NIS-direktiivi ja toimeenpano Suomessa

JHDTTK 8.10.2018

|

NIS direktiivi

= The Directive on Security of Network and Information Systems

Eli suomeksi EU:n verkko- ja tietoturvadirektiivi

Voimaan 1.8.2016

Implementointi kansallisesti 9.5.2018

Tunnistaa raportointivelvolliset 9.11.2018 mennessä

Ensimmäinen koko EU:n laajuinen yleinen tietoturvasäädös, jossa

Seitsemälle kriittisen infrastruktuurin sektorille velvoite raportoida tietoturvapoikkeamista ja -uhkista

Mikä NIS-direktiivi?

Keskeisten palveluiden tietoturvallisuutta parantamalla pyritään varmistamaan näiden toiminnan jatkuvuutta ja yhteiskunnan turvallisuutta sekä lisäämään luottamusta digitaalisiin palveluihin

tuetaan digitaalisten toimintatapojen käyttöönottoa ja digitalisaatiota

|

Direktiivin sisältö pähkinänkuoressa

Yhteiskunnan toiminnan kannalta keskeisten palvelujen tarjoajille sekä digitaalisten palvelujen tarjoajille turvallisuus- ja ilmoitusvaatimukset

Toimivaltainen kansallinen viranomainen/viranomaiset » Direktiivin soveltamisen seuraaminen, poikkeamailmoitusten vastaanotto

CSIRT-toimijat (computer security insident response teams) ja niiden verkosto

» Häiriöilmoitusten vastaanotto ja yhteistyö muiden jäsenmaiden viranomaisten kanssa

Keskitetty kansallinen yhteyspiste (POC)» Jäsenvaltion viranomaisten rajat ylittävän yhteistyön varmistaminen

16.4.2018

|

Direktiivin velvoitteet kohdistuvat seitsemälle yhteiskunnan toimivuuden kannalta tärkeälle toimialalle, ja niiden noudattamista valvovat toimialakohtaiset viranomaiset:

•Viestintävirasto/KTK

•Point of Contact (PoC)

•KV-tiedonvaihto-verkosto (CSIRT)

Koordinointi

•Energiavirasto

•Sähkönjakeluverkon haltijat

•Maakaasuverkon, kantaverkon ja suurjänniteverkkojen haltijat

Energia

•Valvira

•Sosiaali- ja terveyspalvelut, lääkinnälliset laitteet, sote-tietojärjestlemienvalmistajat

Terveydenhuolto

•Finanssivalvonta

•Pankit

•Pankkien keskusyksiköt

•EU-pankkien sivuliikkeet

Finanssiala

•Finanssivalvonta

•Pörssi

Finanssialan infrastruktuuri

•Trafi

•Ilmailu

•Merenkulku

•Rautatieliikenne

•Maantieliikenne

Liikenne

•MMM & ELY-keskukset

•Vesilaitokset

Vesihuolto

•Viestintävirasto/KTK

•Teleyritykset (ISP)

•Yhdysliikennepiste (IXP)

•Nimipalvelin (DNS)

Digi-infrastruktuuri

•Viestintävirasto/KTK

•Pilvipalvelut

•Hakupalvelut

•Keskitetyt markkinapaikat

•Jne...

Digitaaliset palvelut

NIS toimijat Suomessa

|

KTK-lomakeKTK-lomake

KTK/POC

Ohje ilmoittamisesta raportointivelvolliselle

Yritys Yritys

KTK

Yritys

KTK ValvojaValvoja

Valvoja

KTK/POCKTK/POC

Yritys

KTK

EI NIS-tapaus 1. NIS-ilmoitus yhdellä lomakkeella

2. NIS-ilmoituserikseenKTK:lle ja

valvontaviranomaiselle

3. NIS-ilmoitusvain

valvontaviranmaiselle

|

Pohja kyberturvallisuuden minimivelvoitteille

Mahdollistaa tietoturvallisuuden yhtenäisen tilannekuvan

Edellyttää kansallista ja kansainvälistä yhteistyötä

NIS hyödyt pitkällä aikavälillä

www.kyberturvallisuuskeskus.fiwww.viestintävirasto.fi