Opas · 10 min lukuaika
Toimittajan kyberriskiarvio — mitä automaattinen NIS2-seuranta tarkistaa
Täydellinen kuvaus kaikista tarkistuskategorioista, niiden merkityksestä NIS2:n kannalta ja siitä, miten löydökset muuttuvat toimenpiteiksi.
Passiivinen tiedustelu — ei liikennettä toimittajalle
Automaattinen seuranta perustuu passiiviseen tiedusteluun: kaikki tieto kerätään julkisista lähteistä — sertifikaattirekistereistä, DNS-tietueista, kiristysohjelmatietokannoista, HIBP-tietomurtokannoista, pakoterekistereistä ja avoimista OSINT-syötteistä. Toimittajan verkkoon ei lähetetä liikennettä eikä toimittajan suostumus ole tarpeen.
Täysi tarkistuskokonaisuus ajetaan päivittäin, ja kiristysohjelma- ja dark web -virrat noin 6 tunnin välein. Kriittiset havainnot — kuten ransomware-uhrilistaus tai aktiivinen dark web -tunnistetietovuoto — laukaisevat välittömän sähköpostihälytyksen.
Ransomware-uhriseuranta
Art. 21(2)(b)Useat kiristysohjelmatiedusteluvirrat tarkistetaan noin 6 tunnin välein. Jos toimittajasi ilmestyy uhrilistalle — merkki aktiivisesta tai äskettäisestä kiristyshaittaohjelmahyökkäyksestä — saat hälytyksen saman päivän aikana. Tällöin voi olla perusteita toimittajan kanssa käytävään kiireelliseen keskusteluun siitä, onko sinulle tai dataasi kohdistunut riski.
Dark web -tunnistetietovuodot
Art. 21(2)(i)Infostealer-haittaohjelmien keräämät tunnistetietotietokannat ja dark web -markkinat skannataan toimittajan domainiin kytkettyjen sähköpostien ja salasanojen varalta. Vaarantuneet tunnistetiedot ovat yleisin kyberhyökkäysten lähtökohta — toimittajasi työntekijöiden vuotaneet kirjautumistiedot voivat päätyä järjestelmiisi.
Sähköpostisuojaus
Art. 21(2)(h)Puuttuva tai virheellinen SPF, DKIM tai DMARC mahdollistaa toimittajan domainin väärinkäytön sähköpostiväärennöksiin. Tarkistetaan myös MTA-STS (sähköpostin siirtokerroksen suojaus), TLS-RPT-raportointirekisteri sekä BIMI-brändi-ikoni. Kaikki ovat NIS2 Art. 21(2)(h) mukaisia kryptografisia vaatimuksia.
TLS-sertifikaatit ja DNSSEC
Art. 21(2)(h)TLS-sertifikaattien voimassaolo tarkistetaan ja hälytys laukeaa 14 päivää ennen vanhenemista. DNSSEC-validointi tarkistaa, onko DNS-ketju allekirjoitettu ja eheä — puuttuva DNSSEC altistaa toimittajan DNS-väärennöksille. CAA-tietueet osoittavat, onko sertifikaattien myöntäminen rajattu hyväksytyille CA:ille.
Verkkosivujen turvallisuuskonfiguraatio
Art. 21(2)(c)Evästeiden turva-attribuutit (Secure, HttpOnly, SameSite) tarkistetaan — puuttuvat attribuutit mahdollistavat istunnon kaappaamisen tai XSS-hyökkäykset. robots.txt analysoidaan arkaluonteisten polkujen paljastamisen varalta. security.txt tarkistetaan vastuullisen haavoittuvuusilmoituskanavan olemassaolon vahvistamiseksi.
Haavoittuvuudet ja CVE/EPSS-pisteet
Art. 21(2)(e)CISA KEV -listan (Known Exploited Vulnerabilities) havainnot toimittajan infrastruktuuriin liitetyistä CVE:istä tunnistetaan välittömästi. EPSS-pisteet (Exploit Prediction Scoring System) priorisoivat haavoittuvuudet hyödynnettävyystodennäköisyyden mukaan — ei pelkästään CVSS-vakavuusluokituksen perusteella.
Pakotteet ja MX-mustataulutarkistukset
Art. 21(2)(e) & Art. 21(2)(j)EU-, YK- ja OFAC-pakotelistat tarkistetaan toimittajan organisaatiota vastaan. Toimittajan sähköpostipalvelimien (MX-tietueet) IP-osoitteet tarkistetaan neljää mustataulurekisteriä (RBL) vastaan — mustataulistus viittaa sähköpostiväärinkäytöksiin tai aiempaan kompromissointiin.
SAQ — itsearviointikysely
Art. 21(2)(a) & (b) & (d)Tekninen seuranta kattaa ulkoa näkyvän pinnan. Prosessitason vaatimukset — riskienhallinta, poikkeamakäsittely, toimitusketjun hallinta — katetaan lähettämällä toimittajalle SAQ-itsearviointikysely norppa.io-portaalista. Vastaukset tallennetaan ja yhdistetään tekniseen riskiprofiiliin.
Riskipisteytys ja vakavuustasot
Jokainen löydös luokitellaan neljälle vakavuustasolle: kriittinen (välitön toimenpide), korkea (korjaus 7 pv), keskitaso (korjaus 30 pv) ja matala (tiedoksi). Riskipistemäärä (0–100, 100 = puhdas) lasketaan avoimien löydösten vakavuuden perusteella.
Riskipistemäärä on tarkoitettu prioriteettityökaluksi, ei absoluuttiseksi totuudeksi. Toimittaja saattaa saada matalan pisteytyksen yksittäisestä kriittisestä haavoittuvuudesta, vaikka muu tietoturvapostuuri olisi vahva.
Löydösten elinkaari
Löydös syntyy, kun tarkistus havaitsee poikkeaman. Se pysyy avoimena, kunnes ongelma on korjattu — tarkistin vahvistaa korjauksen automaattisesti seuraavalla ajolla. Jos löydös on tiedostettu riski, jonka asiakas hyväksyy, se voidaan merkitä "hyväksytyksi riskiksi" kommentilla. Samasta löydöksestä ei hälytellä uudelleen, kunnes tilanne muuttuu.
Kaikki löydökset kartoitetaan automaattisesti vastaavaan NIS2 Art. 21(2) alakohtaan — ne näkyvät sekä portaalin reaaliaikaisessa näkymässä että kuukausittaisessa PDF-raportissa.
NIS2-kartoitus ja raportointi
Kuukausittainen raportti sisältää tekoälytiivistelmän, NIS2-pisteet artikkeleittain, toimittajakohtaiset riskiprofiilit sekä priorisoitujen korjaustoimenpiteiden listan. Raportti on suunniteltu johdolle suunnattuun esittelyyn — ei pelkkien teknisten tiimien käyttöön.
Raportista löytyvät myös ne löydökset, jotka on hyväksytty dokumentoituina riskeinä. Tämä on tärkeää tilintarkastuksen kannalta: NIS2 ei vaadi nollatoleranssia löydöksille vaan dokumentoitua riskienhallintaa.
Oma domain — kattavampi ulkoinen arviointi
Toimittajadomainit arvioidaan passiivisella OSINT-seurannalla — vain julkisesti saatavilla oleva data. Oma domainisi voi lisäksi saada kuukausittaisen ulkoisen tietoturva-arvioinnin: paljaana olevat portit ja palvelut, tunnetut haavoittuvuudet ja SSL/TLS-konfiguraatio. Ei integraatiota, ei pääsyä sisäverkkoosi.