Noin 20 000 asianomaista laitosta jättivät kuitenkin rekisteröitymisvelvoitteen 6.3.2026 väliin. Tämä on huolenaihe.
Toisaalta se lisää alttiutta kyberhyökkäyksille. Toisaalta, toimettomuus johtaa taloudellisiin sanktioihin (10 milj. euroa tai 2 % maailmanlaajuisesta vuosittaisesta liikevaihdosta). Mitä siis tehdä, jotta voimme tulla ajoissa kestäviksi?
Vaatimusten ymmärtäminen ja rakenteellinen toteuttaminen
NIS2:n tavoite on selvä: Organisaatioiden on tultava digitaaliseen murtumattomuuteen, jotta ne voivat vastustaa hakkerointihyökkäyksiä. Ilman tietovuotoja, ilman häiriintyneitä järjestelmiä ja ilman liiketoimintakriittisten sovellusten keskeytyksiä.
NIS2:n vaatimusten täytäntöönpanolla saavutetaan huomattavasti korkeampi turvallisuustaso ja se vähentää sekä kyberhyökkäysten todennäköisyyttä että niiden vaikutuksia. Prosessit ja hätätilarakenteet muodostavat perustan taloudellisten ja julkisten rakenteiden kestävälle murtumattomuudelle.
Toimintaprosessit pysyvät vakaina, kun taas todistettavasti korkea kyberturvallisuuden taso vaikuttaa myönteisesti luottamukseen, maineeseen ja kilpailukykyyn. NIS2 tekee kyberturvallisuudesta johtotehtävän ja luo näin perustan pitkän aikavälin tehokkaammalle ja strategisesti johdetulle yritysten hallinnalle.
Tyypillinen polku NIS2:n toteuttamiseen
Ensimmäisenä askeleena ilmainen Swiss GRC:n valmiustarkistus tarjoaa jäsennellyn nykytilanteen kartoituksen ja osoittaa senhetkisen toteutuksen tilan.
Arviointi tapahtuu NIS2-direktiivin keskeisten toiminta-alueiden mukaisesti:
- Johtaminen ja vastuut - Riskienhallinta - Tapahtumavaste ja ilmoitusprosessit - Toimitusketjut ja kolmannet osapuolet - Teknisiä ja organisatorisia toimenpiteitä
Perustuen tähän saavat yritykset jäsennellyn arvion nykyisestä toteutuksen tilasta sekä priorisoinnin olennaisiin toiminta-alueisiin.
Valmiustarkistus ei korvaa täyttä toteutusta. Tulosten perusteella yritykset voivat aloittaa rakenteellisen toteutuksen ja saattaa sen kohdennetusti sopiviin ratkaisuihin. Menettely perustuu Saksan liittovaltion tietoturvaviraston (BSI) ohjeisiin ja suuntaviivoihin.
Konkreettiset toteutusvaiheet
- Soveltamisalueen määrittäminen: Määritä, mitkä yhtiöt, sijainnit ja järjestelmät kuuluvat NIS2:n piiriin
- Vaatimusten jäsentely: NIS2-vaatimukset esitetään kontrolleina ja toimenpiteinä
- Aukkojen kartoitus: Arvioi nykyinen toteutuksen tila ja tunnista aukot
- Riskien arviointi: Suorita riskien arvioinnit ja linkitä ne kontrolloihin
- Toimenpiteiden toteuttaminen: Määritä vastuuhenkilöt, aseta aikataulut ja seuraa etenemistä
- Näyttöjen dokumentointi: Dokumentoi todisteet ja yhdistä ne niihin liittyviin kontrolleihin
- Raportointia luominen: Luo hallintoraportteja ja auditointidokumentaatioita napin painalluksella
Sopivia ratkaisuja kaiken kokoisille yrityksille
NIS2:n vaatimukset koskevat eri kokoisia ja kypsyysasteisia yrityksiä. Ratkaisevaa on lähestymistapa, joka on sekä skaalautuva että taloudellisesti toteutettavissa.
Swiss GRC tarjoaa tähän joustavia ratkaisumalleja, jotka mukautuvat yrityksen kokoon, monimutkaisuuteen ja yksilölliseen toteutuksen tilaan.
Seuraava askel: Tulosten arvioiminen ja toteutuksen aloittaminen
Valmiustarkastuksen tulosten perusteella voidaan johtaa konkreettisia toimenpiteitä ja niiden rakenteellinen toteuttaminen.
Sovi demo ja näe, miten tunnistetut toiminta-alueet voidaan toteuttaa tehokkaasti ja tarkastettavasti.