NIS2-opas

NIS2-opas · 7 min

Ulkoinen tietoturva-asentosi NIS2:ssa: mitä toimittajat ja asiakkaat näkevät

NIS2:ssa asiakkaasi ovat vastuussa toimittajiensa tietoturvasta (artikla 21(2)(d)), ja he arvioivat tätä riskiä yhä useammin ulkoa käsin, pelkän julkisesti näkyvän perusteella: sähköpostisi autentikointi, sertifikaattisi ja se, mitä infrastruktuuristasi näkyy internetiin. Nämä ovat samat signaalit, jotka hyökkääjä näkee ensimmäisenä. Tämä opas selittää ulkoiset signaalit, jotka määrittävät miten sinut toimittajana arvioidaan, miksi kukin on tärkeä, ja miten ne tarkistetaan ja korjataan.

Keskeiset opit

  • NIS2 työntää toimittaja-arvioinnin ketjuun; suuri osa alkaa julkisesti näkyvästä tietoturva-asennostasi.
  • Vahvimmat signaalit: sähköpostin väärennettävyys (SPF/DMARC), sertifikaattien kunto ja internetiin altistuneet järjestelmät.
  • Suurimman osan näet ja korjaat itse muutamassa minuutissa, ennen kuin asiakas tai hyökkääjä ehtii.

Miksi ulkoinen näkymä on tärkeä NIS2:ssa

NIS2:n artikla 21(2)(d) tekee soveltamisalan yrityksestä vastuullisen suorien toimittajiensa kyberriskistä. Koska ostaja ei voi auditoida jokaista toimittajaa syvällisesti, käytännön ensivaihe on ulkoinen näkymä: signaalit, jotka näkyvät ilman pääsyä järjestelmiisi. Heikko ulkoinen signaali ei todista, että olet turvaton, mutta se on juuri sitä, minkä asiakas huomaa, mitä vasten kyselyä verrataan ja mitä hyökkääjä ensiksi luotaa. Sen kuntoon saaminen on halpaa ja vaikuttavaa.

Virallinen lähde: NIS2-direktiivi EUR-Lexissä — artikla 21(2) (turvatoimet) ja 21(2)(d) (toimitusketjun turvallisuus).

Ulkoiset signaalit, jotka määrittävät arviosi

Mikään näistä ei vaadi pääsyä järjestelmiisi; kaikki näkyvät julkisesta internetistä. Ne vastaavat NIS2:n odottamia toimenpiteitä ja sitä, miten hyökkääjät todella toimivat.

1

Sähköpostin väärennettävyys (SPF ja DMARC)

Jos domainillasi ei ole SPF- tai DMARC-tietuetta, tai DMARC on p=none, kuka tahansa voi lähettää sähköpostia, joka näyttää tulevan sinulta. Tämä on tietojenkalastelun ja toimitusjohtajapetosten (BEC) mekanismi, ja se on triviaalisti tarkistettavissa julkisesta DNS:stäsi.

2

TLS-sertifikaattien kunto

Vanhentuneet tai pian vanhenevat sertifikaatit pääpalveluissasi viestivät heikosta operatiivisesta hallinnasta ja voivat rikkoa luottamuksen ja saatavuuden. Certificate transparency -lokit tekevät sertifikaattihistoriastasi myös julkista.

3

Internetiin altistuneet ei-tuotanto- ja admin-järjestelmät

Internetistä tavoitettavat kehitys-, staging- tai admin-hostit laajentavat hyökkäyspinta-alaa ja niistä puuttuu usein tuotantotason kovennus. Ne näkyvät usein julkisissa certificate transparency -lokeissa.

4

Vuotaneet tunnukset ja tietovuotoaltistus

Julkisissa vuoto- ja infostealer-aineistoissa paljastuneet työntekijätunnukset ovat suora reitti sisään. Tämä on ulkoista, julkista tietoa, johon hyökkääjä voi tarttua ennen kuin huomaat.

5

Web-liikenteen kovennus (HSTS ja otsakkeet)

Puuttuva HSTS ja siihen liittyvät otsakkeet ovat yksittäin pieniä, mutta yhdessä ne kertovat, miten johdonmukaisesti perusasiat on hoidettu. Arvioijat lukevat ne operatiivisen kypsyyden mittarina.

Katso, miten toimittajasi todella pärjäävät

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Miten tarkistat sen ja pidät kunnossa

Suurimman osan näistä tarkistat itse muutamassa minuutissa julkisilla työkaluilla ja omalla DNS:lläsi. Vaikeampaa on pitää ne kunnossa ajan myötä: sertifikaatti vanhenee, uusi aliverkkotunnus altistuu, tunnuksia vuotaa. Jatkuva ulkoinen seuranta valvoo näitä signaaleja omalla domainillasi ja toimittajillasi ja kohdistaa jokaisen havainnon oikeaan NIS2-artiklaan, jotta näet ja korjaat ongelmat ennen asiakkaan arviota tai hyökkääjää.

Yleisiä virheitä

  • Sähköpostin autentikointi kuitataan valmiiksi, kun SPF on olemassa, vaikka DMARC on p=none eikä estä mitään.
  • Korjataan pääsivusto mutta jätetään dev-, staging- tai admin-hostit altistuneiksi ja kovettamatta.
  • Oletetaan, että 'läpäisimme kyselyn' tarkoittaa, että ulkoinen todellisuus vastaa yhä kuukausia myöhemmin.
  • Ei koskaan tarkisteta, mitä julkinen vuotodata jo paljastaa tunnuksistanne.

Katso miten ulkoinen asentosi kytkeytyy NIS2:een

Esimerkki toimittajaraportista (löydökset, NIS2-kytkentä ja näyttö) kahdessa minuutissa.

7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on

Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne

Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.

NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa

Mitkä 27 EU-jäsenvaltiosta ovat kirjanneet NIS2:n kansalliseen lakiin ja mitkä yhä viimeistelevät, ja miksi erot tavoittavat toimitusketjusi joka tapauksessa.

NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi

Sopimusklausuulit jotka tekevät NIS2:n toimitusketjuvelvoitteesta toimeenpantavan: tietoturvan perustaso, ilmoitusikkuna, näyttö- ja auditointioikeudet, alihankkijaketjutus, ja miten todentaa ne jatkuvasti.

Käyttävätkö toimittajasi tekoälyä? NIS2:n toimittajariski ja EU:n tekoälyasetus

Toimittajat upottavat yhä useammin tekoälyä palveluihin, joista olet riippuvainen, ja niin tekevät heidän toimittajansa. Missä toimittajan ja nth-party-tekoäly luo riskiä NIS2 art. 21(2)(d):n ja EU:n tekoälyasetuksen kannalta, mitä arvioida ja miten säilyttää näkyvyys.

Toimittajan esiintyminen ja toimitusjohtajahuijaus (BEC): sähköpostin väärentäminen, DMARC ja NIS2

Yksi yleisimmistä toimitusketjuhyökkäyksistä ei vaadi murtoa: väärennetty sähköposti, joka ohjaa maksun toisaalle tai varastaa dataa. Miten BEC ja toimittajan esiintyminen toimivat, mitkä SPF-, DKIM- ja DMARC-asetukset estävät ne, ja miten se kytkeytyy NIS2 art. 21(2)(d):hen.

Viimeksi tarkistettu: 19. kesäkuuta 2026

Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.