NIS2-direktiivin soveltaminen kyberturvallisuuden kehittämisessä

Abstract

Nykypäivänä lähes kaikki yhteiskunnan toiminnot ovat riippuvaisia erilaisista tietoverkoista ja tietojärjestelmistä. Tämä riippuvuus tekee tietoverkkojen ja tietojärjestelmien turvallisuudesta elintärkeää koko yhteiskunnan toiminnalle. Euroopan unioni pyrkii vahvistamaan näiden tietoverkkojen ja tietojärjestelmien turvallisuutta uudella verkko- ja tietoturvadirektiivillä, NIS2-direktiivilllä. Tämän tutkimuksen tavoitteena oli luoda tutkimuksen toimeksiantajalle kuvaus siitä, miten kyberturvallisuutta voidaan kehittää NIS2-direktiivin avulla. Tutkimuksessa keskitytään erityisesti toimeksiantajan asiakasympäristöjen kyberturvallisuuden kehittämiseen. Asiakasympäristöjä käsitellään tutkimuksessa nimettömästi. Aluksi tutkimuksessa tarkasteltiin NIS2-direktiivin sisältöä ja sen hyödynnettävyyttä. Koska tutkimus keskittyy NIS2-direktiiviin, tulee direktiivin sisältö hallita kokonaisuudessaan. Lisäksi tutkimuksessa sivuttiin ISO 27001 -standardia, joka on vaatimuksiltaan hyvin samankaltainen NIS2-direktiivn kanssa. Seuraavaksi tutkimuksessa luotiin arviointilomake, jonka avulla saatiin selville asiakasympäristöjen kyberturvallisuuden lähtötaso NIS2-direktiiviin nähden. Lähtötaso on erityisen tärkeää tutkimusaineistoa, sillä mitään ei voida kehittää, ellei lähtötasoa tiedetä. Lähtötaso kertoo asiakasympäristön mahdolliset puutteet kyberturvallisuudessa, joita voidaan lähteä kehittämään. Tutkimuksen tuloksena valmistui toimenpidesuositukset-dokumentti, joka toimii kuvauksena kyberturvallisuuden kehittämiselle ja sen tiedot perustuvat arviointilomakkeeseen. Kuvaus ei kuitenkaan riitä yksinään vastaamaan NIS2- direktiivin vaatimuksiin, vaan sen tarkoitus on toimia apuvälineinä ja olla tukemassa kyberturvallisuuden kehitystä. Myös arviointilomake on osa tutkimuksen tuloksia, sillä se on oleellinen osa kyberturvallisuuden kehittämistä. Tutkimus toteutettiin aikaan, jolloin Suomen hallitus vasta suunnitteli NIS2-direktiivin vaatimuksiin vastaamista. Tästä syystä tutkimuksessa ei ole lopullista tietoa esimerkiksi toimivaltaisista viranomaisista. Tutkimuksen ansiosta toimeksiantajalla on yksinkertainen kuvaus NIS2-direktiivin vaatimuksista, jonka avulla on helppo tutustua NIS2-direktiiviin.