Johdolla on vastuu suojata organisaation digitaalista toimintaympäristöä

Eduskunnassa on hyväksyttävänä uusi kyberturvallisuuslaki, joka tuo merkittäviä muutoksia suurempien organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa lain piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita, vastuuta koko toimitusketjusta ja yhteistyötä viranomaisten kanssa.

Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuudesta. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys ja osaaminen kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

• Kyberturvallisuuden priorisointi: Sen on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
• Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
• Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja -järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelmat.
• Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
• Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, kuinka turvata organisaation käsittelemää luottamuksellista tietoa.
• Raportointivelvoitteet: Merkittävistä kyberuhista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös asiakkaille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
• Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
• Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tulee olemaan huomattavasti enemmän kuin GDPR:n osalta.
• Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Kyberturvallisuuslaki koskee lähtökohtaisesti yhteiskunnan toiminnan kannalta kriittisten toimialojen organisaatioita, joissa on yli 50 työntekijää. Näitä organisaatioita arvioidaan olevan Suomessa noin 5000. Koska kyseiset toimijat ovat vastuussa myös toimitusketjustaan, tulevat lainsäädännön velvoitteet sopimusvaatimusten kautta käytännössä koskemaan moninkertaista joukkoa yrityksiä. Jokaisen suuremmille yrityksille tai esimerkiksi hyvinvointialueille jollain tavoin tiedonhallintaan liittyviä palveluita, kuten tietojärjestelmiä tai IT-palveluita, tarjoavien yritysten onkin syytä varautua lainsäädännön vaatimuksiin.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Kuinka kyberturvallisuuslain voimaantuloon tulisi valmistautua?

Viimeisimmän lakiluonnoksen mukaan lain voimaan tullessa sen piiriin kuuluvilla toimijoilla on kuukausi aikaa ilmoittautua valvovalle viranomaiselle. Riskienhallintajärjestelmä taas tulee olla laadittuna kolmen kuukauden kuluessa lain voimaan tulosta. Molempiin liittyy myös mahdollinen hallinnollinen sakko, mikäli asia ei ole määräaikaan mennessä kunnossa. Hyvä tapa valmistautua kyberturvallisuuslain velvoitteisiin on rakentaa lainsäädännön velvoitteet täyttävä tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta ei ole vain tietohallinnon tehtävä, vaan se on lopulta koko liiketoiminnan ja ylimmän johdon vastuulla.

The post Kyberturvallisuuslaki tulee, oletko valmis? appeared first on Tikkasec Oy.

Vuonna 2024 voimaan astuva uusi kyberturvallisuuslaki tuo mukanaan merkittäviä muutoksia organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa sen piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita ja yhteistyötä viranomaisten kanssa.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuuden varmistamisessa. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

• Kyberturvallisuuden priorisointi: Kyberturvallisuuden on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
• Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, miten toimia turvata organisaation käsittelemää luottamuksellista tietoa.
• Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
• Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja –järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelma.
• Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
• Raportointivelvoitteet: Merkittävistä kyberuhkista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös organisaation tarjoaman palvelun vastaanottajille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
• Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
• Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tullee olemaan huomattavasti enemmän kuin GDPR:n osalta.
• Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Miten organisaatiot voivat valmistautua kyberturvallisuuslain voimaantuloon?

Paras tapa valmistautua kyberturvallisuuslain velvoitteisiin on ottaa käyttöön ISO 27001 standardin mukainen tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta on koko liiketoiminnan vastuulla, ei pelkästään tietohallinnon. Kysy lisätietoja,

Ota yhteyttä, niin keskustellaan kuinka organisaationne voi valmistautua kyberturvallisuuslain voimaantuloon ISO 27001 standardin mukaisella tietoturvallisuuden hallintajärjestelmällä!

The post Kyberturvallisuuslaki: Johdolla on vastuu tietoturvallisesta toimintaympäristöstä appeared first on Tikkasec Oy.

Globaalia pandemiaa ei tyypillisesti ole huomioitu uhkaskenaariona kuin suurempien julkisten ja yksityisten organisaatioiden valmiussuunnitelmissa. Koronaviruksen tyyppiset pandemiat ovat vuosien saatossa olleet varmasti myös useissa valmiusharjoituksissa osana taustaskenaarioita. Pk-yrityksissä on kuitenkin harvemmin totuttu valmiussuunnittelussa tarkastelemaan näin laajoja uhkakuvia.

Mutta kuinka yrityksissä on ylipäätään tehty valmiussuunnittelua erilaisten uhkien varalle? Oman havaintoni mukaan koronaviruksen aiheuttama äkkipysähdys on tullut lähes jokaiselle, myös allekirjoittaneelle, yllätyksenä. Aivan näin laajoihin yhteiskunnallisiin vaikutuksiin – ja vieläpä näin nopealla aikataululla – en olisi itsekään uskonut, jos joku olisi vuoden alussa näin väittänyt tapahtuvan. Kuitenkin varautumalla pienempiinkin uhkiin voidaan edesauttaa liiketoiminnan selviytymistä myös laajemmissa häiriötilanteissa.

