Nightsky
All articles
Nis2

NIS2-vaatimukset käytännössä: Tietoturvakäytännöt ovat nyt muuttuneet

By Sanni Salokangas

NIS2 -vaatimukset käytännössä: Varmista tietoturva ja vaatimustenmukaisuus

NIS-2-direktiivi astui Suomessakin voimaan syyskuussa 2025, ja se muuttaa monen yrityksen tietoturvakäytäntöjä. IT-päättäjille tämä tarkoittaa sitä, että järjestelmät, tallennusratkaisut ja varmuuskopioinnit on kestettävä hyökkäykset ja täytettävä EU:n uudet vaatimukset. Mitä NIS-2 tarkoittaa ja missä yritykset tyypillisesti epäonnistuvat? Miten rakennat vaatimukset täyttävän infrastruktuurin?

1. Miksi NIS-2 pitäisi olla nyt jokaisen työpöydällä

EU:n uusi NIS-2-direktiivi (Network and Information Security Directive 2) on astunut voimaan, ja sen kansallinen toimeenpano Suomessa on käynnissä. Sen tarkoitus on nostaa koko Euroopan kyberturvataso uudelle tasolle ja tehdä organisaatioista aidosti kestäviä digitaalisia toimijoita. Todellisuudessa suurin osa yrityksistä ei ole vielä tähän säädäntöön valmiita, ja vaikka monilla on ohjelmistot kunnossa, tallennus- ja varmuuskopiointikerros jää vähemmälle huomiolle. Juuri siellä kuitenkin ratkaistaan, selviääkö yritys kyberhyökkäyksestä vai ei. 

2. Koskeeko NIS-2 sinua?

NIS-2 koskee niin julkishallintoa kuin yrityksiäkin, jotka toimittavat kriittisiä palveluita, kuten energia-, vesi- ja jätehuoltoalan yrityksiä, liikenne- ja logistiikkasektoria, pankki- ja vakuutusalaa, terveydenhuoltoa sekä bioteknologiaa. Myös yritykset, jotka toimittavat IT-palveluita, hosting-ratkaisuja tai datan käsittelyä kriittisten toimijoiden puolesta ovat NIS-2-sääntelyiden armiaana. Lisäksi direktiivi ulottaa vastuun myös toimitusketjuihin ja alihankkijoihin, jos niiden palvelu on kriittinen osapuolen toiminnalle. Käytännössä tämä tarkoittaa, että IT-päättäjät joutuvat tarkastelemaan koko teknologista arkkitehtuuria uudestaan, myös sellaisten järjestelmien osalta, joita ei aiemmin pidetty kriittisinä.

3. Mitä NIS-2-vaatii?

Direktiivi asettaa selkeitä vaatimuksia riskienhallinnasta, raportoinnista ja teknisistä toimenpiteistä.

Riskienhallinta ja jatkuvuussuunnittelu: yritysten on arvioitava ja hallittava kyberturvariskejä systemaattisesti, tunnistettava kriittiset resurssit ja laadittava toipumissuunnitelmat.

Varmuuskopiointi ja palautettavuus: organisaatioiden on pystyttävä palauttamaan tiedot ja palvelut nopeasti ja osoittamaan, että varmuuskopiot ovat suojattuja. Usein ongelmana on, että varmuuskopioita ei ole eristetty (immutable), jolloin ne eivät ole turvassa kiristyshyökkäyksiltä.

Johdon vastuu: johto on viime kädessä vastuussa vaatimusten täyttämisestä. Tekninen tietoturva on nyt osa yrityksen laillista velvoitetta, eikä enää pelkästään IT-osaston asia.

Ilmoitusvelvollisuus: tietoturvaloukkaukset on raportoitava viranomaisille 24 tunnin kuluessa, eli jatkuva monitorointi ja selkeät prosessit ovat olennaisia.

4. Hyvä varmuuskopiointiohjelmisto ei yksin riitä

Tietoturvasta puhutaan paljon, mutta yksi osa-alue jää toistuvasti keskustelun varjoon, itse tallennuskerros. Usein keskitytään suojaamaan sovelluksia ja verkkoja, vaikka todellinen selviytymiskyky kyberhyökkäyksessä mitataan vasta siellä, missä tieto elää ja lepää eli tallennusratkaisussa.

Monet organisaatiot ovat rakentaneet modernit tietoturvakerrokset, päivittäneet ohjelmistonsa ja investoineet valvontaan, mutta kyberhyökkäyksen tapahtuessa huomataan, että varmuuskopioinnit olivatkin muokattavissa tai poistettavissa. Lisäksi monet IT-tiimit luottavat varmuuskopiointiohjelmistoon, mutta eivät mieti sen alla olevaa tallennuskerrosta. Jos hyökkäys ulottuu tallennustilaan, se voi salata tai tuhota myös varmuuskopiot. Silloin yritys menettää viimeisenkin turvaverkkonsa ja varmuuskopioista tulee täysin hyödyttömiä.

NIS-2 tuo tämän ongelman pintaan. Direktiivi korostaa nimenomaan datan eristyksen ja palautettavuuden varmistamista käytännön tasolla. Tämä tarkoittaa, että tallennusratkaisun on oltava itsessään turvallinen, ei vain ohjelmiston tai prosessin kautta suojattu.

