norppa.io
Oppaat

NIS2-opas · 9 min

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Toimittajan tietoturvakysely on NIS2:n 21 artiklan 2 kohdan d alakohdan due diligencen selkäranka — mutta useimmat ovat liian pitkiä, huonosti pisteytettyjä eikä niitä koskaan todenneta. Tämä opas käsittelee, mitä kannattaa oikeasti kysyä, miten vastaukset muutetaan päätöksiksi, miten toimitaan kun toimittaja ei täytä vaatimuksia, ja sen yhden heikkouden, joka jokaisella kyselyllä on. Lopussa on valmis malli, jonka voit mukauttaa.

Mitä kysyä — kuusi olennaista osa-aluetta

Hyvä kysely on lyhyt ja päätöskeskeinen. Kata nämä kuusi aluetta; vältä houkutusta lisätä viittäkymmentä ruutua, joita kukaan ei pisteytä.

1

Hallinto ja vastuuvelvollisuus

Kuka omistaa tietoturvan, ja valvooko johto sitä oikeasti? NIS2 tekee johdosta vastuuvelvollisen, joten tämä on ensimmäinen kypsyyden merkki.

2

Pääsynhallinta ja tunnistautuminen

Heikko tunnistautuminen on yleisin murtautumisreitti. Monivaiheinen tunnistautuminen ja vähimmäisoikeudet ovat perustaso, eivät bonus.

3

Häiriönhallinta ja ilmoittaminen

Tarvitset toimittajan, joka tunnistaa, rajaa ja kertoo nopeasti — 24 tunnin kello (Art. 23) voi käynnistyä heidän häiriöstään, ei sinun.

4

Toiminnan jatkuvuus ja varmuuskopiot

Jos toimittaja kaatuu tai joutuu kiristyshyökkäyksen kohteeksi, kuinka nopeasti saat palvelun takaisin? Testatut varmuuskopiot ja ilmoitettu palautumisaika ovat tärkeitä.

5

Toimitusketju ja neljännen osapuolen riski

Toimittajasi toimittajat ovat myös sinun riskisi. Kysy, arvioivatko he omat kriittiset alihankkijansa ja ilmoittavatko muutoksista.

6

Tekniikka ja tietosuoja

Salaus, päivitystahti ja datan sijainti — konkreettiset kontrollit, jotka ulkoinen skannaus voi myöhemmin vahvistaa.

Miten pisteyttää vastaukset — älä vain kerää niitä

Kysely tuo arvoa vain, jos vastaukset muuttavat päätöksen. Pisteytä, älä vain arkistoi:

  • Painota riskin mukaan — asiakasdataasi käsittelevän toimittajan 'ei' MFA:han painaa enemmän kuin matalan tason toimittajan puuttuva käytäntödokumentti. Painota kysymykset ennen lähetystä.
  • Käsittele 'kesken' arvona 'ei' — kunnes kontrolli on käytössä ja todennettu, pisteytä se puutteeksi korjauspäivämäärällä, ei hyväksytyksi.
  • Merkitse vastaamattomuus — epämääräiset tai väistelevät vastaukset ovat itsessään signaali. Vaadi tarkkuutta tai näyttöä rastiruudun sijaan.
  • Päivitä lähtötaso aikataulun mukaan — vastaukset vanhenevat. Kerran vuodessa tehty kysely kuvaa yhtä päivää, ei sitä seuraavaa vuotta.

Mitä tehdä, kun toimittaja ei täytä vaatimuksia

Puute ei automaattisesti ole syy luopua toimittajasta — mutta sen on johdettava jonnekin. Sovi korjaussuunnitelma nimetyillä vastuuhenkilöillä ja päivämäärillä, kirjaa se, ja tee olennaisista puutteista sopimusperusteisia: oikeus näyttöön, korjauspäivä ja eskalointipolku, jos aikataulu pettää.

Kriittisten toimittajien osalta sido korjaus suhteeseen: uudelleenarviointi ennen uusimista, tietoturvalausekkeet sopimukseen ja oikeus pyytää näyttöä — ei vain vakuutuksia. Dokumentoi päätös joka tapauksessa. Jäännösriskin hyväksyminen on legitiimi valinta, mutta vain kun se on kirjattu, omistettu päätös eikä huolimattomuus.

Kyselyn sokea piste: itsearviointi

Jokainen kyselyn vastaus on väite, jonka toimittaja esittää itsestään. Osa on rehellisiä, osa optimistisia, osa yksinkertaisesti vanhentuneita siihen mennessä kun luet ne. Kysely kertoo, mitä toimittaja uskoo — tai haluaa sinun uskovan — tietoturvastaan, ei sitä mikä on todellisuudessa alttiina internetissä.

