Tietoturvadirektiivin vaatimustenmukaisuus pienelle yritykselle

Abstract

Tässä opinnäytetyössä tutkittiin asiakasyrityksen valmiuksia täyttää Euroopan Unionin NIS2-kyberturvallisuusdirektiivin vaatimukset. Työssä käytettiin Kyberturvakeskuksen kybermittarityökalua, jonka avulla arvoitiin yrityksen tietoturvan kypsyystasoa suhteessa mittarissa käytettyyn kypsyystasomalliin, joka hyödyntää NIST CSF- ja C2M2-mallien käytäntöjä. Työn tavoitteena oli tuottaa toimenpidesuunnitelma, jolla yrityksen kypsyystasoa voidaan parantaa ja mahdollisesti osoittaa vaatimustenmukaisuus. Johtopäätöksissä todettiin, että täydellistä vaatimuksienmukaisuutta ei pystytä osoittamaan, mutta tutkimustyön aikana tehdyt muutokset kulttuuriin ja toimintatapaan paransivat yrityksen kilpailukykyä ja sisäistä tietoturva-ajattelua. Yritys tulee jatkossa tavoittelemaan laatuviitekehystä sekä kehittämään entisestään riskienhallintaa sekä käyttöoikeuksien valvontaa.