NIS2-direktiivi asettaa uudet tietoturvastandardit vierailujen hallintaan

28.05.2024

Blogit

Lokakuussa 2024 voimaan astuva EU:n uusi kyberturvallisuutta koskeva verkko- ja tietoturvadirektiivi NIS2 tulee vahvistamaan yleistä tietoturvaa ja edesauttamaan henkilötietojen ja muun datan turvallista käsittelyä. Mutta miten direktiivi tulee vaikuttamaan vierailijatietojen käsittelyyn tai vierailujen hallintaan? Laadimme aiheesta tietopaketin, jonka avulla varmistat, että toimintanne täyttää vaatimukset NIS2-direktiivin osalta.

Organisaatioiden tulee vahvistaa tietoturvaansa entisestään

Aiempi NIS (Network and Information Systems) ja syksyllä voimaan astuva NIS2-direktiivi toimivat osana laajempaa pyrkimystä vahvistaa ja yhdenmukaistaa kyberturvallisuutta EU:n alueella. Jokainen jäsenvaltio voi kuitenkin itsenäisesti päättää, miten yleiset säädökset huomioidaan oman hallinnon alla.

Uusi direktiivi nostaa valmiutta mahdollisten kyberuhkien ja tietomurtojen varalle pyrkien varmistamaan, että toimijat suojaavat tietonsa oikein. Toisin sanoen organisaatioiden on varmistettava, että kaikki tietojärjestelmät ovat turvallisia ja kykeneviä havaitsemaan ja reagoimaan mahdollisiin tietoturvauhkiin.

Direktiiviä sovelletaan kriittiseksi katsotuilla toimialoilla

NIS2 laajentaa direktiivin soveltamisalaa uusiin sektoreihin ja julkisiin organisaatioihin. Lisäksi se kattaa yli 50 työntekijää työllistävät yritykset, joiden vuotuinen liikevaihto tai vuositase ylittää 10 miljoonaa euroa. Viranomaiset voivat kuitenkin velvoittaa tätäkin pienempiä, yhteiskunnan kannalta kriittisiä palveluja tarjoavia yrityksiä täyttämään vaatimukset.

Direktiivin alaisiin toimialoihin lukeutuvat mm. energia-, pankki- ja finanssi-, liikenne-, terveys-, julkinen hallinto, elintarvike-, kemianteollisuus, avaruus-, vesihuolto- ja jätehuoltosektorit. Mukana ovat myös digitaaliset palveluntarjoajat, kuten IT- ja pilvipalveluiden tuottajat. Nämä toimialat ja palvelut ovat katsottu olennaiseksi osaksi yhteiskunnan toimivuutta ja turvallisuutta.

Entistä tiukempaa tietojen hallintaa

NIS2-direktiivi jatkaa GDPR:n viitoittamalla tiellä tavoitellen vastuullisuutta tietojen käsittelyyn. Nyt vaatimukset pitävät sisällään raportoinnin mahdollisista tietoturvaloukkauksista jo 24:n tunnin kuluessa uhan huomaamisesta. Kattavampi jatkoselvitys tulee tehdä 72:n tunnin sisällä. Raportointi tulee lisäämään merkittävästi viranomaisyhteistyötä ja avoimuutta.

Uusi direktiivi edellyttää myös entistä laajempaa ja tiukempaa tietoturvan soveltamista henkilötietojen käsittelyssä sekä fyysisen ympäristön ja tilojen turvallisuudesta huolehtimista. Tämä heijastuu vahvasti mm. vierailujen hallintaan, mukaan lukien niin henkilötietojen hallinnoinnin kuin kiinteistössä sijaitsevien laitteiden ja järjestelmien aukottoman turvallisuuden.

NIS2-direktiivin vaikutukset vierailujen hallintaan

Vierailujen hallintaan räätälöidyt ratkaisut, jotka ovat yhteydessä erilaisiin tietokantoihin ja jopa kulkuoikeuksia kiinteistössä hallinnoiviin järjestelmiin, ovat erityisen haavoittuvia mahdollisen tietoturvauhan alla.

Huomiota tulisi kiinnittää vahvoihin salausmenetelmiin, datankäsittelyä edellyttäviin lupiin, turvalliseen tiedonsiirtoon ja säilyttämiseen sekä kehittyneisiin autentikointiprosesseihin, jotka ovat avainasemassa vierailijatietojen suojaamisessa. Laitteiston toimivuutta ja turvallisuutta unohtamatta.