Kestävä infrastruktuuri lähtee siitä, että data on:

  • Eristetty verkosta, esimerkiksi offsite-lokaatiossa
  • Muuttumaton (immutable) eli edes järjestelmänvalvoja ei voi poistaa tai muokata varmuuskopioita
  • Aina palautettavissa ja säännöllisesti testattu
  • Auditoitavissa siten, että voidaan osoittaa, milloin ja miten dataa on käsitelty.

5. Näin rakennat NIS-2-vaatimusten mukaisen tallennus- ja varmuuskopiointimallin

Tässä vaiheessa puhutaan käytännöstä. Mitä voit tehdä juuri nyt varmistaaksesi direktiivin mukaiset suojaukset?

Ensin, tunnista kriittinen data. Missä se sijaitsee, kuka siihen pääsee ja millä tasolla sitä suojataan?

Sitten, eristä ja suojaa varmuuskopiot. Käytä offsite-lokaatiossa suojattuja ja muuttumattomia (immutable) varmuuskopioita, joita ei voi muokata tai poistaa. SpaceTimen varmuuskopiot varmistavat juurikin tämän. Ota meihin yhteyttä täältä, ihan varmasti saat vastauksen takaisin.

Muista testata palautus säännöllisesti. Varmuuskopio ilman palautuksen testaustahan on vain… kopio. Tee palautustestit vähintään neljännesvuosittain ja dokumentoi tulokset auditointia varten. 

Valvo ja kirjaa kaikki tapahtumat. Luo audit trail kaikista toiminnoista tallennuskerroksella. NIS-2 ei riitä siihen, että “tiedät mitä tapahtui” vaan sinun on myös pystyttävä osoittamaan se.

6. Kop kop! Muistilista NIS-2 auditointiin

Yksi suurimmista väärinkäsityksistä on ajatus, että NIS-2-vaatimukset voidaan täyttää yhdellä projektilla. Kumpa olisikin, mutta todellisuudessa kyse on jatkuvasta kehityksestä ja dokumentoidusta hallintaprosessista. Jokainen päivitys, uusi sovellus tai muutos infrastruktuurissa vaikuttaa tietoturvatasoon. Yrityksen kannattaa rakentaa malli, jossa tietoturvapäivitykset ovat osa normaalia kehitystä, varmuuskopioiden palautustestit ovat automatisoituja ja vastuut sekä seuranta ovat jatkuvia.

Kun viranoimaiset koputtavat oveen tarjoten NIS-2 auditointia, tässä on hyvä muistilista tarkastettavaksi. Sakot voivat olla tuntuvat, jos jokin kohta jää huomioimatta.

  1. Riskienhallintasuunnitelma on ajan tasalla.
  2. Varmuuskopiointi on eristetty ja testattu.
  3. Immutable backups ovat käytössä.
  4. Tietoturvaloukkausten ilmoitusprosessi on määritelty.
  5. Johdon vastuut ja koulutukset on dokumentoitu.
  6. Tallennusympäristön lokit ja testit ovat todennettavissa.

8. Näin SpaceTime auttaa täyttämään NIS-2-vaatimukset

SpaceTime DataOcean vastaa suoraan NIS-2-direktiivin ytimeen: varmistetaan, että data pysyy turvassa, käytettävissä ja palautettavissa kaikissa tilanteissa, niin arjessa kuin kriisissä.

Perinteinen varmuuskopiointi ei enää riitä, vaan nyt yrityksen on pystyttävä todentamaan, että sen tiedot ovat suojassa myös hyökkäysten, inhimillisten virheiden ja infrastruktuurivikojen aikana. SpaceTimen ratkaisu perustuu kolmeen käytännön periaatteeseen:

1. Offsite-lokaatio tuo todellisen turvakerroksen

Kaikki varmuuskopiot tallennetaan offsite-lokaatioon Suomessa sijaitseviin korkean turvallisuuden datakeskuksiin. Tämä tarkoittaa, että data on erillään tuotantoympäristöstä, mutta edelleen nopeasti saavutettavissa silloin, kun sitä eniten tarvitaan. Offsite-säilytys estää hyökkäyksen leviämisen ja varmistaa, että palautus onnistuu myös tilanteissa, joissa koko pääympäristö on vaarantunut.

2. Tuhoutumattomat varmuuskopiot

SpaceTime käyttää immutable backup -arkkitehtuuria, jossa varmuuskopioita ei voi muokata, poistaa tai korvata edes järjestelmänvalvojan toimesta. Tämä tekee varmuuskopioista aidosti pysyviä ja hyökkäyksiltä suojattuja, ja poistaa yhden suurimmista riskeistä, joita NIS-2-auditoinnit saattavat paljastaa: varmuuskopiot, jotka eivät kestä kriisitilannetta. 

3. S3-yhteensopiva objektitallennus

DataOcean on täysin S3-yhteensopiva, joten se toimii saumattomasti yleisimpien varmuuskopiointiohjelmistojen kanssa. S3-protokolla mahdollistaa versionhallinnan, objektien suojaamisen ja skaalautuvuuden, mikä tekee siitä hyvän pohjan NIS-2:n mukaisille tallennusratkaisulle.

Ota yhteyttä tiimiimme, jos haluat varmistaa, että tallennus- ja varmuuskopiointiratkaisusi täyttää NIS-2-vaatimukset. Autamme mielellämme!

NIS2Cyber Securitydata backup

Related Articles