NIS2-opas · 7 min
Ulkoinen tietoturva-asentosi NIS2:ssa: mitä toimittajat ja asiakkaat näkevät
NIS2:ssa asiakkaasi ovat vastuussa toimittajiensa tietoturvasta (artikla 21(2)(d)), ja he arvioivat tätä riskiä yhä useammin ulkoa käsin, pelkän julkisesti näkyvän perusteella: sähköpostisi autentikointi, sertifikaattisi ja se, mitä infrastruktuuristasi näkyy internetiin. Nämä ovat samat signaalit, jotka hyökkääjä näkee ensimmäisenä. Tämä opas selittää ulkoiset signaalit, jotka määrittävät miten sinut toimittajana arvioidaan, miksi kukin on tärkeä, ja miten ne tarkistetaan ja korjataan.
Keskeiset opit
- • NIS2 työntää toimittaja-arvioinnin ketjuun; suuri osa alkaa julkisesti näkyvästä tietoturva-asennostasi.
- • Vahvimmat signaalit: sähköpostin väärennettävyys (SPF/DMARC), sertifikaattien kunto ja internetiin altistuneet järjestelmät.
- • Suurimman osan näet ja korjaat itse muutamassa minuutissa, ennen kuin asiakas tai hyökkääjä ehtii.
Miksi ulkoinen näkymä on tärkeä NIS2:ssa
NIS2:n artikla 21(2)(d) tekee soveltamisalan yrityksestä vastuullisen suorien toimittajiensa kyberriskistä. Koska ostaja ei voi auditoida jokaista toimittajaa syvällisesti, käytännön ensivaihe on ulkoinen näkymä: signaalit, jotka näkyvät ilman pääsyä järjestelmiisi. Heikko ulkoinen signaali ei todista, että olet turvaton, mutta se on juuri sitä, minkä asiakas huomaa, mitä vasten kyselyä verrataan ja mitä hyökkääjä ensiksi luotaa. Sen kuntoon saaminen on halpaa ja vaikuttavaa.
Virallinen lähde: NIS2-direktiivi EUR-Lexissä — artikla 21(2) (turvatoimet) ja 21(2)(d) (toimitusketjun turvallisuus).
Ulkoiset signaalit, jotka määrittävät arviosi
Mikään näistä ei vaadi pääsyä järjestelmiisi; kaikki näkyvät julkisesta internetistä. Ne vastaavat NIS2:n odottamia toimenpiteitä ja sitä, miten hyökkääjät todella toimivat.
Sähköpostin väärennettävyys (SPF ja DMARC)
Jos domainillasi ei ole SPF- tai DMARC-tietuetta, tai DMARC on p=none, kuka tahansa voi lähettää sähköpostia, joka näyttää tulevan sinulta. Tämä on tietojenkalastelun ja toimitusjohtajapetosten (BEC) mekanismi, ja se on triviaalisti tarkistettavissa julkisesta DNS:stäsi.
TLS-sertifikaattien kunto
Vanhentuneet tai pian vanhenevat sertifikaatit pääpalveluissasi viestivät heikosta operatiivisesta hallinnasta ja voivat rikkoa luottamuksen ja saatavuuden. Certificate transparency -lokit tekevät sertifikaattihistoriastasi myös julkista.
Internetiin altistuneet ei-tuotanto- ja admin-järjestelmät
Internetistä tavoitettavat kehitys-, staging- tai admin-hostit laajentavat hyökkäyspinta-alaa ja niistä puuttuu usein tuotantotason kovennus. Ne näkyvät usein julkisissa certificate transparency -lokeissa.
Vuotaneet tunnukset ja tietovuotoaltistus
Julkisissa vuoto- ja infostealer-aineistoissa paljastuneet työntekijätunnukset ovat suora reitti sisään. Tämä on ulkoista, julkista tietoa, johon hyökkääjä voi tarttua ennen kuin huomaat.
Web-liikenteen kovennus (HSTS ja otsakkeet)
Puuttuva HSTS ja siihen liittyvät otsakkeet ovat yksittäin pieniä, mutta yhdessä ne kertovat, miten johdonmukaisesti perusasiat on hoidettu. Arvioijat lukevat ne operatiivisen kypsyyden mittarina.
Katso, miten toimittajasi todella pärjäävät
7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain
Miten tarkistat sen ja pidät kunnossa
Suurimman osan näistä tarkistat itse muutamassa minuutissa julkisilla työkaluilla ja omalla DNS:lläsi. Vaikeampaa on pitää ne kunnossa ajan myötä: sertifikaatti vanhenee, uusi aliverkkotunnus altistuu, tunnuksia vuotaa. Jatkuva ulkoinen seuranta valvoo näitä signaaleja omalla domainillasi ja toimittajillasi ja kohdistaa jokaisen havainnon oikeaan NIS2-artiklaan, jotta näet ja korjaat ongelmat ennen asiakkaan arviota tai hyökkääjää.
