CER- ja NIS2-direktiiviehdotusten vaikutus mediayhtiön varautumiseen : case: Yleisradio Oy
Lilja, Sonia (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202301241585
https://urn.fi/URN:NBN:fi:amk-202301241585
Tiivistelmä
Tämän laadullisen opinnäytetyön tarkoituksena oli tarkastella EU:n uusien Critical Entities Resilience- ja Network and Information Security 2 -direktiiviehdotusten (CER ja NIS2) vaikutuksia huoltovarmuuskriittisen mediayhtiön varautumiseen. Opinnäytetyö toteutettiin toimeksiannosta tutkimuksellisena kehitystyönä Yleisradio Oy:lle. Tavoitteena oli tutkimuksellisin keinoin kuvata ja analysoida hallinnollisesta näkökulmasta 1) muuttunutta turvallisuusympäristöä ja muutoksiin liittyvää lainsäädäntöä Euroopan unionin alueella ja valtakunnallisesti Suomessa niiltä osin, kun ne taustoittavat lainsäädännön muutoksia, 2) Yleisradio Oy:n varautumisen ja valmiussuunnittelun tilaa ja vastuita, sekä 3) CER- ja NIS2-direktiiviehdotusten vaikutusta Yleisradion varautumiseen ja valmiussuunnitteluun.
Pääasiallisena tietoperustana opinnäytetyössä käytettiin Euroopan komission ja Euroopan unionin neuvoston julkaisemia valmisteludokumentteja CER- ja NIS2-direktiiviehdotuksista, Turvallisuuskomitean Yhteiskunnan turvallisuusstrategiaa, Suomen kyberturvastrategiaa, sekä SFS ISO-standardeja 22301, 27001 ja 31000. Lisäksi osana turvallisuusympäristön arviointia käytettiin kansallista ja kansainvälistä turvallisuutta arvioivia viranomaisraportteja. Yleisradion varautumisen arviointiin käytettiin yhtiön omaa valmiussuunnitelmaa niiltä osin, kun sen sisältöä oli mahdollista käsitellä julkisessa opinnäytetyössä.
Menetelminä opinnäytetyössä käytettiin puolistrukturoitua haastattelua ja ilmisisällöllistä aineistopohjaista dokumenttianalyysiä. Opinnäytetyötä varten haastateltiin viittä päällikkö- ja johtajatason varautumisen, turvallisuuden ja riskienhallinnan asiantuntijaa. Asiantuntijahaastatteluiden perusteella pystyttiin sanoittamaan ja ilmaisemaan varautumistoiminnan käytäntöjä ja rakenteita, joita joko ei erikseen ole kirjattu Yleisradion valmiussuunnitelmaan tai on siellä esitelty pintapuolisesti. Dokumenttianalyysin avulla etsittiin direktiiviehdotuksista työn kannalta oleelliset artiklat, jotka tiivistettiin ja yksinkertaistettiin lausekkeiksi, joita oli helpompi käyttää vertailevassa analyysissä. Dokumenttianalyysissä saatuja lausekkeita verrattiin Yleisradion varautumisen tämänhetkiseen toimintaan, jotta kehitysehdotusten luominen olisi mahdollisimman helppoa ja johdonmukaista.
Opinnäytetyön tuotoksina syntyivät tietopohja ja kehitysehdotukset toimeksiantajalle mahdollisista direktiiviehdotusten aiheuttamista muutoksista varautumisen strategiaan, sekä yleisellä tasolla CER- ja NIS2-tarkastuslista muiden huoltovarmuuskriittisten toimijoiden käyttöön. Yleisradion varautumisen taso arvioitiin varsin hyväksi. Oleellisimmat kehitysehdotukset Yleisradion varautumiseen liittyvät valmiussuunnitelman päivittämiseen sekä varautumiskyvykkyyden ja -tietoisuuden ylläpitoon yhtiön operatiivisessa portaassa. CER- ja NIS2-direktiiviehdotusten myötä yhtiön tulee varautua direktiivinmukaisiin riskienhallintatoimenpiteisiin sekä lisääntyneeseen viranomaisyhteistyöhön CER- ja NIS2-direktiivejä valvovien viranomaistahojen kanssa. Yleisradiolla arvioitiin olevan hyvät edellytykset saavuttaa direktiiviehdotusten mukainen varautumisen ja yhteistyön taso.
Pääasiallisena tietoperustana opinnäytetyössä käytettiin Euroopan komission ja Euroopan unionin neuvoston julkaisemia valmisteludokumentteja CER- ja NIS2-direktiiviehdotuksista, Turvallisuuskomitean Yhteiskunnan turvallisuusstrategiaa, Suomen kyberturvastrategiaa, sekä SFS ISO-standardeja 22301, 27001 ja 31000. Lisäksi osana turvallisuusympäristön arviointia käytettiin kansallista ja kansainvälistä turvallisuutta arvioivia viranomaisraportteja. Yleisradion varautumisen arviointiin käytettiin yhtiön omaa valmiussuunnitelmaa niiltä osin, kun sen sisältöä oli mahdollista käsitellä julkisessa opinnäytetyössä.
Menetelminä opinnäytetyössä käytettiin puolistrukturoitua haastattelua ja ilmisisällöllistä aineistopohjaista dokumenttianalyysiä. Opinnäytetyötä varten haastateltiin viittä päällikkö- ja johtajatason varautumisen, turvallisuuden ja riskienhallinnan asiantuntijaa. Asiantuntijahaastatteluiden perusteella pystyttiin sanoittamaan ja ilmaisemaan varautumistoiminnan käytäntöjä ja rakenteita, joita joko ei erikseen ole kirjattu Yleisradion valmiussuunnitelmaan tai on siellä esitelty pintapuolisesti. Dokumenttianalyysin avulla etsittiin direktiiviehdotuksista työn kannalta oleelliset artiklat, jotka tiivistettiin ja yksinkertaistettiin lausekkeiksi, joita oli helpompi käyttää vertailevassa analyysissä. Dokumenttianalyysissä saatuja lausekkeita verrattiin Yleisradion varautumisen tämänhetkiseen toimintaan, jotta kehitysehdotusten luominen olisi mahdollisimman helppoa ja johdonmukaista.
Opinnäytetyön tuotoksina syntyivät tietopohja ja kehitysehdotukset toimeksiantajalle mahdollisista direktiiviehdotusten aiheuttamista muutoksista varautumisen strategiaan, sekä yleisellä tasolla CER- ja NIS2-tarkastuslista muiden huoltovarmuuskriittisten toimijoiden käyttöön. Yleisradion varautumisen taso arvioitiin varsin hyväksi. Oleellisimmat kehitysehdotukset Yleisradion varautumiseen liittyvät valmiussuunnitelman päivittämiseen sekä varautumiskyvykkyyden ja -tietoisuuden ylläpitoon yhtiön operatiivisessa portaassa. CER- ja NIS2-direktiiviehdotusten myötä yhtiön tulee varautua direktiivinmukaisiin riskienhallintatoimenpiteisiin sekä lisääntyneeseen viranomaisyhteistyöhön CER- ja NIS2-direktiivejä valvovien viranomaistahojen kanssa. Yleisradiolla arvioitiin olevan hyvät edellytykset saavuttaa direktiiviehdotusten mukainen varautumisen ja yhteistyön taso.