Tietoturva ei ole enää pelkästään yrityksen sisäinen asia, vaan sitä ohjaavat yhä tarkemmin erilaiset säädökset ja standardit. EU-tasolla yrityksiin kohdistuu uusia velvoitteita, jotka koskevat sekä kriittistä infrastruktuuria että monia yksityisen sektorin toimijoita. Samalla sanktiot laiminlyönneistä kovenevat.
Tässä ympäristössä kyberturvakeskus SOC (Security Operations Center) on yksi keskeistä keinoista, joiden avulla organisaatio pystyy täyttämään regulaatioiden vaatimukset ja osoittamaan vastuullisuutensa.
SOC ja NIS2
NIS2-direktiivi on vuonna 2024 voimaan astunut EU:n uusi kyberturvallisuusdirektiivi, joka laajentaa aiempaa NIS-direktiiviä. Sen tavoitteena on varmistaa koko EU:n laajuinen yhtenäinen tietoturvan taso.
Direktiivi velvoittaa entistä enemmän toimialoja, kuten energia-, liikenne-, terveydenhuolto- ja digitaalisen infrastruktuurin yrityksiä, mutta sen piiriin kuuluvat myös monet keskisuuret ja suuret yritykset, jotka eivät ole aiemmin olleet säännösten piirissä.
NIS2 asettaa konkreettisia vaatimuksia. Yritysten on kyettävä
- tunnistamaan ja hallitsemaan kyberuhkia
- raportoimaan häiriöistä viranomaisille
- osoittamaan, että tietoturvakäytännöt ovat ajantasaiset.
Velvoitteiden laiminlyönnistä voi seurata merkittäviä sakkoja, jotka voivat olla jopa 10 miljoonaa euroa tai 2 % yrityksen globaalista liikevaihdosta – kumpi tahansa on yrityksen kohdalla suurempi.
SOC auttaa yrityksiä vastaamaan näihin vaatimuksiin tarjoamalla järjestelmällisen ja dokumentoidun valvontaprosessin. Kun ympäristöä seurataan reaaliaikaisesti ja tapahtumista kertyy selkeää lokidataa, organisaatio pystyy osoittamaan vaatimusten täyttymisen käytännössä eikä pelkästään paperilla. Konkreettinen aineisto tuo sekä varmuutta johdolle että helpottaa mahdollista viranomaisyhteistyötä.
SOC ja GDPR
GDPR eli EU:n yleinen tietosuoja-asetus tuli voimaan vuonna 2018 ja mullisti tapaa, jolla henkilötietoja käsitellään Euroopassa.
Sen tarkoitus on suojata yksilöiden oikeuksia, mutta samalla se asettaa yrityksille merkittäviä velvoitteita henkilötietojen käsittelyyn, säilyttämiseen ja suojaamiseen liittyen. GDPR edellyttää, että yritys havaitsee ja raportoi tietovuodot nopeasti – 72 tunnin sisällä siitä, kun ne on havaittu.
Jos näin ei tehdä, seurauksena voi olla tuntuvia sanktioita: enimmillään NIS2-direktiiviin verrattuna jopa tuplat eli 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta globaalista liikevaihdosta. Lisäksi tietovuodot voivat johtaa mahdollisesti vieläkin mittavampiin kustannuksiin, kuten asiakkaiden luottamuksen menettämiseen ja merkittäviin mainehaittoihin.
SOC tukee yrityksen GDPR-vaatimusten täyttämistä kahdella keskeisellä tavalla.
- Ensinnäkin se varmistaa, että poikkeamat havaitaan nopeasti ja että niihin reagoidaan viiveettä.
- Toiseksi SOC tuottaa dokumentaatiota, joka osoittaa samoin kuin NIS2-direktiivin kohdalla viranomaisille, että yritys on toiminut asianmukaisesti. Tämä voi ratkaista, saako yritys lievemmän sanktion vai välttääkö sakot kokonaan.
Kyberturvakeskus SOCin avulla yritys voi siis kyberuhkien havaitsemisen ja torjunnan lisäksi osoittaa konkreettisesti ja jatkuvasti tietoturvaan liittyviä toimenpiteitä.
Näin sekä viranomaisilla, asiakkailla ja sidosryhmillä sekä myös yrityksen omalla väellä on kaikilla selkeä kuva tietoturvan tilasta – myös aiheeseen liittyvien asetusten ja direktiivien puitteissa.
