NIS2-direktiivi ja sen tuomat velvoitteet organisaatiolle
Kankaala, Jukka (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024060722126
https://urn.fi/URN:NBN:fi:amk-2024060722126
Tiivistelmä
Epävakaan maailmanlaajuisen tilanteen vuoksi Euroopan unionin on pitänyt päivittää olemassa olevaa kyberturvallisuusdirektiiviä vastaamaan paremmin nykypäivän kyberuhkiin. Vuonna 2022 Euroopan unioni hyväksyi päivitetyn NIS2-direktiivin. Direktiivin tarkoituksena on yhtenäistää EU:n sisäistä kyberturvalli-suutta sen ulkopuolisilta hyökkäyksiltä. Jokaisen jäsenvaltion on sisällytettävä direktiivi lakiin ja tästä onkin tulossa vuoden 2024 lopussa uusi kyberturvallisuuslaki.
Opinnäytetyön toimeksiantajana toimii Jyväskylän ammattikorkeakoulu. Työn aiheena oli perehtyä NIS2-direktiiviin ja sen tuomiin velvollisuuksiin organisaation näkökulmasta. Tämän lisäksi tarkoituksena oli myös tutkia ISO 27000-standardiperhettä ja sen yhtäläisyyksiä NIS2-direktiivissä mainittujen hallintatoi-menpiteiden kanssa.
Opinnäytetyössä toteutettiin kyselytutkimus, mihin haastateltiin henkilöitä Jyväskylän Digiturvallisuus-messujen yhteydessä. Vastausten perusteella muodostettiin hahmotelmaa direktiiviä koskevasta tietoi-suudesta ja miten toimijat olivat direktiiviin valmistautuneet. Kyselytutkimuksen lisäksi toteutettiin myös NIS2-direktiivin ja ISO 27002-standardin välinen ristiintaulukointi. Tavoitteena oli hahmottaa miten hyvin ISO 27002 standardin hallintakeinot vastaavat NIS2-direktiivin vaatimuksiin. Ristiintaulukoinnin lopputulos-ta myös verrattiin jo aiemmin ilmestyneeseen Hunt & Hackett nimisen yrityksen tekemään tulkintaan.
Opinnäytetyössä toteutettujen haastatteluiden pohjalta pystyttiin tekemään suuntaa antavia päätelmiä, miten hyvin organisaatiot olivat tietoisia direktiivin tuomista vaatimuksista ja olivatko organisaatiot valmis-tautuneet tuleviin muutoksiin. Ristiintaulukoinnin tuloksena saatiin yksityiskohtainen tulkinta NIS2-direktiivin asettamista vaatimuksista ja miten ISO 27002 hallintakeinot vastaavat näihin.
Opinnäytetyön toimeksiantajana toimii Jyväskylän ammattikorkeakoulu. Työn aiheena oli perehtyä NIS2-direktiiviin ja sen tuomiin velvollisuuksiin organisaation näkökulmasta. Tämän lisäksi tarkoituksena oli myös tutkia ISO 27000-standardiperhettä ja sen yhtäläisyyksiä NIS2-direktiivissä mainittujen hallintatoi-menpiteiden kanssa.
Opinnäytetyössä toteutettiin kyselytutkimus, mihin haastateltiin henkilöitä Jyväskylän Digiturvallisuus-messujen yhteydessä. Vastausten perusteella muodostettiin hahmotelmaa direktiiviä koskevasta tietoi-suudesta ja miten toimijat olivat direktiiviin valmistautuneet. Kyselytutkimuksen lisäksi toteutettiin myös NIS2-direktiivin ja ISO 27002-standardin välinen ristiintaulukointi. Tavoitteena oli hahmottaa miten hyvin ISO 27002 standardin hallintakeinot vastaavat NIS2-direktiivin vaatimuksiin. Ristiintaulukoinnin lopputulos-ta myös verrattiin jo aiemmin ilmestyneeseen Hunt & Hackett nimisen yrityksen tekemään tulkintaan.
Opinnäytetyössä toteutettujen haastatteluiden pohjalta pystyttiin tekemään suuntaa antavia päätelmiä, miten hyvin organisaatiot olivat tietoisia direktiivin tuomista vaatimuksista ja olivatko organisaatiot valmis-tautuneet tuleviin muutoksiin. Ristiintaulukoinnin tuloksena saatiin yksityiskohtainen tulkinta NIS2-direktiivin asettamista vaatimuksista ja miten ISO 27002 hallintakeinot vastaavat näihin.