NIS2-direktiivin merkitys prosessiteollisuudelle
Dahlberg, Kaisa (2025)
Dahlberg, Kaisa
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060821476
https://urn.fi/URN:NBN:fi:amk-2025060821476
Tiivistelmä
Opinnäytetyössä tarkasteltiin NIS2-direktiivin vaikutuksia prosessiteollisuudelle ja miten yritykset voisivat mukauttaa toimintaansa NIS2:n kiristyneisiin vaatimuksiin. Työllä ei ollut toimeksiantajaa.
Menetelmäksi valittiin kirjallisuuteen perehtyvä tutkimus, jolla pyrittiin vastaamaan tutkimuskysymykseen, mitä vaikutuksia NIS2-direktiivillä on prosessiteollisuudelle ja mitä mahdollisia muutoksia organisaation toiminnassa liittyen hallinnollisiin toimiin ja käytännön menetelmiin tulisi tehdä. Työssä kuvataan NIS2-direktiivin ydinkohtia, kuten riskienhallintaa ja poikkeamien käsittelyä sekä käytännön toimenpiteitä, joilla kiristyneisiin vaatimuksiin kyetään vastaamaan. Näiden lisäksi perehdytään kyberhygienian periaatteisiin.
Työssä käytiin läpi ISO/IEC 27001- ja IEC 62443 - standardit ja miten ne tukevat NIS2-direktiivin vaatimusten täyttämistä prosessiteollisuudessa. Varsinkin OT-verkkojen, esimerkiksi SCADA- ja automaatiojärjestelmien suojaaminen korostuu prosessiteollisuuden toimintaympäristössä, jossa käytössä olevat vanhat laitteistot ja suljetut protokollat saattavat lisätä kyberturvallisuusriskejä.
Työn loppupuolella käydään läpi case-tapaus liittyen vesihuoltolaitosten kyberturvallisuuteen Suomessa ja sen on laatinut Elinkeino-, liikenne- ja ympäristökeskus yhdessä Ramboll Finland Oy:n kanssa. Selvityksen perusteella kyberturvallisuus vesihuoltolaitoksilla on osittain puutteellista. Keskeisiksi parantamiskohteiksi nousivat dokumentoinnin parantaminen, henkilöstön koulutuksen lisääminen, resurssien vahvistaminen ja kunnan ja IT-toimijoiden yhteistyön kehittäminen. Työssä sivutaan myös muita NIS2-direktiiviin liittyviä säädöksiä ja asetuksia, kuten CER-direktiiviä, CRA-säädöstä ja DORA-asetusta.
Menetelmäksi valittiin kirjallisuuteen perehtyvä tutkimus, jolla pyrittiin vastaamaan tutkimuskysymykseen, mitä vaikutuksia NIS2-direktiivillä on prosessiteollisuudelle ja mitä mahdollisia muutoksia organisaation toiminnassa liittyen hallinnollisiin toimiin ja käytännön menetelmiin tulisi tehdä. Työssä kuvataan NIS2-direktiivin ydinkohtia, kuten riskienhallintaa ja poikkeamien käsittelyä sekä käytännön toimenpiteitä, joilla kiristyneisiin vaatimuksiin kyetään vastaamaan. Näiden lisäksi perehdytään kyberhygienian periaatteisiin.
Työssä käytiin läpi ISO/IEC 27001- ja IEC 62443 - standardit ja miten ne tukevat NIS2-direktiivin vaatimusten täyttämistä prosessiteollisuudessa. Varsinkin OT-verkkojen, esimerkiksi SCADA- ja automaatiojärjestelmien suojaaminen korostuu prosessiteollisuuden toimintaympäristössä, jossa käytössä olevat vanhat laitteistot ja suljetut protokollat saattavat lisätä kyberturvallisuusriskejä.
Työn loppupuolella käydään läpi case-tapaus liittyen vesihuoltolaitosten kyberturvallisuuteen Suomessa ja sen on laatinut Elinkeino-, liikenne- ja ympäristökeskus yhdessä Ramboll Finland Oy:n kanssa. Selvityksen perusteella kyberturvallisuus vesihuoltolaitoksilla on osittain puutteellista. Keskeisiksi parantamiskohteiksi nousivat dokumentoinnin parantaminen, henkilöstön koulutuksen lisääminen, resurssien vahvistaminen ja kunnan ja IT-toimijoiden yhteistyön kehittäminen. Työssä sivutaan myös muita NIS2-direktiiviin liittyviä säädöksiä ja asetuksia, kuten CER-direktiiviä, CRA-säädöstä ja DORA-asetusta.