NIS2-direktiivi ja valmistava teollisuus
Waldén, Pyry (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202405069301
https://urn.fi/URN:NBN:fi:amk-202405069301
Tiivistelmä
Opinnäytetyön tarkoitus oli selvittää NIS2-direktiivin asettamia vaatimuksia valmistavalle teollisuudelle, sekä miten kyseisiä vaatimuksia voisi lähestyä. Tutkimusongelmana on se, että valmistavan teollisuuden toimijat eivät välttämättä tiedä, miten he voisivat käytännössä lähestyä NIS2-direktiivin asettamia vaatimuksia johtuen otsikkotasoisista ja epätarkoista vaatimuksista sekä IT- ja OT-järjestelmien vaatimuksista ja eroavaisuuksista.
Tutkimusongelmasta johdettiin seuraavat tutkimuskysymykset: mistä NIS2-direktiivissä on kyse, mitä vaatimuksia NIS2-direktiivi asettaa valmistavalle teollisuudelle ja miten valmistavan teollisuuden toimijat voivat lähestyä NIS2-direktiivin asettamia vaatimuksia. Ensimmäiseen kahteen tutkimuskysymykseen vastattiin kirjallisuuskatsauksella, kun taas viimeiseen tutkimuskysymykseen valittiin kvalitatiivinen kehittämistutkimus, sillä tarkoituksena on ymmärtää ilmiötä ja luoda käytännön ohjeistus.
NIS2-direktiiviin ja sen vaatimuksiin hallintoelimen koulutuksesta, riskienhallinnasta, toimijaksi ilmoittautumisesta ja raportointivelvollisuudesta perehdyttiin ja niitä käsiteltiin valmistavan teollisuuden näkökulmasta. Riskienhallinnan vaaditut otsikkotasoiset kymmenen toimenpidettä paloiteltiin osiin käyttämällä luonnosta Suomen lakiesitysestä NIS2-direktiivin täytäntöönpanemiseksi. Paloitellut vaatimukset yhdistettiin parhaita käytäntöjä edustaviin standardeihin ja ohjeistuksiin, jotta vaatimuksiin saataisiin käytännön ohjeistusta.
Standardit ja ohjeistukset valittiin edustamaan sekä IT- että OT-järjestelmiä, jotta voidaan ottaa huomioon molempien muuttujat ja tarpeet. ISO/IEC 27001 -standardi ja NIST SP 800-53 -ohjeistus edustavat IT-järjestelmiä, kun taas IEC 62443-2-1 -standardi ja NIST SP 800-82 -ohjeistus edustavat OT-järjestelmiä.
Opinnäytetyön tuloksena selvitettiin mistä NIS2-direktiivissä on kyse, mitä vaatimuksia se asettaa valmistavalle teollisuudelle sekä luotiin ohjeistus NIS2-direktiivin asettamien vaatimusten lähestymiseksi. Ohjeistus NIS2-direktiivin vaatimuksien lähestymiseen toteutettiin valmistavan teollisuuden toimijan näkökulmasta, ottamalla huomioon IT- ja OT-järjestelmien eroavaisuudet.
Tutkimusongelmasta johdettiin seuraavat tutkimuskysymykset: mistä NIS2-direktiivissä on kyse, mitä vaatimuksia NIS2-direktiivi asettaa valmistavalle teollisuudelle ja miten valmistavan teollisuuden toimijat voivat lähestyä NIS2-direktiivin asettamia vaatimuksia. Ensimmäiseen kahteen tutkimuskysymykseen vastattiin kirjallisuuskatsauksella, kun taas viimeiseen tutkimuskysymykseen valittiin kvalitatiivinen kehittämistutkimus, sillä tarkoituksena on ymmärtää ilmiötä ja luoda käytännön ohjeistus.
NIS2-direktiiviin ja sen vaatimuksiin hallintoelimen koulutuksesta, riskienhallinnasta, toimijaksi ilmoittautumisesta ja raportointivelvollisuudesta perehdyttiin ja niitä käsiteltiin valmistavan teollisuuden näkökulmasta. Riskienhallinnan vaaditut otsikkotasoiset kymmenen toimenpidettä paloiteltiin osiin käyttämällä luonnosta Suomen lakiesitysestä NIS2-direktiivin täytäntöönpanemiseksi. Paloitellut vaatimukset yhdistettiin parhaita käytäntöjä edustaviin standardeihin ja ohjeistuksiin, jotta vaatimuksiin saataisiin käytännön ohjeistusta.
Standardit ja ohjeistukset valittiin edustamaan sekä IT- että OT-järjestelmiä, jotta voidaan ottaa huomioon molempien muuttujat ja tarpeet. ISO/IEC 27001 -standardi ja NIST SP 800-53 -ohjeistus edustavat IT-järjestelmiä, kun taas IEC 62443-2-1 -standardi ja NIST SP 800-82 -ohjeistus edustavat OT-järjestelmiä.
Opinnäytetyön tuloksena selvitettiin mistä NIS2-direktiivissä on kyse, mitä vaatimuksia se asettaa valmistavalle teollisuudelle sekä luotiin ohjeistus NIS2-direktiivin asettamien vaatimusten lähestymiseksi. Ohjeistus NIS2-direktiivin vaatimuksien lähestymiseen toteutettiin valmistavan teollisuuden toimijan näkökulmasta, ottamalla huomioon IT- ja OT-järjestelmien eroavaisuudet.