Esimerkkiraportti — fiktiivinen yritysdata. Jokainen norppa.io-tilaus sisältää yli 100 automaattista tarkistusta kaikille seurannassa oleville domaineille — passiivinen OSINT ja HTTP-tietoturvatarkistukset — ajetaan automaattisesti päivittäin.

NIS2-toimitusketjutiedusteluraportti

Acme Manufacturing Oy

Raportointijakso: Maaliskuu 2026 · Luotu 1. huhtikuuta 2026

61/100

NIS2-riskipistemäärä

Vaatii toimenpiteitä

-13 (edellinen kuukausi: 74)

Yhteenveto

Kriittinen

Korkea

Kohtalainen

Info

5 toimittajaa seurannassa yli 100 automaattisella tarkistuksella päivittäin. 2 kriittistä löydöstä vaatii välittömiä toimenpiteitä — yksi toimittaja on ilmestynyt aktiiviselle uhkatoimijalistalle ja toisella on henkilöstön tunnuksia kiertämässä dark web -markkinoilla. 3 korkean tason infrastruktuuriongelmaa ja 2 keskitason löydöstä vaatii korjausta 7 päivän kuluessa. NIS2-artiklat 21(2)(d), 21(2)(e), 21(2)(h) ja 21(2)(i) sisältävät aktiivisia löydöksiä.

AI-tiivistelmä johdolle

Acme Manufacturingin NIS2-toimitusketjun riskitaso on heikentynyt tällä jaksolla — pistemäärä laski 74:stä 62:een kahden kriittisen löydöksen vuoksi, jotka vaativat välittömiä johdon toimenpiteitä.

Merkittävin uhka on Acme Logistics Oy:n aktiivinen kiristysohjelmauhrilistaus. Kyseinen uhkatoimijaryhmä on tunnettu pysyvästä verkkojalansijasta ja verkkopääsyn myynnistä toissijaisille toimijoille, mikäli ensisijaiset lunnasneuvottelut epäonnistuvat. Kaikki yhdyspisteet — APIt, tiedostosiirrot, jaetut tunnistautumisjärjestelmät — organisaatiosi ja Acme Logisticsin välillä on käsiteltävä mahdollisesti vaarantuneina, kunnes toimittaja toimittaa vahvistetun hallinnaraportin. Lisäksi 14 Nordic Cloud Servicesin henkilöstötunnusta kiertää dark web -infostealer-markkinoilla, mikä muodostaa merkittävän hyökkäysuhan jaetuille pilviympäristöille ja VPN-päätepisteille.

NIS2-vaatimustenmukaisuuden näkökulmasta neljällä artiklalla on aktiivisia löydöksiä tällä jaksolla: Art. 21(2)(d) (toimitusketjun riskienhallinta), 21(2)(e) (poikkeamaraportointivelvoitteet), 21(2)(h) (kryptografiset kontrollit — TLS-vanheneminen) ja 21(2)(i) (pääsynhallinta — tunnistetietohygienia). Art. 21(2)(d):n ja 21(2)(e):n nojalla vaaditaan välittömät dokumentoidut riskiarviot. Databridge.fi:n TLS-sertifikaatin vanheneminen 6 päivän kuluttua asettaa kovan määräajan — uusimatta jättäminen aiheuttaa palveluhäiriön ja muodostaa vaatimustenmukaisuusaukon Art. 21(2)(h):n mukaisesti.

Perustuu alla näkyviin löydöksiin — jokainen väittämä on auditoitavissa.

Prioriteettiset toimenpiteet

Acme Logistics Oy — kiristysohjelmauhrilistaus: ota yhteyttä toimittajaan välittömästi ja tarkista datavirrat. Aktivoi tietoturvavastetoimet.

Kriittinen

Nordic Cloud Services — 14 henkilöstön tunnusta dark webissä: ilmoita toimittajalle, vaadi salasanojen vaihto ja MFA.

Kriittinen

DataBridge Finland — TLS-sertifikaatti vanhenee 6 päivässä: pyydä toimittajaa uusimaan välittömästi palvelukatkoksen estämiseksi.

Korkea

Acme Logistics Oy — korkean riskin maan infrastruktuuri: pyydä toimittajalta infrastruktuuridokumentaatio ja tarkista NIS2 Art. 21(2)(d):n velvoitteet.

Korkea

Nordic Cloud Services — DMARC puuttuu: pyydä toimittajaa julkaisemaan DMARC-tietue domainin huijaamisen estämiseksi.