Yleisiä virheitä
- ✕Sähköpostin autentikointi kuitataan valmiiksi, kun SPF on olemassa, vaikka DMARC on p=none eikä estä mitään.
- ✕Korjataan pääsivusto mutta jätetään dev-, staging- tai admin-hostit altistuneiksi ja kovettamatta.
- ✕Oletetaan, että 'läpäisimme kyselyn' tarkoittaa, että ulkoinen todellisuus vastaa yhä kuukausia myöhemmin.
- ✕Ei koskaan tarkisteta, mitä julkinen vuotodata jo paljastaa tunnuksistanne.
Katso miten ulkoinen asentosi kytkeytyy NIS2:een
Esimerkki toimittajaraportista (löydökset, NIS2-kytkentä ja näyttö) kahdessa minuutissa.
7 päivän ilmaiskokeilu · ei luottokorttia · peru milloin vain
Aiheeseen liittyvät oppaat
Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma
NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.
Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat
Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.
NIS2 toimittajalle: sinua ei ole nimetty, mutta asiakkaasi on
Useimpia yrityksiä ei koskaan nimetä NIS2:ssa, mutta monien on silti noudatettava sitä. Miten asiakkaan artiklan 21(2)(d) toimitusketjuvelvoite valuu sinuun, mitä he pyytävät ja miten vastata uskottavasti.
NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä
NIS2-direktiivi velvoittaa keskeiset ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.
Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa
Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.
NIS2 Art. 21(2): tarkistuslista toimittajille
Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.
NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli
Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.
NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä
Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.
NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä
Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.
ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata
Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.
NIS2-sakot ja seuraamukset: kuinka paljon, kuka on vastuussa ja miten välttää ne
Mitä NIS2-seuraamukset ovat: artiklan 34 enimmäismäärät (10 M€ / 2 % keskeisille, 7 M€ / 1,4 % tärkeille toimijoille), johdon henkilökohtainen vastuu (art. 20, art. 32), ei-rahalliset toimenpiteet ja miten ne vältetään jatkuvalla, todennetulla huolellisuudella.
NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua
Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.
GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat
Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.
EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi
Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.
EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)
Mitä EU:n tekoälyasetus vaatii: riskiluokat, vaiheittaiset päivämäärät (voimassa 2024, kielletyt 2/2025, GPAI 8/2025, korkea riski 8/2026), artiklan 26 käyttöönottajan velvollisuudet, miten se kasautuu NIS2:n ja GDPR:n kanssa, ja mitä se tarkoittaa tekoälyhankinnoille.
NIS2:n täytäntöönpanon tila: missä EU-maissa se on voimassa
Mitkä 27 EU-jäsenvaltiosta ovat kirjanneet NIS2:n kansalliseen lakiin ja mitkä yhä viimeistelevät, ja miksi erot tavoittavat toimitusketjusi joka tapauksessa.
NIS2-toimittajasopimuksen klausuulit: mitä vaatia toimittajiltasi
Sopimusklausuulit jotka tekevät NIS2:n toimitusketjuvelvoitteesta toimeenpantavan: tietoturvan perustaso, ilmoitusikkuna, näyttö- ja auditointioikeudet, alihankkijaketjutus, ja miten todentaa ne jatkuvasti.
Käyttävätkö toimittajasi tekoälyä? NIS2:n toimittajariski ja EU:n tekoälyasetus
Toimittajat upottavat yhä useammin tekoälyä palveluihin, joista olet riippuvainen, ja niin tekevät heidän toimittajansa. Missä toimittajan ja nth-party-tekoäly luo riskiä NIS2 art. 21(2)(d):n ja EU:n tekoälyasetuksen kannalta, mitä arvioida ja miten säilyttää näkyvyys.
Toimittajan esiintyminen ja toimitusjohtajahuijaus (BEC): sähköpostin väärentäminen, DMARC ja NIS2
Yksi yleisimmistä toimitusketjuhyökkäyksistä ei vaadi murtoa: väärennetty sähköposti, joka ohjaa maksun toisaalle tai varastaa dataa. Miten BEC ja toimittajan esiintyminen toimivat, mitkä SPF-, DKIM- ja DMARC-asetukset estävät ne, ja miten se kytkeytyy NIS2 art. 21(2)(d):hen.
Viimeksi tarkistettu: 19. kesäkuuta 2026
Tämä opas on yleistä tietoa EU-lainsäädännöstä, ei oikeudellista neuvontaa. NIS2 tulee voimaan kunkin EU-jäsenvaltion kansallisen täytäntöönpanolain kautta, joka voi poiketa yksityiskohdissa. Varmista sinua koskevat velvoitteet toimivaltaiselta viranomaiselta tai lakimieheltä.