Euroopan Unionin kyberturvallisuusdirektiivin vaatimat toimenpiteet organisaatioissa

Abstract

Euroopan Unioni hyväksyi joulukuussa 2022 direktiivin toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa (ns. NIS2-direktiivi). Uuden kyberturvallisuusdirektiivin tarkoitus on vastata alati kehittyviin ja yleistyviin kyberturvallisuusuhkiin määrittämällä tiettyjä vaatimuksia kyberturvallisuuden toteuttamiselle yhteiskunnan kannalta merkittävissä organisaatioissa.

Tässä opinnäytetyössä käydään läpi direktiivin sisältämät vaatimukset sekä esitetään keinoja vaatimusten täyttämiseksi direktiivin soveltamisalaan kuuluvissa organisaatioissa. Soveltamisala sisältää merkittävän osan eurooppalaisista yrityksistä ja julkisesta hallinnosta, jotka voivat hyödyntää opinnäytetyötä vapaasti tarvittavien toimenpiteiden suunnittelussa ja valmistauduttaessa direktiivin voimaantuloon. Opinnäytetyön toimeksiantajana toimi Digi- ja väestötietovirasto, jonka tehtävänä on edistää yhteiskunnan digitalisaatiota, turvata tietojen saatavuutta ja tarjota palveluja asiakkaiden elämäntapahtumiin.

Opinnäytetyön tarkoituksena oli kytkeä olemassa olevat kyberturvallisuuden käytännöt ja mallit direktiivin vaatimuksiin ja siten tuottaa helposti hyödynnettävää valmista aineistoa vaatimusten täyttämisen tueksi. Direktiivin vaatimien toimenpiteiden pohdinnassa hyödynnetty tietoperusta rakentuu kattavasti aikaisemman tutkimustiedon sekä erilaisten tieto- ja kyberturvallisuuden standardien ja hyvien käytäntöjen pohjalle. Tutkimusmenetelmänä opinnäytetyössä käytettiin laadullisen tutkimuksen sisällönanalyysiä.

Opinnäytetyön tuotoksena syntyi analyysi direktiivin soveltamisalasta ja vaatimuksista sekä lukuisia toimenpide-ehdotuksia keinoista, joilla vaatimuksiin voidaan vastata organisaatioissa. Direktiivi koskettaa varsin suurta joukkoa eurooppalaisia organisaatioita, joiden kyberturvallisuuteen liittyviä toimenpiteitä ei ole aikaisemmin säännelty välttämättä lainkaan. Direktiivissä vaadittavat toimenpiteet perustuvat kuitenkin hyvin pitkälti kansainvälisiin standardeihin ja muihin kyberturvallisuuden malleihin. Kehittämällä kyberturvallisuutta tässä työssä esiteltyjen käytäntöjen mukaisesti organisaatiot voivat täyttää uuden direktiivin vaatimukset.

The European Union adopted a Directive on measures to ensure a common high level of cybersecurity across the Union (the so-called NIS2 Directive) in December 2022. The aim of the new cybersecurity directive is to respond to the evolving and increasing cybersecurity threats by defining requirements for the implementation of cybersecurity in organizations of significant importance to society.

This thesis explains the requirements of the directive and outlines ways to meet the requirements in the organisations. The scope of the directive includes a significant part of European companies and public administration, which can use this thesis to plan the necessary measures while preparing for the directive. The thesis was commissioned by the Digital and Population Data Services Agency, whose mission is to promote the digitalisation of society, to secure the availability of information, and to provide services related to customers’ life events.

The objective of the thesis was to connect the existing cybersecurity practices and models with the requirements of the directive, thus producing readily usable material to support the compliance of the organisations. The theoretical framework used in defining the required measures is built on a comprehensive foundation of previous research and various information security and cybersecurity standards and good practices. The research method used in the thesis was content analysis of qualitative research.

As a result of the thesis, an analysis of the scope and requirements of the directive was produced, as well as numerous proposals for measures to meet the requirements. The Directive affects a large number of European organisations whose cybersecurity measures have not necessarily been regulated at all in the past. However, the measures required are based on international standards and well-established models of cybersecurity. By developing cybersecurity in line with the practices outlined in this paper, organisations can meet the requirements of the new Directive.