Siksi vahvimmat ohjelmat yhdistävät SAQ:n ulkoiseen tekniseen näyttöön. Jos toimittaja vastaa 'kyllä, kaikki liikenne on salattu' mutta skannaus löytää vanhentuneen sertifikaatin tai salaamattoman kirjautumislomakkeen, sinulla on ristiriita, josta kannattaa keskustella. Kysely tallentaa prosessin ja aikomuksen; jatkuva ulkoinen seuranta vahvistaa — tai haastaa — sen. Käytä molempia.

Valmis kyselymalli, jonka voit mukauttaa

Kopioi nämä osiot omaan prosessiisi. Pidä vastaukset muodossa kyllä / ei / kesken sekä näyttökenttä, jotta jokainen väite voidaan myöhemmin perustella.

1. Hallinto ja vastuuvelvollisuus

  • Onko tietoturvalle nimetty vastuuhenkilö?
  • Onko ylin johto hyväksynyt tietoturvakäytännön viimeisten 12 kuukauden aikana?
  • Saako henkilöstö tietoturvakoulutusta vähintään vuosittain?

2. Pääsynhallinta ja tunnistautuminen

  • Onko monivaiheinen tunnistautuminen pakotettu etä- ja hallintakäytössä?
  • Tarkistetaanko käyttöoikeudet ja perutaanko ne ripeästi roolien muuttuessa?
  • Sovelletaanko vähimmäisoikeuksia järjestelmiin, joissa on dataamme?

3. Häiriönhallinta ja ilmoittaminen

  • Onko dokumentoitu häiriönhallintasuunnitelma, joka on testattu viimeisten 12 kuukauden aikana?
  • Voitteko ilmoittaa meille olennaisesta häiriöstä 24 tunnin kuluessa?
  • Onko teillä ollut ilmoitettava tietoturvaloukkaus viimeisen 24 kuukauden aikana? Jos, mitä muuttui?

4. Toiminnan jatkuvuus ja varmuuskopiot

  • Ovatko varmuuskopiot salattuja, testattuja ja säilytetään offline tai muuttumattomina?
  • Mikä on palautumisaikatavoitteenne (RTO) meille tarjoamallenne palvelulle?
  • Onko teillä toipumissuunnitelma, ja milloin sitä viimeksi harjoiteltiin?

5. Toimitusketju ja neljännen osapuolen riski

  • Arvioitteko omien kriittisten alihankkijoidenne tietoturvan?
  • Ilmoitatteko meille muutoksista alikäsittelijöihin, jotka käsittelevät dataamme?
  • Onko teillä olennaisia sertifiointeja (esim. ISO 27001)? Voitteko jakaa soveltamisalan?

6. Tekniikka ja tietosuoja

  • Onko data salattu siirrettäessä ja levossa nykyisten standardien mukaisesti?
  • Suoritatteko säännöllistä haavoittuvuusskannausta ja paikkaatteko määritellyn aikataulun mukaan?
  • Millä lainkäyttöalueilla dataamme säilytetään ja käsitellään?

Lähde: Direktiivi (EU) 2022/2555 (NIS2), 21 artiklan 2 kohdan d alakohta — toimitusketjun turvallisuus — kartoita kysymykset Art. 21 -toimenpiteisiin ja kansalliseen täytäntöönpanolakiisi.

Miten norppa.io auttaa?

norppa.io lähettää itsearviointikyselyt (SAQ) toimittajillesi suoraan alustalta — ei taulukoita, ei sähköpostiketjujen perässä juoksemista. Vastaukset seurataan, versioidaan ja pisteytetään yllä olevan riskipainotuksen mukaan.

Ratkaisevaa on, että jokainen SAQ-vastaus ristiinvalidoidaan toimittajan reaaliaikaista teknistä riskiprofiilia vastaan (100+ tarkistusta päivittäin). Kun positiivinen väite on ristiriidassa havaintojemme kanssa, norppa.io merkitsee sen näyttöperusteiseksi — joten näet paitsi mitä toimittajat sanovat, myös pitääkö se paikkansa. Kyselyn sokea piste suljettuna.

Lähetä ensimmäinen SAQ — ja näe se ristiinvalidoituna

Katso esimerkkiraportti toimittajasta tai tutustu siihen, miten kyselyt toimivat norppa.io:ssa.

Katso esimerkkiraportti Tietoa SAQ:sta

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.