norppa.io
Oppaat

NIS2-opas · 7 min

ISO 27001 ja NIS2: mitä ISMS jo kattaa — ja mitä se ei kata

Jos sinulla on jo ISO/IEC 27001, et aloita NIS2:ta nollasta — kaukana siitä. Toimiva ISMS kattaa suuren osan artiklan 21 perustasosta. Mutta sertifiointi ei ole vaatimustenmukaisuutta: NIS2 lisää lakisääteisiä velvoitteita, joita ISMS ei yksin täytä. Tämä opas kartoittaa, mikä siirtyy suoraan, missä todelliset aukot ovat ja miten ne suljetaan rakentamatta uudelleen sitä, mikä sinulla jo on.

Keskeiset poiminnat

  • ISO 27001 kattaa suurimman osan NIS2:n art. 21 -toimenpiteistä — riskienhallinta, pääsynhallinta, kryptografia, jatkuvuus, toimittajakontrollit — joten se on vahva etumatka.
  • Mutta sertifiointi ei ole vaatimustenmukaisuutta: NIS2 lisää lakisääteiset ilmoitusmääräajat, johdon vastuun, rekisteröinnin ja jatkuvan toimitusketjun varmistuksen.
  • Suurimmat aukot ovat yleensä 24/72 tunnin ilmoitusvelvollisuus ja jatkuva kolmannen osapuolen valvonta, eivät peruskontrollit.
  • Sulje aukot ISMS:n päälle — älä rakenna uudelleen; kartoita liite A -kontrollit art. 21 -listaan ja lisää puuttuva.

Mitä ISMS jo kattaa

NIS2:n artiklan 21 perustaso ja ISO/IEC 27001 (liite A -kontrolleineen) menevät pitkälti päällekkäin. Jos ISMS:si todella toimii — ei vain ole sertifioitu — suuri osa direktiivin teknisestä ja organisatorisesta sisällöstä on jo paikallaan:

  • Riskienhallinta — ISMS:n riskien arviointi- ja käsittelyprosessi kartoittuu suoraan art. 21(2)(a):han.
  • Pääsynhallinta ja kryptografia — liite A:n pääsynhallinta- ja kryptografiakontrollit vastaavat art. 21(2)(i):tä ja (h):ta.
  • Poikkeamien hallinta — poikkeamaprosessisi kattaa art. 21(2)(b):n käsittelyosan (ilmoitusosaan NIS2 lisää enemmän).
  • Toiminnan jatkuvuus — varmuuskopiointi-, palautus- ja jatkuvuuskontrollit kartoittuvat art. 21(2)(c):hen.
  • Toimittajasuhteet — liite A:n toimittajakontrollit ovat perusta, jolle art. 21(2)(d) rakentuu.

Missä NIS2 menee ISMS:ää pidemmälle

Sertifiointi osoittaa, että hallittu järjestelmä on olemassa määritellylle laajuudelle. NIS2 on lakisääteinen velvoite koko soveltamisalaan kuuluvalle toimijalle, ja se lisää velvoitteita, joita ISO-sertifikaatti ei yksin täytä:

Lakisääteinen poikkeamailmoitus — ISO 27001 vaatii hallitsemaan poikkeamia; NIS2 vaatii ilmoittamaan merkittävistä kansalliselle viranomaiselle 24 t / 72 t / kuukauden kellolla (art. 23). Mikään ISMS-määräaika ei vastaa tätä.

Johdon vastuu ja koulutus — NIS2 velvoittaa johdon hyväksymään ja valvomaan toimenpiteet, osallistumaan koulutukseen ja olemaan henkilökohtaisesti vastuussa (art. 20). ISO pyytää johdon sitoutumista, ei oikeudellista vastuuta.

Jatkuva toimitusketjun varmistus — liite A:n toimittajakontrollit ovat suurelta osin kertaluonteisia. NIS2:n art. 21(2)(d) yhdistettynä "asianmukaisten toimenpiteiden" standardiin ohjaa jatkuvaan toimittajariskin valvontaan.

Rekisteröinti ja laajuus — monien toimijoiden on rekisteröidyttävä kansalliselle viranomaiselle, ja NIS2 koskee koko soveltamisalaan kuuluvaa organisaatiota valitsemastasi ISMS-laajuudesta riippumatta.

Valvonnan todellisuus — ISO-poikkeama on sinun ja sertifioijasi välinen asia; NIS2-laiminlyönti voi tarkoittaa sitovia määräyksiä ja sakkoja enintään 10 milj. € tai 2 % liikevaihdosta (art. 34).

Aukon sulkeminen rakentamatta uudelleen

Tehokas polku kohtelee NIS2:ta toimivan ISMS:n päälle tulevana lisänä, ei rinnakkaisena ohjelmana:

  • Kartoita liite A -kontrollit art. 21(2)(a)–(j) -listaan — useimmat solut ovat jo täynnä.
  • Pystytä ilmoitustyönkulku: kuka päättää "merkittävyydestä", kuka ottaa yhteyttä CSIRT:iin ja 24/72 tunnin pelikirja.
  • Tuo NIS2-hallinto hallitukseen: toimenpiteiden hyväksyntä, valvontaraportointi ja johdon koulutus (art. 20).
  • Päivitä toimittajavarmistus vuosittaisesta kyselystä jatkuvaan valvontaan kriittisille toimittajille.
  • Varmista rekisteröinti kansalliselle viranomaiselle ja että ISMS-laajuus kattaa soveltamisalaan kuuluvat palvelut.

Lähde: Direktiivi (EU) 2022/2555 (NIS2), artiklat 20, 21 ja 23 — ISO/IEC 27001 -kartoitus on suuntaa antava; varmista sitovat vaatimukset kansallisesta täytäntöönpanolaista.

Miten norppa.io auttaa

Kaksi aukkoa, jotka ISMS jättää suurimmiksi, ovat juuri ne, joita varten norppa.io on rakennettu: jatkuva toimittajavarmistus ja poikkeamavalmis näyttö. Jokainen valvottu toimittaja tarkistetaan päivittäin yli 100 kontrollipisteen yli, ja löydökset kartoitetaan samoihin art. 21 -alakohtiin, joita ISMS:si jo puhuu — niin toimitusketjukontrollista tulee jatkuva, ei vuosittainen.

Ja koska kaikki on aikaleimattu ja vietävissä ulos, art. 23 -ilmoitusta tai valvontatarkastusta tukeva näyttö on ISMS-dokumentaatiosi rinnalla eikä erillisessä siilossa. norppa.io täydentää ISO 27001:tä, ei kahdenna sitä.

Sulje toimitusketjun aukko, jonka ISMS jättää

Katso jatkuva, NIS2-kartoitettu toimittajavalvonta malliraportissa — kaksi minuuttia.

Katso malliraportti

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.