Korkea

NIS2-artiklojen vaatimustenmukaisuustila

Art. 21(2)(d)

Toimitusketju

Toimitusketjun turvallisuus ja kolmansien osapuolten toimenpiteet

1 löydös

Art. 21(2)(e)

Riskienhallinta

Riskienhallinta verkko- ja tietojärjestelmissä

3 löydöstä

Art. 21(2)(h)

Kryptografia

Kryptografia, TLS ja sertifikaattihygienia

4 löydöstä

Art. 21(2)(i)

Tunnistetiedot

Henkilöstöturvallisuus ja tunnistetietojen hallinta

1 löydös

Art. 23

Poikkeamaraportointi

Poikkeamaraportointi ja haavoittuvuuksien julkistaminen

1 löydös

Aktiiviset löydökset (9)

KriittinenAktiivinen kiristysohjelmauhrilistaus havaittuArt. 21(2)(e)

Acme Logistics Oy · acme-logistics.fi · Havaittu 15.3.2026

Toimittajadomain on ilmestynyt aktiiviselle uhkatoimijalistalle. Uhkatoimija väittää suorittaneensa datan suodatuksen.

AI-uhkakonteksti

Hyökkäysskenaario: Uhkatoimijaryhmä ylläpitää aktiivista pääsyä toimittajan järjestelmiin ja todennäköisesti asentaa lisää haittaohjelmia tai valmistautuu lisädatan suodatukseen. Kiristysohjelmaporukat myyvät usein verkkoon pääsyn muille uhkatoimijoille, jos ensisijaiset neuvottelut epäonnistuvat.

Liiketoimintariski: Kaikki järjestelmät, joita organisaatiosi jakaa tämän toimittajan kanssa — APIt, tiedostosiirrot, VPN:t — on käsiteltävä mahdollisesti vaarantuneina, kunnes toimittaja vahvistaa tilanteen hallinnan. NIS2 Art. 21(2)(e) edellyttää dokumentoitua riskinarviointia toimittajasuhteesta välittömästi.

Korjaustoimenpide: Ota välittömästi yhteyttä toimittajaan. Aktivoi tietoturvavastetoimet. Oleta palveluiden osittainen vaarantuminen ja tarkista datavirrat organisaatiosi ja toimittajan välillä.

KriittinenDark web — henkilöstön tunnuksia vuotanutArt. 21(2)(i)

Nordic Cloud Services · nordiccloud.fi · Havaittu 18.3.2026

Toimittajan henkilöstön tunnuksia kiertää dark web -markkinoilla infostealer-kampanjasta. Tunnistettiin 14 yksittäistä tiliä.

AI-uhkakonteksti

Hyökkäysskenaario: Infostealer-haittaohjelmien keräämät tunnukset myydään dark web -markkinoilla tunneissa keräämisestä ja niitä käytetään credential stuffing -hyökkäyksiin, istunnon kaappaukseen sekä VPN- tai pilviympäristöihin tunkeutumiseen. 14 altistuneen tilin myötä hyökkääjillä on useita sisääntuloreittejä toimittajan infrastruktuuriin.

Liiketoimintariski: Jos toimittaja käyttää vaarantuneita tunnuksia organisaatiosi järjestelmiin, ympäristösi saattaa jo olla vaarassa. NIS2 Art. 21(2)(i) edellyttää, että varmistat toimittajan MFA-käytäntöjen riittävyyden — dokumentoi vastauksesi ja toteutetut korjaustoimenpiteet.

Korjaustoimenpide: Ilmoita toimittajalle. Vaadi välitön salasanojen vaihto ja MFA kaikkiin tileihin. Varmista, ettei yhteisiä tunnuksia käytetä integraatioissa organisaatiosi järjestelmiin.

KorkeaInfrastruktuuri korkean riskin maassaArt. 21(2)(d)

Acme Logistics Oy · acme-logistics.fi · Havaittu 1.3.2026

Toimittajan pääasiallinen IP-osoite on rekisteröity EU:n korkean riskin kolmannen maan listalla olevaan lainkäyttöalueeseen. Tämä voi edustaa toimitusketjuriskiä NIS2 Art. 21(2)(d):n nojalla.

Korjaustoimenpide: Pyydä toimittajalta infrastruktuuridokumentaatio. Tarkista sopimukselliset velvoitteet ja tietojenkäsittelysopimukset NIS2 Art. 21(2)(d) toimitusketjuturvallisuusvaatimusten valossa.

KorkeaTLS-sertifikaatti vanhenee 6 päivässäArt. 21(2)(h)

DataBridge Finland · databridge.fi · Havaittu 24.3.2026

databridge.fi:n TLS-sertifikaatti vanhenee 30.3.2026. Palvelut muuttuvat saavuttamattomiksi tai näyttävät selainvaroituksia loppukäyttäjille vanhentumisen jälkeen.