Edellytä turvallisuutta myös tilojen ja perehdytysten hallinnassa

Fyysisen ympäristön myötä huomiota kannattaa kiinnittää myös tilojen hallintaan ja (turvallisuus)perehdytyksiä hallinnoiviin järjestelmiin.

Tilojen hallintaa ylläpitävät ratkaisut, kuten ovenpielinäytöt, kannattaa valita uusien tietoturvastandardien mukaisesti. Esimerkiksi julkiverkossa esitetyt tilavaraustiedot voivat vaarantua hyvinkin helposti. Sen sijaan erillisessä natiivisovelluksessa (ei Chromium APP) toimivat ovenpielinäytöt ovat yksi turvallisimmista valinnoista. Natiivisovelluksen ansiosta näytöt pystyvät todentamaan ja raportoimaan tilaansa kattavasti ja palautumaan luotettavasti virtakatkoksista.

Turvallisuusperehdytykset, jotka usein integroidaan osaksi vierailijahallinnan prosesseja, edellyttävät mahdollisimman korkeaa tietoturvaa. Näin organisaation turvallisuutta koskevat sensitiiviset koulutusmateriaalit sekä perehdytysten suorittaneiden henkilöiden tiedot saadaan pysymään varmassa tallessa.

Rikkomuksesta seuraa sanktioita

NIS2-direktiivin rikkomuksesta voi seurata suppeita tai merkittäviä seuraamuksia riippuen tapahtuneen laajuudesta. Parhaassa tapauksessa seurauksena voi olla pelkkä huomautus tai varoitus, mutta kyseeseen voi tulla myös luvanvaraisen tai sertifioidun toiminnan rajoittaminen. Viime kädessä jopa johdon toimintaa voidaan rajoittaa.

Seuraamusmaksut edellyttävät merkittävää huolimattomuutta. Enimmäismäärät sakoissa ovat jopa 7–10 miljoonaan euroa tai 1,4–2 % maailmanlaajuisesta liikevaihdosta, riippuen toimialan keskeisyydestä.

Valvova viranomainen on velvoitettu ilmoittamaan tietosuojavaltuutetulle, mikäli tapahtunut rikkomus on johtanut tai saattaa johtaa henkilötietojen tietoturvaloukkaukseen. Mainehaitta voi kuitenkin monissa tapauksissa olla itse rangaistusta pahempi, sillä tänä päivänä luottamusta etenkin henkilötietojen käsittelyssä pidetään arvossa.

Hoida vierailujen hallinta kerralla kuntoon

NIS2-direktiivi ei aseta pelkästään vaatimuksia – se tarjoaa organisaatioille mahdollisuuden parantaa tietoturvaansa ja samalla osoittaa sidosryhmilleen entistä vahvempaa osaamista ja sitoutumista heiltä saadun datan suojelemiseksi.

Käyttöön otettavaa järjestelmää valittaessa kannattaa kiinnittää erityisesti huomiota siihen, ketkä tallennettuihin tietoihin pääsevät käsiksi, kuka datan omistaa ja missä sitä säilytetään. Esimerkiksi Systam Visit –vierailijahallinnan tiedot tallennetaan kotimaiseen ISO-sertifioituun palvelinkeskukseen. Asiakkaamme omistavat palveluun tallentuvat tiedot ja hallinnoivat niiden säilyttämisaikoja. Palvelun tietoturva on auditoitu laajasti puolueettoman tahon toimesta.

Kun vierailijatietojen, tilojen hallinnan tai perehdytysten tietoturva mietityttää, olethan yhteydessä asiantuntijoihimme. Voimme auttaa teitä saavuttamaan mahdollisimman turvallisen ja räätälöidyn ratkaisun vierailijahallintaan, ovenpielinäyttöihin sekä digitaalisiin perehdytyksiin.

Ps. GDPR loi hyvän pohjan myös NIS2-vaatimusten täyttämiseksi. Kun sinua mietityttää vierailijatietojen hallinnoinnin GDPR-vaatimustenmukaisuus, lataa alta maksuton oppaamme.

Lue myös

Katso kaikki ajankohtaiset
Lempäälä-talo

Älykäs kuntatalo: Näin vierailijahallinta parantaa palvelua ja turvallisuutta Lempäälä-talossa 

Asiakaskysely 2024 – tulokset

Aulan automatisointi tuo säästöä miehitettyyn aulaan verrattuna – mutta tehostaa tarpeen tullen myös aulahenkilökunnan työtä.

Aulan automatisointi – vastaanota vieraasi vaivattomasti

Verkostoitumassa ensi kertaa Kuntamarkkinoilla