Pystytäänkö teidän organisaatiossanne maksamaan palkat ajallaan, jos palkanlaskennasta vastaava henkilö ei pääsekään enää töihin?

Tarkastellaanpa varautumista yhden tyypillisen avainprosessin, eli palkanlaskennan kautta. Se, että organisaatioissa pystytään ylipäätään palkkoja maksamaan, koskettaa käytännössä kaikkia työntekijöitä. Olen havainnut, että välttämättä esimerkiksi palkanlaskennan prosesseja ei ole kuitenkaan sillä tavoin dokumentoitu, että palkanlaskennasta vastaavan henkilön äkillisestä poissaolosta huolimatta se toimisi normaalisti. Koronapandemia on lisännyt poissaoloihin liittyviä riskejä hyvin laajasti, koska kuka tahansa työntekijä on saattanut hyvin lyhyellä varoitusajalla joutua karanteeniin, tai jopa sairaalahoitoon.

Koronapandemian arvioidaan tällä hetkellä kestävän vielä useita kuukausia. Tämä tarkoittaa sitä, että äkillisiä poissaoloja joko koronaan sairastumisesta tai karanteeniin joutumisesta johtuen voi tapahtua yllättäen hyvin monessa organisaatiossa. Mikäli organisaatiossanne ei ole valmiussuunnitelmia tehty, tai edes käyty läpi liiketoiminnan avainprosesseja, kuten palkanlaskentaa, nyt on vielä hyvää aikaa näitä tehdä ja siten varautua tuleviin häiriöihin. Palkanlaskennan kaltaisia prosesseja voi myös osin ulkoistaa, jolloin ulkoistuskumppanilta usein löytyy kattavammat varajärjestelyt. Nämäkin on syytä kuitenkin huomioida ulkoistuksesta sovittaessa.

Palkanlaskennan lisäksi tulisi tunnistaa muutkin organisaation avainprosessit, niistä vastaavat henkilöt, sekä niihin käytetyt tietojärjestelmät ja muut resurssit. Kullekin avainroolille pitäisi pystyä ylläpitämään riittävää osaamista organisaatiossa esimerkiksi varahenkilöjärjestelyin. Nämä prosessit tulee dokumentoida ja ohjeistaa siten, että niitä voidaan vähintään perustasolla suorittaa, vaikka kyseisestä tehtävästä vastuullinen työntekijä ei pääsisikään hetkeen töihin.

Valjasta vapaita resursseja jatkuvuuden kehittämiseen

Usein varautuminen, kuten erilaisten uhkien pohtiminen ja niihin liittyvien riskien arviointi, jää muun liiketoiminnan kehittämisen jalkoihin. Etenkin juuri tällä hetkellä, kun monissa yrityksissä on kevään osalta peruuntunut töitä valtavasti, johdon huomio kiinnittyy perusliiketoiminnan pelastamiseen liittyviin toimenpiteisiin. Toisaalta organisaatioissa saattaa olla paljonkin työntekijöitä pienemmällä työkuormalla töiden vähentyessä. Näitä vapaita resursseja on varmasti syytä käyttää uuden liiketoiminnan kehittämiseen, mutta heitä voi hyödyntää myös jatkuvuuden kehittämisessä.

Kannattaakin valjastaa organisaationne vapaita resursseja käymään läpi avainprosessejanne, ja pohtimaan, kuinka niitä voidaan edelleen suorittaa, jos avainresurssit eivät olekaan käytettävissä. Mikäli jotain avainprosessianne tällä hetkellä suorittavalla on yhtään luppoaikaa, hänet kannattaa vähintäänkin pyytää kuvaamaan oma toimenkuvansa ja siihen liittyvät ydintehtävät mahdollisimman selkeästi.

Kriisitilanteita voi organisaatioihin syntyä muistakin syistä kuin nykyisenkaltaisesta pandemiasta. Jos esimerkiksi tietojärjestelmätoimittaja päättääkin yllättäen irtisanoa sopimukset lopettaessaan järjestelmän ylläpidon, voi etenkin suuremmissa organisaatioissa aiheutua ongelmia liiketoiminnan jatkuvuudelle. Uuteen järjestelmään siirtyminen kun ei tapahdu sormia napsauttamalla, vaan saattaa vaatia jopa kuukausien työn järjestelmän käyttöönotossa osaksi sujuvaa arkea.

Ota yhteyttä, mikäli kaipaat sparrausta varautumiseen liittyvään kehittämiseen! Pystymme auttamaan avainprosessien kartoittamisessa, riskien arvioinnissa ja tarvittavien toimenpiteiden tunnistamisessa myös etäyhteyksien kautta.

The post Häiriötilanteisiin varautuminen lähtee avainprosessien tuntemisesta appeared first on Tikkasec Oy.