Kyberturvallisuuslaki tulee, oletko valmis?

Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin.

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuudesta. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys ja osaaminen kyberturvallisuutta koskevaan riskienhallintaan.
Tämä tarkoittaa käytännössä mm. seuraavia asioita:

• Kyberturvallisuuden priorisointi: Sen on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
• Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
• Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja -järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelmat.
• Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
• Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, kuinka turvata organisaation käsittelemää luottamuksellista tietoa.
• Raportointivelvoitteet: Merkittävistä kyberuhista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös asiakkaille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
• Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
• Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tulee olemaan huomattavasti enemmän kuin GDPR:n osalta.
• Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Kyberturvallisuuslaki koskee lähtökohtaisesti yhteiskunnan toiminnan kannalta kriittisten toimialojen organisaatioita, joissa on yli 50 työntekijää. Näitä organisaatioita arvioidaan olevan Suomessa noin 5000. Koska kyseiset toimijat ovat vastuussa myös toimitusketjustaan, tulevat lainsäädännön velvoitteet sopimusvaatimusten kautta käytännössä koskemaan moninkertaista joukkoa yrityksiä. Jokaisen suuremmille yrityksille tai esimerkiksi hyvinvointialueille jollain tavoin tiedonhallintaan liittyviä palveluita, kuten tietojärjestelmiä tai IT-palveluita, tarjoavien yritysten onkin syytä varautua lainsäädännön vaatimuksiin.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Viimeisimmän lakiluonnoksen mukaan lain voimaan tullessa sen piiriin kuuluvilla toimijoilla on kuukausi aikaa ilmoittautua valvovalle viranomaiselle. Riskienhallintajärjestelmä taas tulee olla laadittuna kolmen kuukauden kuluessa lain voimaan tulosta. Molempiin liittyy myös mahdollinen hallinnollinen sakko, mikäli asia ei ole määräaikaan mennessä kunnossa. Hyvä tapa valmistautua kyberturvallisuuslain velvoitteisiin on rakentaa lainsäädännön velvoitteet täyttävä tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta ei ole vain tietohallinnon tehtävä, vaan se on lopulta koko liiketoiminnan ja ylimmän johdon vastuulla.