norppa.io
Kaikki oppaat

Opas · 9 min lukuaika

NIS2 Art. 21(2) — tarkistuslista toimittajille

Käytännön tarkistuslista hankinta- ja tietoturvatiimeille. Käytä sekä uusien toimittajien arvioinnissa että vuosittaisessa toimittajatarkastuksessa — sisältää mitä kysyä, mitä dokumentoida ja miten reagoida puutteisiin.

NIS2 Art. 21(2)(d) velvoittaa sinut arvioimaan toimittajien tietoturvatason osana omaa toimitusketjuriskienhallintaasi. Vaatimus koskee sekä uusia toimittajia että olemassa olevia toimittajasuhteita — vuosittainen arviointi on minimi.

Tämä tarkistuslista kattaa kuusi Art. 21(2) alakohtaa, jotka ovat toimitusketjun kannalta olennaisimmat. Jokainen osio sisältää kolme kysymystä, lyhyen perustelun miksi se on merkittävää ja ehdotuksen todentamisasiakirjoista.

Huom: Tarkistuslista on ohjeellinen — Traficom tai tilintarkastaja saattaa edellyttää lisätoimia toimialasi tai organisaatiosi koon perusteella. Sopimusoikeudelliset vaatimukset kannattaa tarkistaa lakimieheltä.

Art. 21(2)(a)Riskienhallinta

NIS2 edellyttää, että toimittajallasi on järjestelmällinen tapa tunnistaa ja hallita kyberriskejä — ei vain kerran vuodessa, vaan jatkuvasti. Kysy näyttöä prosessista, ei pelkkää vastausta.

  • Toimittajalla on dokumentoitu tietoturvariskien hallintaprosessi (esim. ISMS tai ISO 27001 -sertifikaatti)
  • Riskienhallinta käsitellään säännöllisesti johtoryhmässä tai hallituksessa — viimeisin käsittelypäivä tiedossa
  • Kriittiset tietojärjestelmät ja datan käsittelyvastuut on kartoitettu ja luokiteltu

Pyydä todentamisasiakirjaksi:

  • · Riskienhallinnan menettelytapaohje tai ISMS-dokumentti
  • · ISO 27001 -sertifikaatti tai vastaava auditointiraportti

Art. 21(2)(b)Poikkeamien käsittely

NIS2 Art. 23 edellyttää merkittävien tietoturvahäiriöiden ilmoittamista viranomaiselle 24 tunnin sisällä. Käytännössä tämä onnistuu vain, jos toimittajasi ilmoittaa sinulle ajoissa — siksi ilmoitusvelvoite on tärkeää kirjata sopimukseen.

  • Toimittajalla on dokumentoitu tietoturvahäiriöiden hallintaprosessi ja testatusti toimiva IR-suunnitelma
  • Toimittaja sitoutuu sopimuksessa ilmoittamaan häiriöistä 24 tunnin kuluessa havaitsemisesta
  • Häiriötilanteen yhteyshenkilö (CSIRT-yhteystieto) on nimetty ja tavoitettavissa ympäri vuorokauden

Pyydä todentamisasiakirjaksi:

  • · Incident response -suunnitelman tiivistelmä
  • · Kirjallinen sitoumus 24 h ilmoitusvelvoitteesta sopimuksessa

Art. 21(2)(d)Toimitusketju

NIS2 ulottuu myös toimittajiesi toimittajiin — ns. neljännen osapuolen riskiin. Sinun tulee tietää, kuka käsittelee dataasi tai järjestelmiäsi myös epäsuorasti.

  • Toimittaja tuntee omat kriittiset alihankkijansa, joilla on pääsy dataan tai järjestelmiin
  • Toimittajalla on prosessi alihankkijoidensa turvallisuuden arviointiin vähintään vuosittain
  • Toimittajasopimuksissa on tietoturvavaatimukset kirjattuna — ei vain viittaus yleisiin ehtoihin

Pyydä todentamisasiakirjaksi:

  • · Toimittajan alihankkijarekisteri tai tiivistelmä kriittisistä 4. osapuolista
  • · Neljännen osapuolen arviointiprosessin kuvaus

Art. 21(2)(e)Hankinta ja kehitys

Tunnetut haavoittuvuudet ja end-of-life -ohjelmisto ovat yleisimpiä hyökkäysvektoreita. Toimittajan tulee pystyä osoittamaan, että se seuraa haavoittuvuuksia aktiivisesti.

  • Tuotantoympäristössä ei ole käytössä tunnettuja end-of-life- tai end-of-support-ohjelmistoja
  • Kriittiset haavoittuvuudet (CVSS ≥ 9.0) paikataan 30 päivän kuluessa julkaisusta
  • CISA KEV -listalla olevat haavoittuvuudet korjataan 48 tunnin kuluessa listalle päätymisestä

Pyydä todentamisasiakirjaksi:

  • · Haavoittuvuuksien hallintaprosessin kuvaus
  • · Viimeisin patch-raportti tai haavoittuvuuksien tilannekuva

Art. 21(2)(h)Kryptografia

Vanhentuneet TLS-sertifikaatit, puuttuva HTTPS-ohjaus ja konfiguroimattomat sähköpostisuojaukset ovat teknisiä puutteita, jotka norppa.io tarkistaa automaattisesti päivittäin.

