norppa.io
Kaikki oppaat

Opas · 12 min lukuaika

NIS2 ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi on muuttanut kyberturvallisuusvaatimusten perustan Euroopassa. Yksi konkreettisimmista velvoitteista koskee toimitusketjua: sinun on hallittava myös toimittajiesi kyberriskit, ei vain omasi. Tämä ei tarkoita kerran vuodessa lähetettyä kyselylomaketta. Direktiivin täytäntöönpanon määräaika (17.10.2024) on umpeutunut ja velvoitteet ovat voimassa; jäsenvaltiot saattavat NIS2:n kansalliseen lainsäädäntöön eri tahtiin, ja valvonta on alkanut.

Ketä vaatimus koskee?

NIS2 jakaa toimijat kahteen luokkaan koon ja toimialan perusteella:

Merkittävät toimijat

Energia, liikenne, pankki- ja rahoitusmarkkinat, terveydenhuolto, juomavesi, jätevesi, digitaalinen infrastruktuuri, hallituksen ICT ja avaruus.

Tärkeät toimijat

Posti- ja kuriiripalvelut, jätehuolto, kemikaaliteollisuus, elintarviketuotanto, valmistava teollisuus, digitaaliset palvelut ja tutkimusorganisaatiot.

Kokoraja on yleensä 50 työntekijää tai 10 miljoonan euron liikevaihto. Sen ylittävät yritykset kuuluvat automaattisesti NIS2:n piiriin.

Huomionarvoista on, että myös pienemmät yritykset voivat joutua vaatimusten piiriin sopimusteitse — jos toimitat kriittisiä palveluja NIS2-velvolliselle asiakkaalle, hän todennäköisesti edellyttää sinulta vaatimustenmukaisuutta sopimuksessa.

Virallinen lähde: NIS2-direktiivi EUR-Lex:ssä — ks. erityisesti johdantokappaleet 80–90 ja Art. 21.

Mitä Art. 21(2)(d) konkreettisesti vaatii?

Artikla 21(2)(d) velvoittaa toimitusketjun turvallisuuteen liittyviin toimenpiteisiin. ENISA:n ja kansallisten viranomaisten ohjauksen perusteella vaatimus sisältää neljä keskeistä elementtiä:

1

Toimittajan riskiarviointi ennen sopimusta

Ennen uuden toimittajan käyttöönottoa sinun on arvioitava heidän kyberturvallisuuden tasoa. Tämä ei tarkoita pelkkää kyselylomaketta — se tarkoittaa todennettavaa arviointia: onko toimittaja joutunut tietomurron kohteeksi, onko heidän infrastruktuurissaan tunnettuja haavoittuvuuksia, ovatko heidän sertifikaattinsa kunnossa? Arvioinnin tulee kattaa toimittajan koko internetiin näkyvä jalanjälki — ei vain päädomain, vaan myös IP-osoitteet ja infrastruktuuri jotka eivät ole sen takana (esim. VPN-yhdyskäytävät, sähköpostipalvelimet, dedikoidut isännät).

2

Sopimuslausekkeet ja ilmoitusvelvollisuus

Sopimukseen on kirjattava toimittajan velvollisuus ilmoittaa tietoturvahäiriöistä viivytyksettä. Ilman tätä lauseketta et pysty täyttämään omaa 24 tunnin esiilmoitusvelvollisuuttasi Traficomille, jos toimittajan häiriö vaikuttaa palveluihisi.

3

Jatkuva seuranta sopimuksen aikana

Tässä kohdin useimmat organisaatiot ovat vielä jäljessä. NIS2:n 'asianmukaisten toimenpiteiden' vaatimus edellyttää käytännössä jatkuvaa seurantaa — ei pelkkää vuosittaista tarkistusta. Toimittajan tilanne voi muuttua radikaalisti päivässä: kiristysohjelma, tietomurto, kriittinen haavoittuvuus. Vuosiarviointi tuskin havaitsee näitä ajoissa.

4

Dokumentoitu todistusaineisto

Valvontaviranomainen voi pyytää todisteita siitä, miten olet hallinnoinut toimittajariskejä. "Me olemme seuranneet tilannetta" ei riitä — tarvitaan aikaleimallinen dokumentaatio havainnoista, toimenpiteistä ja hyväksytyistä riskeistä.

Miksi kerran vuodessa tehtävä arviointi ei riitä

Perinteinen toimittaja-audit — kyselylomake kerran vuodessa, ehkä sertifikaatti — vastaa NIS2:n perustusvaatimuksiin mutta ei jatkuvan seurannan velvoitteeseen. Harkitse seuraavia todellisia skenaarioita:

!

Toimittajasi joutuu kiristysohjelmahyökkäyksen kohteeksi tammikuussa. Vuosiarviointi on tehty maaliskuussa. Saat tietää asiasta kesäkuussa, kun projekti viivästyy.

!

Toimittajasi henkilöstön tunnistautumistiedot vuotavat dark web -markkinoille. Et tiedä tästä mitään, kunnes hyökkääjä käyttää niitä järjestelmiin, joihin toimittajalla on pääsy.

