SMEs and NIS2: cyber security awareness in small and medium sized businesses

Abstract

NIS2-direktiivi tuli voimaan eurooppalaisella tasolla syksyllä 2024. Direktiivi on nyt osa jokaisen Euroopan Unionin jäsenmaan lainsäädäntöä. Tiettyjen EU:n sisällä toimivien yritysten täytyy seurata direktiivin asettamia kyberturvallisuusmääräyksiä. Nämä yritykset ovat tyypillisesti yrityksiä, joilla on yli 250 työntekijää. Poikkeuksia lukuun ottamatta yritysten, joilla on työntekijöitä alle määriteltyjen rajojen, ei tarvitse noudattaa direktiivin määrittelemiä asetuksia. Nämä ovat pieniä ja keskisuuria yrityksiä (Pk-yrityksiä). Tietyissä olosuhteissa Pk-yritykset voivat kuitenkin joutua noudattamaan NIS2:sen asettamia määräyksiä. Tämä voi johtaa tilanteisiin, joihin pienemmät yritykset eivät ole aiemmin joutuneet. Näitä tilanteita tutkittiin ja ne esiteltiin yhdistettyjen kvantitatiivisten ja kvalitatiivisten tutkimusmenetelmien kautta. Näin esitellään ne syyt, joiden vuoksi myös Pk-yritysten olisi hyvä noudattaa määriteltyä direktiiviä. Tutkimukseen sisältyvät myös ne ensimmäiset askeleet, joilla tarvittavat kyberturvallisuustoimet voidaan saavuttaa. Näitä ovat kyberturvallisuuskoulutukset ja tietojenkalastelusimulaatiot.

The network and information security directive 2 (NIS2) came into effect on European level in the fall of 2024. NIS2 is the revised directive on security of network and information systems, and it is now a part of the legislation of each EU member state. Within the EU states organizations that fall under the umbrella of NIS2 must follow the cyber security regulations presented by it. These organizations are typically large, with more than 250 employees. Pending exceptions, most companies that have less employees are not expected to follow the legislation. These companies operate are the small and medium sized businesses (SMEs). Within certain circumstances SMEs could be enforced to follow the directive to a certain degree. This obligation to follow the directive presents situations for SMEs that they have not met before. These situations were examined and presented in a case study that uses a mixed method or qualitative and quantitative research to explain why SMEs should also familiarize themselves with NIS2 and what are the first steps to begin the compliance process. A conclusion was presented where cyber security awareness training and phishing simulations were given as a first step towards a better cyber security understanding.