DORA vs. NIS2 – Vertailu ja vaikutukset kriittisten toimialojen turvallisuuteen
Piirainen, Milla (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052918006
https://urn.fi/URN:NBN:fi:amk-2025052918006
Tiivistelmä
Tämän opinnäytetyön tavoitteena on selvittää Euroopan Unionin DORA-asetuksen (Digital Operational Resilience Act) ja NIS2-direktiivin (Network and Information Security Directive 2) eroavaisuuksia, samankaltaisuuksia ja vaikutuksia kriittisten toimialojen kyberturvallisuuteen sekä tarjota konkreettisia suosituksia toimialojen organisaatioille molempien säädösten mukaisten vaatimusten täyttämiseksi. DORA on asetus, joka kattaa rahoitussektorin, kun NIS2 taas kattaa laajemmin kriittisiä toimialoja, kuten energia-, terveydenhuolto- ja liikennesektorit. Aihe on ajankohtainen, sillä molempien vaatimukset ovat tulleet voimaan lähiaikoina ja edellyttävät merkittäviä muutoksia kyberturvallisuustoimintamalleihin ja -strategioihin.
Tietoperustassa käsitellään DORA:n ja NIS2:n sisältöjä ja niiden keskeisiä vaatimuksia. Opinnäytetyössä esitellään molempien tavoitteet, soveltamisalat ja keskeiset käsitteet. Näitä ovat esimerkiksi digitaalinen operatiivinen resilienssi, riskienhallinta, tietoturvaloukkausten raportointi ja jatkuvuussuunnittelu. Lisäksi tietoperustassa tarkastellaan lyhyesti myös yleistä tietosuoja-asetusta (GDPR) ja sen suhdetta säädösten vaatimuksiin.
Opinnäytetyö perustuu asiantuntijalähtöiseen kehittämistyöhön, jossa dokumenttianalyysin ja sääntelyvertailun pohjalta tuotettiin kaksi mallipohjaa, jotka tukevat organisaatioita DORA-asetuksen ja NIS2-direktiivin vaatimusten täyttämisessä erityisesti poikkeamien hallinnan ja kolmansien osapuolten riskienhallinnan osalta. Arviointi toteutettiin asiantuntija-arviona, hyödyntäen tekijän kokemusta pankkialan työasema- ja järjestelmätukitehtävistä säännellyssä toimintaympäristössä sekä kyberturvallisuuteen painottuneita opintoja. Työ toimii lähtökohtana jatkokehitykselle, jossa tuotosten toimivuutta voidaan arvioida käytännön kokeilujen ja kohderyhmän palautteen avulla.
Tietoperustassa käsitellään DORA:n ja NIS2:n sisältöjä ja niiden keskeisiä vaatimuksia. Opinnäytetyössä esitellään molempien tavoitteet, soveltamisalat ja keskeiset käsitteet. Näitä ovat esimerkiksi digitaalinen operatiivinen resilienssi, riskienhallinta, tietoturvaloukkausten raportointi ja jatkuvuussuunnittelu. Lisäksi tietoperustassa tarkastellaan lyhyesti myös yleistä tietosuoja-asetusta (GDPR) ja sen suhdetta säädösten vaatimuksiin.
Opinnäytetyö perustuu asiantuntijalähtöiseen kehittämistyöhön, jossa dokumenttianalyysin ja sääntelyvertailun pohjalta tuotettiin kaksi mallipohjaa, jotka tukevat organisaatioita DORA-asetuksen ja NIS2-direktiivin vaatimusten täyttämisessä erityisesti poikkeamien hallinnan ja kolmansien osapuolten riskienhallinnan osalta. Arviointi toteutettiin asiantuntija-arviona, hyödyntäen tekijän kokemusta pankkialan työasema- ja järjestelmätukitehtävistä säännellyssä toimintaympäristössä sekä kyberturvallisuuteen painottuneita opintoja. Työ toimii lähtökohtana jatkokehitykselle, jossa tuotosten toimivuutta voidaan arvioida käytännön kokeilujen ja kohderyhmän palautteen avulla.