NIS2-direktiivin tarpeellisuus kyberuhkien torjunnassa Euroopassa
Marjomaa, Tuuli (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025051913332
https://urn.fi/URN:NBN:fi:amk-2025051913332
Tiivistelmä
Tässä opinnäytetyössä tutkittiin Euroopan Unionin uudistettua kyberturvallisuusdirektiiviä eli NIS2-direktiiviä, joka tuli voimaan vuonna 2023 ja oli asetettava osaksi jäsenmaiden kansallista lainsäädäntöä lokakuuhun 2024 mennessä. Tämän direktiivin uudistamisen tarkoituksena oli lisätä Euroopan Unionin turvallisuutta. Opinnäytetyössä huomioitiin myös uudistetun direktiivin edeltäjä, vuonna 2016 voimaatullut NIS-tietoturvadirektiivi ja vertailtiin näiden direktiivien eroja sekä kerrottiin syitä direktiivin uudistamisen tarpeellisuuteen.
Työssä esiteltiin toimialat, joita NIS2-direktiivi koskee ja kerrottiin mitä vaatimuksia direktiivi näillä toimialoilla toimiville yrityksille ja organisaatioille asettaa. Kerrottiin myös, miten direktiivin noudattamista valvotaan sekä kiinnitettiin huomiota myös noudattamatta jättämisestä koituviin sanktioihin.
Työssä todettiin NIS2-direktiivin tarkoituksen olevan helpottaa organisaatioiden ja yritysten valmistautumista kyberuhkiin sekä parantaa näiden sietokykyä kyberuhkia vastaan. Kyberuhkia työssä käsitellessä tarkasteltiin fyysisiä, taloudellisia ja digitaalisia kyberuhkia ja esiteltiin erilaisia kyberuhan muotoja.
Tarkastelun tuloksena päästiin johtopäätökseen, että tietoturvariskien kasvaessa ja kyberuhkien lisääntyessä EU:n yhteisen NIS2-direktiivin merkitys on äärettömän suuri ja yhteiset pelisäännöt raportointiin ja valvontaan ovat enemmän kuin tarpeellisia. Uudistunut direktiivi on vaativampi, laajempi ja valvotumpi, joten sen myötä tietoturvariskien määrä vähenee sekä tietoisuus hyökkäyksistä on julkisempaa. Julkisuus tuo tietoa myös muille jäsenvaltioille ja näin ollen he osaavat myös varautua esimerkiksi mahdollisiin iskuihin ja kalasteluihin tehokkaammin.
Työssä esiteltiin toimialat, joita NIS2-direktiivi koskee ja kerrottiin mitä vaatimuksia direktiivi näillä toimialoilla toimiville yrityksille ja organisaatioille asettaa. Kerrottiin myös, miten direktiivin noudattamista valvotaan sekä kiinnitettiin huomiota myös noudattamatta jättämisestä koituviin sanktioihin.
Työssä todettiin NIS2-direktiivin tarkoituksen olevan helpottaa organisaatioiden ja yritysten valmistautumista kyberuhkiin sekä parantaa näiden sietokykyä kyberuhkia vastaan. Kyberuhkia työssä käsitellessä tarkasteltiin fyysisiä, taloudellisia ja digitaalisia kyberuhkia ja esiteltiin erilaisia kyberuhan muotoja.
Tarkastelun tuloksena päästiin johtopäätökseen, että tietoturvariskien kasvaessa ja kyberuhkien lisääntyessä EU:n yhteisen NIS2-direktiivin merkitys on äärettömän suuri ja yhteiset pelisäännöt raportointiin ja valvontaan ovat enemmän kuin tarpeellisia. Uudistunut direktiivi on vaativampi, laajempi ja valvotumpi, joten sen myötä tietoturvariskien määrä vähenee sekä tietoisuus hyökkäyksistä on julkisempaa. Julkisuus tuo tietoa myös muille jäsenvaltioille ja näin ollen he osaavat myös varautua esimerkiksi mahdollisiin iskuihin ja kalasteluihin tehokkaammin.