Korjaustoimenpide: Pyydä toimittajaa uusimaan TLS-sertifikaatti välittömästi. Automaattinen uusinta ACME/Let's Encrypt -palvelulla suositellaan tulevien vanhentumisten estämiseksi.

KorkeaDMARC-politiikka puuttuuArt. 21(2)(h)

Nordic Cloud Services · nordiccloud.fi · Havaittu 1.3.2026

Domainille ei ole julkaistu DMARC-tietuetta. Domainia voidaan huijata organisaatioosi kohdistuvissa tietojenkalastelukampanjoissa.

Korjaustoimenpide: Pyydä toimittajaa julkaisemaan DMARC-tietue. Aloitetaan p=none -seurannalla, sitten tiukennetaan asteittain p=quarantine- tai p=reject -asetukseen.

KorkeaTunnettuja haavoittuvuuksia havaittu (CVE)Art. 21(2)(e)

Acme Logistics Oy · acme-logistics.fi · Havaittu 2.3.2026

2 CVE-haavoittuvuutta havaittu internet-altistuneessa infrastruktuurissa. CVE-2023-44487 (HTTP/2 Rapid Reset, CVSS 7.5) on luokiteltu korkeaksi ja sillä on tunnettuja julkisia hyväksikäyttötapoja.

Korjaustoimenpide: Pyydä toimittajaa asentamaan tietoturvapäivitykset välittömästi, erityisesti CVE-haavoittuvuuksille joilla on tunnettuja hyväksikäyttötapoja.

KohtalainenDNSSEC ei ole käytössäArt. 21(2)(h)

SupplyLink Partners · supplylink.eu · Havaittu 1.3.2026

DNSSEC ei ole konfiguroitu. DNS-vastauksia ei voida kryptografisesti todentaa, mikä altistaa domainin DNS-huijaushyökkäyksille.

Korjaustoimenpide: Pyydä toimittajaa ottamaan DNSSEC käyttöön domain-rekisteröijällään DNS-vastausten todentamiseksi väärentämistä vastaan.

Kohtalainensecurity.txt puuttuu (NIS2 Art. 23)Art. 23

DataBridge Finland · databridge.fi · Havaittu 1.3.2026

security.txt-tiedostoa ei löydy /.well-known/security.txt-polusta. NIS2 Art. 23 edellyttää saavutettavaa haavoittuvuusilmoituskanavaa.

Korjaustoimenpide: Pyydä toimittajaa luomaan security.txt-tiedosto /.well-known/security.txt-polkuun tietoturvayhteystiedoilla ja vastuullisen paljastamisen käytäntö-URL:lla.

InfoHTTP-tietoturvaotsikko puuttuu

SupplyLink Partners · supplylink.eu · Havaittu 1.3.2026

Content-Security-Policy-otsikko puuttuu pääverkkokohteesta. Tämä lisää altistumista XSS- ja sisältöinjektiohyökkäyksille.

Korjaustoimenpide: Pyydä toimittajaa konfiguroimaan HTTP-tietoturvaotsikot: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.

Haluatko tämän raportin omasta toimittajaverkostostasi?

Aloita ilmainen kokeilu — ei luottokorttia

Toimittajien riskiyhteenveto

Toimittaja	Domain	Tietoturvapistemäärä	Kriittinen	Korkea
Acme Logistics Oy	acme-logistics.fi	22	2	1
Nordic Cloud Services	nordiccloud.fi	48	1	1
DataBridge Finland	databridge.fi	64	—	1
SupplyLink Partners	supplylink.eu	81	—	—
Vantage IT Oy	vantage-it.fi	97	—	—

Oma ympäristö

acme-manufacturing.fi

Viimeksi skannattu: 7.5.2026

78/100

Tietoturvapistemäärä

Kohtalainensecurity.txt puuttuu (NIS2 Art. 23)Art. 23

security.txt-tiedostoa ei löydy /.well-known/security.txt-polusta. NIS2 Art. 23 edellyttää saavutettavaa haavoittuvuusilmoituskanavaa.

Korjaustoimenpide: Luo security.txt-tiedosto /.well-known/security.txt-polkuun tietoturvayhteystiedoilla ja käytännön URL:lla.

KohtalainenDNSSEC ei ole käytössäArt. 21(2)(h)

DNSSEC ei ole konfiguroitu domainillesi. DNS-vastauksia ei voida kryptografisesti todentaa.