!

Toimittajan TLS-sertifikaatti vanhenee eikä palvelu toimi. Sinä huomaat sen asiakaspalvelun kautta.

Kaikki kolme ovat tunnistettavia tilanteita — tyypillisiä tapoja, joilla toimittajariski konkretisoituu. Jatkuva seuranta tarkoittaa kykyä havaita nämä muutokset päivien, ei kuukausien kuluessa.

Toimittajien priorisointi: tierointi

Kaikkia toimittajia ei tarvitse seurata samalla intensiteetillä. Riskiperusteinen tierointi on sekä käytännöllinen että direktiivin hengen mukainen:

Tier 1 — Kriittiset toimittajat

Suora pääsy järjestelmiisi, dataan tai tuotantoympäristöihin. Korkein seurantataso, täysi SAQ, tekninen jatkuva seuranta. Esim. pilvipalveluntarjoajat, ERP-toimittajat, tietoturvapalvelut.

Tier 2 — Tärkeät toimittajat

Merkittävä rooli liiketoiminnassa mutta rajoitettu suora pääsy kriittisiin järjestelmiin. Säännöllinen tekninen seuranta, kevyempi SAQ. Esim. HR-ohjelmistot, markkinointityökalut, logistiikkakumppanit.

Tier 3 — Vähäriskiset toimittajat

Rajallinen tai ei suoraa pääsyä kriittiseen dataan. Vuosiarviointi riittää. Esim. toimistotarvikkeet, siivouspalvelut, paikallinen catering.

Neljännen osapuolen riski — usein unohdettu

NIS2 ei rajoitu vain suoriin toimittajiin. Toimittajasi omat toimittajat voivat aiheuttaa sinulle riskin. Jos pilvipalveluntarjoajasi käyttää alihankkijaa tietokeskuspalveluihin, ja kyseinen alihankkija joutuu hyökkäyksen kohteeksi, vaikutus voi kertautua koko ketjun läpi.

Tämän vuoksi toimittajien tarkistuslista sisältää kysymyksen: tietääkö toimittaja omat kriittiset alihankkijansa ja arvioidaanko myös niitä?

Art. 23: ilmoitusvelvollisuus toimitusketjuhäiriöistä

Jos toimittajan tietoturvahäiriö aiheuttaa merkittävän häiriön omille palveluillesi, syntyy 24 tunnin esiilmoitusvelvollisuus Traficomille. Tätä seuraa 72 tunnin ilmoitus ja kuukauden kuluttua loppuraportti.

Käytännön ongelma: tietääksesi toimittajan häiriöstä riittävän ajoissa sinulla on oltava reaaliaikainen näkyvyys heidän tilaansa. Toimittaja ei välttämättä ilmoita häiriöstä omaehtoisesti — tai tekee sen liian myöhään. Jatkuva seuranta korvaa tämän aukon.

Traficomin ohjeet: NIS2-direktiivin täytäntöönpano Suomessa — kansallinen valvontaviranomainen ja ilmoitusohjeet.

Mitä valvontaviranomainen etsii?

Traficom ja muut kansalliset NIS2-valvontaviranomaiset arvioivat vaatimustenmukaisuutta käytännön todisteilla, ei vakuutuksilla. Auditissa hyödyllisiä asiakirjoja ovat:

  • Toimittajarekisteri tieroineen ja riskiluokituksineen
  • SAQ-vastaukset ja niiden päivämäärät
  • Teknisen seurannan lokitiedot — mitä on tarkistettu, milloin, mitä löytyi
  • Hyväksyttyjen riskien dokumentaatio — kirjallinen päätös riskistä joka on tiedostettu mutta hyväksytty
  • Reagointihistoria — miten löydöksiin on reagoitu, mihin mennessä

Nämä asiakirjat on pystyttävä tuottamaan pyynnöstä. Retroaktiivinen dokumentointi ei käytännössä riitä vastaamaan viranomaisen tietopyyntöihin.

Miten norppa.io auttaa?

norppa.io on suunniteltu vastaamaan juuri näihin haasteisiin. Jokainen seurannassa oleva toimittajadomain tarkistetaan 100+ tarkistuspisteessä päivittäin, ja kriittiset tapahtumat kuuden tunnin välein — automaattisesti, ilman manuaalista työtä. Havainnot kartoitetaan automaattisesti NIS2-artikloihin, kuukausittainen PDF-raportti on johdolle sopivassa muodossa ja koko historia on vietävissä CSV-muodossa tilintarkastajalle.

SAQ-kysely lähetetään toimittajille suoraan norppa.io:sta ja vastaukset yhdistyvät tekniseen riskiprofiiliin — yhtenäinen näkymä sekä prosessi- että tekniseen tasoon.

Haluatko nähdä miltä raportti näyttää käytännössä?

norppa.io automatisoi teknisen seurannan ja tuottaa NIS2-todistusaineiston. Katso esimerkkiraportti — oikea formaatti, fiktiivinen data.

Katso esimerkkiraportti

Aiheeseen liittyvät oppaat

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.