ja raskaita, vaan tuloksia voi saada teknologiallamme hyvinkin nopeasti. Tuoteratkaisumme ovat helposti laajennettavia. Esimerkiksi palomuurin avulla voidaan turvata IOT:tä ja tehdä paljon muutakin. Ei siis tarvita monia eri laitteita, järjestelmiä ja projekteja – eikä monimutkaisuutta. Tavoitteenamme on yksinkertaistaa kokonaisuutta mahdollisimman paljon, jotta sitä on myös helpompi hallita”, Lehtonen korostaa.
Palo Alto Networksin periaatteena tietoturvan hoitamisessa on ennen kaikkea estää hyökkäykset, ei ainoastaan kerätä niistä dataa asiakkaille.
”Tietoturvatuotteidemme pitää olla aina niin hyviä ja toimivia, että pystymme niiden avulla estämään mahdollisimman monet hyökkäysyrityksistä. Lisäksi hyökkäysyrityksistä kerättävien tietojen pitää olla asiakkaille mahdollisimman automatisoidusti ja kompaktisti saatavilla ja käsiteltävissä. Tämä lyhentää kriittisissä hyökkäyksissä merkittävästi havainnointi- ja reagointiaikaa (MTTD ja MTTR)”, Antti Lehtonen sanoo.
Parasta valmistautumista tuleviin direktiiveihin on Marko Koukan mielestä oman tietoturvallisuuden hallintajärjestelmän rakentaminen tai varmistaminen.
”NIS2:n vaatimukset tulee hoidettua samalla, kun hoitaa kuntoon hallintajärjestelmänsä, jossa käsitellään IT-ympäristö, palveluketjut ja riskienhallintaperusteista tietoturvajohtamista. Perusasiat siis kuntoon!”
Esimerkkejä kyberturvaan liittyvistä tulevista EU-säännöksistä
• NIS2-direktiivin (Network and Information Security) tavoitteena on parantaa Euroopan tietoturvallisuuden tasoa. Koskee organisaatioita, joiden toiminta on kriittistä yhteiskunnalle sekä mahdollisesti niiden toimitusketjuun kuuluvia yrityksiä.
• CER-direktiivi (Critical Entities Resilience) parantaa yhteiskunnallisesti kriittisten organisaatioiden jatkuvuutta ja yleistä häiriönsietokykyä.
• Finanssialan Dora (Digital Operational Resilience Act) on samantapainen sääntely kuin NIS2, mutta koskee vain pankki- ja vakuutuspuolen yrityksiä.
• CRA (Cyber Resilience Act) koskee laite- ja ohjelmistovalmistajien tietoturvallisuutta ja häiriönsietokykyä.