Uusi NIS2-direktiivi tuo mukanaan tiukentuneet velvoitteet erityisesti kyberturvallisuuden raportointiin. - Isoimmat toimijat ovat varmasti hyvin varautuneet, mutta pienemmillä riittää tekemistä, arvioi Into Securityn toimitusjohtaja Niki Klaus, kun direktiivi astui virallisesti voimaan Suomessa.
Nyt yritysten on oltava aiempaa valppaampia ja valmiita reagoimaan – ilmoitusvelvollisuus tietoturvaloukkauksista on selkeä ja sanktioitu. - Toimialan ja organisaation kriittisyyden mukaan valvontaa tehdään joko etukäteen tai vasta jälkikäteen. Pankkisektori on perinteisesti vahvoilla, mutta monella muulla sektorilla riittää vielä tehtävää, Klaus kertoo.
Liikenne- ja viestintävirasto Traficom on myöntänyt Into Security Oy:n tytäryhtiölle, Into Certification Oy:lle, arviointilaitoshyväksynnän Katakri 2020 -pätevyyksillä. Yhtiö liittyy kolmantena toimijana auditointimarkkinoille KPMG:n ja Nixun (nyk. DNV:n) rinnalle.
Uuden toimijan mukaantulo on tervetullut lisä nopeasti kuumenevassa markkinassa. - Traficomin hyväksyntä on tärkeä askel Suomen digitaalisen resilienssin vahvistamisessa. Meiltä löytyy Suomen kokeneinta osaamista vaativiin auditointeihin – tarjoamme huippulaadukasta, kotimaista kyberturvallisuuspalvelua yrityksille, joille kyberhyökkäys on todellinen liiketoimintariski, Klaus sanoo.
NIS2-direktiiviä valvoo Suomessa useampi viranomainen, mutta Traficomilla on keskeinen rooli. Käytännössä valvonta tapahtuu riskiperusteisesti: suurimpia ja kriittisimpiä toimijoita tarkastellaan ennakoivasti, kun taas pienemmillä organisaatioilla tarkastelu voi tapahtua vasta tapahtuneiden tietoturvaloukkausten jälkeen.
Suomalaisten yritysten valmiustaso vaihtelee. - Moni iso toimija on jo hereillä, mutta pienet ja keskisuuret yritykset ovat haavoittuvaisempia. Toimialalla on väliä – esimerkiksi sosiaali- ja terveysalalla ja teollisuudessa tarvitaan vielä paljon tukea uuden lainsäädännön haltuunottoon, Klaus arvioi.
NIS2-direktiivi laajentaa tietoturvavaatimukset tuhansiin uusiin suomalaisorganisaatioihin. Vaatimustenmukaisuuden todentamiseen soveltuu mm. ISO 27001 -standardi. Into Certification on jo akkreditoitu mm. ISO 27001-, PCI QSA- ja sote-järjestelmäauditointeihin.