  • Kaikki julkiset palvelut käyttävät voimassa olevaa TLS-sertifikaattia — ei vanhentuneita tai itseallekirjoitettuja
  • HTTPS-uudelleenohjaus on pakollinen kaikissa verkkosivuissa ja API-endpointeissa
  • Sähköpostisuojaus on asianmukaisesti konfiguroitu: SPF (hardfail), DKIM (allekirjoitettu) ja DMARC (vähintään quarantine)

Pyydä todentamisasiakirjaksi:

  • · TLS-sertifikaattien hallintaprosessin kuvaus
  • · DMARC-raportti tai DNS-konfiguraatiotuloste

Art. 21(2)(i)Käyttöoikeuksien hallinta

Varastetut tunnistetiedot ovat yleisin kyberhyökkäysten lähtökohta. Toimittajan tulee pystyä osoittamaan, että se sekä estää pääsyn väärinkäytön että havaitsee sen nopeasti.

  • MFA on käytössä pakollisesti kaikissa kriittisissä järjestelmissä ja ylläpitotileillä — ei poikkeuksia
  • Tunnistetietojen vuotoseuranta on järjestetty (dark web -lähteet, HIBP tai vastaava)
  • Vaarantuneet tunnistetiedot vaihdetaan välittömästi havaitsemisen jälkeen ja tapaus dokumentoidaan

Pyydä todentamisasiakirjaksi:

  • · MFA-pakotuksen konfiguraatiokuvakaappaus tai politiikka
  • · Tunnistetietojen vuotoseurannan palveluntarjoaja tai prosessikuvaus

Mitä tehdä, kun toimittaja ei täytä vaatimuksia?

Yksittäinen puute ei automaattisesti tarkoita toimittajasuhteen päättämistä. Olennaisempaa on reagoida järjestelmällisesti ja dokumentoida toimenpiteet.

1–2 puutetta: dokumentoi ja hyväksy

Kirjaa puutteet toimittajarekisteriin, pyydä toimittajaa toimittamaan korjaussuunnitelma 90 päivän sisällä ja tee seurantakysely seuraavassa vuositarkistuksessa.

3–5 puutetta tai puute Art. 21(2)(b):ssä: tehostettu seuranta

Nosta toimittaja korkeamman riskin kategoriaan. Pyydä kirjallinen korjaussuunnitelma aikatauluineen. Harkitse pääsyrajoituksia kriittisimpiin järjestelmiin, kunnes puutteet on korjattu.

6+ puutetta tai kriittinen tekninen haavoittuvuus: eskaloi

Eskaloi CISO:lle tai johtoryhmälle. Arvioi sopimuslausekkeiden käyttöä. Jos toimittajalla on pääsy tuotantodataan tai -järjestelmiin, harkitse pääsyn keskeyttämistä, kunnes tilanne on selvitetty.

Mitkä kohdat voidaan automatisoida?

Tarkistuslistasta kuusi kohtaa on luonteeltaan teknisiä — ne muuttuvat ajan myötä ilman, että toimittaja välttämättä ilmoittaa asiasta. Manuaalinen vuositarkastus ei yleensä riitä NIS2:n 'asianmukaisten toimenpiteiden' vaatimukseen.

norppa.io tarkistaa nämä kohdat automaattisesti joka päivä kaikille toimittajillesi:

  • Art. 21(2)(h): TLS-sertifikaattien voimassaolo ja HTTPS-uudelleenohjaus, SPF/DKIM/DMARC-konfiguraatio, DNSSEC
  • Art. 21(2)(i): Tunnistetietojen vuodot dark web -lähteistä ja HIBP-tietomurtokannoista
  • Art. 21(2)(e): CISA KEV -listauksien seuranta, CVE/EPSS-pisteytykseen perustuvat haavoittuvuushavainnot
  • Art. 21(2)(b): Kiristysohjelmauhrilistaukset — välitön hälytys, jos toimittaja ilmestyy listalle

Prosessitason kohdat (Art. 21(2)(a), (b), (d)) katetaan norppa.io:n SAQ-itsearviointikyselyllä, jonka voit lähettää toimittajalle suoraan portaalista.

Viralliset lähteet

Automatisoi tekniset tarkistukset norppa.io:lla

norppa.io tarkistaa tarkistuslistan tekniset kohdat automaattisesti joka päivä — kaikille toimittajillesi samanaikaisesti. Löydökset kartoitetaan automaattisesti NIS2 Art. 21(2) alakohtiin.

Katso esimerkkiraporttiTäytä SAQ-kysely

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.