Riskienhallinta
Teksti: Jyri Paasonen ja Lassi Väisänen

Standardien hyödyntämisestä kyberturvallisuuden riskienhallinnassa

Euroopan unionille standardit ovat tärkeä osa säädösten toimeenpanoa eri valtioissa, sillä standardit toimivat säädösten ”täsmentäjinä”. Monesti säädöksiin kirjataan esimerkiksi tuotteiden osalta vain olennaiset vaatimukset. 

Euroopan unionille standardit ovat tärkeä osa säädösten toimeenpanoa eri valtioissa, sillä standardit toimivat säädösten ”täsmentäjinä”. Monesti säädöksiin kirjataan esimerkiksi tuotteiden osalta vain olennaiset vaatimukset. 

Säädöksiin ei yleensä voida kirjata esimerkiksi kaikkia vaatimuksia tarkasti, koska säädökset koskevat usein hyvin laajasti erilaisia tuotteita tai toimintaa ja sääntelyyn pitää toisaalta jättää myös väljyyttä asioiden moninaisuudelle ja muuttumiselle tässä alati muuttuvassa maailmassa. Säädöksiä täydentämään EU pyytääkin usein standardointijärjestöjä laatimaan yksityiskohtaisia standardeja ja toimii läheisessä yhteistyössä eurooppalaisten standardointijärjestöjen kanssa.

Standardien roolista

Standardit eivät ole säädöksiä täydentävästä luonteestaan huolimatta velvoittavia, vaan vapaaehtoisia. Jos tuote tai toiminta poikkeaa standardista, valmistajan tai toiminnasta vastuussa olevan on pystyttävä muulla tavoin osoittamaan, että se täyttää säädöksissä esitetyt olennaiset vaatimukset. 

Usein koetaan kuitenkin helpommaksi ja hyödyllisemmäksi käyttää standardeja, koska tuotteiden tai toiminnan katsotaan täyttävän säädösten vaatimukset, kun ne on tehty säädöksissä viitattujen standardien mukaan. 

Standardien merkitystä voidaan havainnollistaa muun muassa siten, että jotta digitaalinen elämämme voi toimia niin kuin sen on tarkoitettu toimivan, tulee yhteiskunnassa olla luottamus IT-tuotteiden ja -palveluiden kyberturvallisuuteen. Tässä auttaa se, että esimerkiksi organisaatio on sertifioitu kyberturvallisuusstandardien mukaisesti.

Standardien merkitys säädösten toimeenpanossa on huomioitu suoraan eri säädöksissä. Esimerkiksi NIS2-direktiivin 25 artiklassa on säädetty, että jäsenvaltioiden on 21 artiklan 1 ja 2 kohdan yhdenmukaisen täytäntöönpanon edistämiseksi kannustettava käyttämään verkko- ja tietojärjestelmien turvallisuuden kannalta merkityksellisiä eurooppalaisia ja kansainvälisiä standardeja ja teknisiä eritelmiä ilman, että ne määräävät käyttämään jotain tiettyä teknologiaa tai harjoittavat syrjintää jonkin tietyn teknologian käytön suosimiseksi. 

Esimerkkinä NIS2 ja DORA-direktiivit

NIS2-direktiivi liittyy läheisesti CER-direktiiviin ja finanssialan digitaalista häiriönsietokykyä koskevaan DORA-asetukseen (Digital Operational Resilience Act). DORA tuli voimaan tammikuussa 2023, ja sitä sovelletaan 17.1.2025 alkaen. 

DORA:n tavoitteena on vahvistaa rahoituslaitosten, kuten pankkien ja vakuutusyhtiöiden, tietoturvaa ja varmistaa, että Euroopan rahoitusala pystyy pysymään joustavana vakavien toimintahäiriöiden sattuessa. Rahoitusala onkin yhä riippuvaisempi teknologiasta ja teknologiayrityksistä rahoituspalvelujen tarjoamisessa, mikä altistaa rahoituslaitokset kyberhyökkäyksille.

Vaikka DORA koskeekin pääasiassa rahoitusalan toimijoita, tulee kuitenkin muistaa, että jos tieto- ja viestintäteknisiä riskejä ei hallita asianmukaisesti, voivat ne johtaa rajat ylittävien rahoituspalvelujen häiriöihin, mikä voi vaikuttaa myös muihin yrityksiin ja toimialoihin.

Tällä hetkellä valmisteilla olevaan NIS2-direktiiviin liittyvään kansalliseen kyberturvallisuuden riskienhallinnasta annettavan lain soveltamisalaan ei ehdoteta sisällytettävän finanssialan toimijoita, mitä Finanssiala ry pitää johdonmukaisena, koska DORA on NIS2-direktiiviin nähden erityislainsäädäntöä. Lisäksi se asettaa finanssialan toimijoille NIS2-direktiivin velvoitteita pidemmälle meneviä velvoitteita kyberuhkiin varautumiseksi.

Kyberturvallisuuden riskienhallinta

NIS2-direktiivin perusteella toimijoilla, joita se koskee, tulee olla ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen, tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta. 

Direktiivin 21 artiklan mukaan toimijoiden tulee toteuttaa asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.

Direktiivin 21 artiklassa on myös todettu, että kun otetaan huomioon tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, tulee verkko- ja tietojärjestelmien turvallisuuden tason olla oikeassa suhteessa riskeihin. Oikeasuhtaisuutta arvioitaessa on otettava huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys sekä niiden vakavuus. 

Kyberturvallisuuden riskienhallinnan toimintamallin tulee direktiivin 21 artiklan mukaan pitää sisällään vähintään seuraavat kymmenen asiaa: 

  1. riskianalyysejä ja tietojäjestelmien turvallisuutta koskevat politiikat
  2. poikkeamien käsittely
  3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  5. verkko- ja tietojärjestemien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Toimijoilla tulee myös olemaan ilmoitus­velvollisuus merkittävistä poikkeamista direktiivin 23 artiklan mukaan. Merkittävällä poikkeamalla tarkoitetaan direktiivissä poikkeamaa, joka on aiheuttanut tai voi aiheuttaa palvelujen vakavan toimintahäiriön tai asianomaiselle toimijalle taloudellista tappiota taikka poikkeama on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Toimijan on ilmoitettava viipymättä sen palveluun kohdistuvasta merkittävästä poikkeamasta valvovalle viranomaiselle. Tämä tarkoittaa sitä, että toimijan on toimitettava ennakko­varoitus valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta ja poikkeamailmoitus 72 tunnin kuluessa poikkeaman havaitsemisesta. Poikkeamatilanteen päätyttyä valvovalle viranomaiselle on vielä toimitettava loppuraportti.

Toimijan on myös tarvittaessa ilmoitettava ilman aiheetonta viivytystä palvelujensa vastaanottajille merkittävästä poikkeamasta, joka todennäköisesti vaikuttaa haitallisesti kyseisten palvelujen tarjoamiseen.

Kyberturvallisuuskeskuksessa on valmisteilla suositus valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteiksi. Suositus julkaistaan lainsäädännön hyväksymisen jälkeen.   


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 3/2024.

Tilaa lehti! 


 

Pysy ajan tasalla turvallisuudesta ja riskienhallinnasta.

Tilaa uutiskirje