NIS2 Toimittajariskien arviointityökalujen vertailu
Hiljanen, Marko (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060621099
https://urn.fi/URN:NBN:fi:amk-2025060621099
Tiivistelmä
Euroopan unioni hyväksyi joulukuussa 2022 direktiivin toimenpiteistä kyberturvallisuuden korkean tason varmistamiseksi kaikkialla unionin alueella. Kyberturvallisuusdirektiivin on tarkoitus korvata aikaisempi, suppeampi ja vanhentuneeksi todettu NIS1-direktiivi. Direktiivi tuo vaatimuksia piiriinsä kuuluville yrityksille ja työssä käydään läpi eri toimijoiden tuottamia työkaluja ja palveluratkaisuja, joiden avulla vielä standardisoimaton kyberturvallisuuden alue voidaan saattaa vaatimustenmukaisiksi.
Opinnäytetyön toimeksiantaja on Gofore Oyj ja työtä on tarkoitus hyödyntää yrityksen sisäisen kyberturvallisuuden hallintajärjestelmän kehittämiseen. Tulevaan toimittajarekisteriin tulee kerätä yrityksen oleellisten toimittajien riskiarvioinnin tulokset ja se on alisteinen yrityksen tietoturvakäytänteille. Direktiivin vaatimusten luonteen vuoksi kansainvälisen ISO/IEC 27000 tietoturvallisuuden standardin hallintakeinoihin paneudutaan omassa kappaleessaan.
Työssä käydään ensin läpi direktiivin kuvaus ja työn tilaajan käytössä olevan kansainvälisen tietoturvallisuusstandardin ominaisuudet ja yhtäläisyydet kyberturvallisuusdirektiiviin sekä riskirekisterin määrittely ja ero toimittajariskirekisteriin. Havainnoimalla poimitaan rajausten piiriin soveltuvia työkaluja. Vertailtavien työkalujen vaatimukset ja rajaukset kuvataan kehittämisprosessissa. Aineiston tarkastelun ja aivoriihessä vertailemalla yritykselle syntyy kuva yleisimmistä käytettävissä olevista käytänteistä ja keinoista koskien toimittajariskejä sekä niitä varten käyttöönotettavasta rekisteristä. Työn tarkoituksena on selvittää, onko markkinoilla sellaista palveluratkaisua, jonka käyttöönotto ratkaisee yritykseen kohdistuvan kyberturvallisuuslain vaatimustenmukaisuuden, tai vaihtoehtoisesti mahdollistaisi olemassa olevan riskienhallinnan kehittämisen vaatimustenmukaiseksi sisäisen kehityksen keinoin. Vertailun tuloksena tilaajayritys saa kehittämisehdotuksia lain vaatimustenmukaisuuden täyttymiselle.
Työ on luonteeltaan kehittämistyö ja siinä käytettävät lähdemateriaalit ovat enimmäkseen sähköisessä muodossa. Euroopan parlamentin ja neuvoston direktiiviä 2022/2555 käytetään päälähteenä ja sekundaariset lähteet ovat valtakunnallisten tietoturvaviranomaisten selvityksiä, raportteja ja ohjeita. Käytettävä tieto kerätään havainnoimalla sekä lähdeanalyysilla. Analyysi toteutetaan yrityksen sisäisen prosessin ja olemassa olevien viitekehikkojen avulla.
Opinnäytetyön toimeksiantaja on Gofore Oyj ja työtä on tarkoitus hyödyntää yrityksen sisäisen kyberturvallisuuden hallintajärjestelmän kehittämiseen. Tulevaan toimittajarekisteriin tulee kerätä yrityksen oleellisten toimittajien riskiarvioinnin tulokset ja se on alisteinen yrityksen tietoturvakäytänteille. Direktiivin vaatimusten luonteen vuoksi kansainvälisen ISO/IEC 27000 tietoturvallisuuden standardin hallintakeinoihin paneudutaan omassa kappaleessaan.
Työssä käydään ensin läpi direktiivin kuvaus ja työn tilaajan käytössä olevan kansainvälisen tietoturvallisuusstandardin ominaisuudet ja yhtäläisyydet kyberturvallisuusdirektiiviin sekä riskirekisterin määrittely ja ero toimittajariskirekisteriin. Havainnoimalla poimitaan rajausten piiriin soveltuvia työkaluja. Vertailtavien työkalujen vaatimukset ja rajaukset kuvataan kehittämisprosessissa. Aineiston tarkastelun ja aivoriihessä vertailemalla yritykselle syntyy kuva yleisimmistä käytettävissä olevista käytänteistä ja keinoista koskien toimittajariskejä sekä niitä varten käyttöönotettavasta rekisteristä. Työn tarkoituksena on selvittää, onko markkinoilla sellaista palveluratkaisua, jonka käyttöönotto ratkaisee yritykseen kohdistuvan kyberturvallisuuslain vaatimustenmukaisuuden, tai vaihtoehtoisesti mahdollistaisi olemassa olevan riskienhallinnan kehittämisen vaatimustenmukaiseksi sisäisen kehityksen keinoin. Vertailun tuloksena tilaajayritys saa kehittämisehdotuksia lain vaatimustenmukaisuuden täyttymiselle.
Työ on luonteeltaan kehittämistyö ja siinä käytettävät lähdemateriaalit ovat enimmäkseen sähköisessä muodossa. Euroopan parlamentin ja neuvoston direktiiviä 2022/2555 käytetään päälähteenä ja sekundaariset lähteet ovat valtakunnallisten tietoturvaviranomaisten selvityksiä, raportteja ja ohjeita. Käytettävä tieto kerätään havainnoimalla sekä lähdeanalyysilla. Analyysi toteutetaan yrityksen sisäisen prosessin ja olemassa olevien viitekehikkojen avulla.