NIS2-Tietoturvadirektiivin vaikutukset
Salminen, Miisa (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202505069484
https://urn.fi/URN:NBN:fi:amk-202505069484
Tiivistelmä
Tässä opinnäytetyössä käsitellään NIS2 -direktiiviä, joka on Euroopan komission luoma uusi tietoturvadirektiivi. Työssä tarkoituksena on selvittää mikä NIS2 -direktiivi on, mitä muutoksia siinä on edeltäjäänsä NIS1 verrattuna sekä mitä vaatimuksia uusi direktiivi asettaa organisaatioille. Työn tavoitteena on auttaa organisaatioita ymmärtämään mitä toimenpiteitä NIS2 direktiivin voimaantulo vaatii ja miten sen tuomat muutokset vaikuttavat heihin.
Tietoperustan alussa käsitellään lyhyesti yleisellä tasolla direktiivejä, minkä tarkoituksena on auttaa ymmärtämään paremmin NIS2 -direktiivin vaikutuksia. Alun jälkeen keskitytään NIS2 direktiiviin. Käydään läpi taustasyyt sen luomiselle, sen käyttöönoton aikataulu, keitä uusi direktiivi koskee ja mitä vaatimuksia se asettaa niin organisaatioille, kuin viranomaisillekin. Tutkimuksessa painotetaan direktiivin organisaatioille luomia vaatimuksia tutkimuksen kohderyhmän vuoksi.
Tutkimusosuudessa tarkastellaan NIS2 -direktiiviä, sekä sen käyttöönoton mahdollisia haasteista. Lisäksi vertaillaan NIS2 ja ISO 27001 standardia. ISO 27001 valittiin vertailukohteeksi sen käytettävyyden ja tunnettavuuden vuoksi. Vertailussa havaittiin, että ISO 27001 ja NIS2 sisältävät merkittäviä yhtäläisyyksiä. Lopputuloksissa todetaan, että organisaatiot voivat käyttää ISO 27001 -standardin ohjeistuksia pohjana NIS2 -direktiivin vaatimusten täyttämiseksi.
Työn lopputuloksissa saatiin löydettyä vastaukset opinnäytetyön alussa määriteltyihin tutkimuskysymyksiin. Tarkastelun tuloksena selvisi, että NIS2 vaatii kehitettyä riskienhallintaa myös kyberturvallisuuden osalta, tarkkaa raportointia ja tiukkaa ilmoitusvelvollisuutta poikkeamista. Myös johdon roolia kasvatettiin sekä organisaation toimitusketjun tietoturvallisuuden huomioimista.
Työn lopussa käydään läpi yhteenveto tutkimuksesta. Yhteenvedossa tarkastellaan tutkimuskysymyksiin löytyneitä vastauksia ja esitellään aihe ehdotuksia jatkotutkimuksia varten. Lisäksi analysoidaan tutkimuksen luotettavuutta ja omaa kokemustani opinnäytetyön teosta.
Tietoperustan alussa käsitellään lyhyesti yleisellä tasolla direktiivejä, minkä tarkoituksena on auttaa ymmärtämään paremmin NIS2 -direktiivin vaikutuksia. Alun jälkeen keskitytään NIS2 direktiiviin. Käydään läpi taustasyyt sen luomiselle, sen käyttöönoton aikataulu, keitä uusi direktiivi koskee ja mitä vaatimuksia se asettaa niin organisaatioille, kuin viranomaisillekin. Tutkimuksessa painotetaan direktiivin organisaatioille luomia vaatimuksia tutkimuksen kohderyhmän vuoksi.
Tutkimusosuudessa tarkastellaan NIS2 -direktiiviä, sekä sen käyttöönoton mahdollisia haasteista. Lisäksi vertaillaan NIS2 ja ISO 27001 standardia. ISO 27001 valittiin vertailukohteeksi sen käytettävyyden ja tunnettavuuden vuoksi. Vertailussa havaittiin, että ISO 27001 ja NIS2 sisältävät merkittäviä yhtäläisyyksiä. Lopputuloksissa todetaan, että organisaatiot voivat käyttää ISO 27001 -standardin ohjeistuksia pohjana NIS2 -direktiivin vaatimusten täyttämiseksi.
Työn lopputuloksissa saatiin löydettyä vastaukset opinnäytetyön alussa määriteltyihin tutkimuskysymyksiin. Tarkastelun tuloksena selvisi, että NIS2 vaatii kehitettyä riskienhallintaa myös kyberturvallisuuden osalta, tarkkaa raportointia ja tiukkaa ilmoitusvelvollisuutta poikkeamista. Myös johdon roolia kasvatettiin sekä organisaation toimitusketjun tietoturvallisuuden huomioimista.
Työn lopussa käydään läpi yhteenveto tutkimuksesta. Yhteenvedossa tarkastellaan tutkimuskysymyksiin löytyneitä vastauksia ja esitellään aihe ehdotuksia jatkotutkimuksia varten. Lisäksi analysoidaan tutkimuksen luotettavuutta ja omaa kokemustani opinnäytetyön teosta.