Korjaustoimenpide: Ota DNSSEC käyttöön domain-rekisteröijällä DNS-vastausten todentamiseksi väärentämistä vastaan.

Oma domainisi saa samat yli 100 automaattista tarkistusta kuin toimittajasi — passiivinen OSINT ja HTTP-tietoturvatarkistukset päivittäin. Full Scan -lisäosa (jos käytössä) kohdistuu tähän domainiin kuukausittaisella syvässkannauksella.

Toimittajien itsearviointilomakkeet (SAQ)

Toimittajat täyttävät 28 kysymyksen NIS2-itsearviointilomakkeen. Vastaukset pisteytetään automaattisesti ja näkyvät tässä automatisoitujen löydösten rinnalla — kaksi kerrosta vaatimustenmukaisuustodistetta yhdessä raportissa.

Toimittaja	SAQ-pistemäärä	Status
Acme Logistics Oy	—	Odottaa vastausta
Nordic Cloud Services	61/100	Lähetetty · 20.3.2026
DataBridge Finland	74/100	Lähetetty · 8.3.2026
SupplyLink Partners	—	Ei lähetetty
Vantage IT Oy	91/100	Lähetetty · 5.3.2026

Nordic Cloud Services

[email protected] · 20.3.2026

61/100

SAQ-pistemäärä

Osiokohtainen erittely

Hallinto ja tietoturvakäytännöt

Art. 21(2)(a)

Pääsynhallinta ja autentikointi

Art. 21(2)(i)(j)

Poikkeamien käsittely ja ilmoittaminen

Art. 21(2)(b), Art. 23

Tietosuoja ja kryptografia

Art. 21(2)(h)

Liiketoiminnan jatkuvuus

Art. 21(2)(c)

Toimitusketju ja kolmannet osapuolet

Art. 21(2)(d)

Haavoittuvuuksien hallinta

Art. 21(2)(e)(g)

Analyytikon huomio: SAQ paljastaa, että MFA ei ole käytössä kaikilla tileillä eikä poikkeamasuunnitelmaa ole testattu — yhdenmukainen automaattisessa seurannassa havaitun dark web -tunnistetietovuodon kanssa.

Seurantametodologia

Yli 100 automaattista tarkistusta ajetaan päivittäin kaikille seurannassa oleville domaineille, ja kiristysohjelma- ja dark web -seuranta 6 tunnin välein. Tarkistukset kattavat: kiristysohjelmauhrilistaukset (useita uhkatiedusteluvirtoja), dark web -infostealer-tunnistetietovuodot, TLS/sertifikaattiterveys, DNS-eheys (SPF, DMARC, DKIM, DNSSEC), DNSSEC-validointiketju, MX-palvelinten DNS-mustatauluosumat, sähköpostin väärentämisriski (TLS-RPT, MTA-STS, BIMI, BEC-composite-pisteet), evästeturvallisuus (Secure, HttpOnly, SameSite), robots.txt- ja sitemap-polkupaljastukset, IP-sijainti ja korkean riskin maadetektio, tunnetut haavoittuvuudet (CVE/EPSS), AiTM-phishing-infrastruktuurin tunnistus CT-lokeista, RPKI/BGP-reittilähtövalidointi, yritysrekisteri- ja LEI-tila (PRH, GLEIF), dangling CNAME- ja MX-tunnistus, SBOM/CSAF-viitedetektio, security.txt, tietoturvaotsikot, HTTPS-uudelleenohjauksen vahvistus sekä verkkosivumuutosten seuranta.

Uutta 2026

post-quantum TLS -valmiuden tunnistus (NIST FIPS 203 ML-KEM -hybridit), Model Context Protocol (MCP) -päätepisteen altistumistarkistus, JavaScript-bundle-salaisuuksien skannaus (API-avaimet, tokenit), AI-toimittajainventaario EU:n AI-asetuksen Art. 26 -velvoitteita varten, GraphQL-introspektion ja OpenAPI-paljastusten tarkistukset sekä DORA Register of Information -vienti (Annex III B_02.03 + B_05.01). Kaikki löydökset kartoitetaan automaattisesti NIS2-artikloihin.

Skannaukset ajetaan päivittäin. Viimeisin skannaus: 7.5.2026 klo 00:00 UTC.

Hanki tämä raportti omalle toimittajaverkostollesi

Uudet toimittajat jonoutetaan skannaukseen välittömästi. Kuukausittaiset NIS2-vaatimustenmukaisuusraportit luodaan automaattisesti jokaisen skannauskierroksen jälkeen — AI-tiivistelmällä. Ei asennettavia agentteja.

Katso hinnoittelu →