Toimintamalli pk-yritysten NIS 2 -vaatimustenmukaisuuden tukemiseen Microsoft Purview- ja Fabric-ratkaisuilla
Selander, Joakim (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025113030965
https://urn.fi/URN:NBN:fi:amk-2025113030965
Tiivistelmä
Opinnäytetyön tavoitteena oli kehittää pienille ja keskisuurille yrityksille, pk-yrityksille, vaiheistettu ja käytännönläheinen toimintamalli, jonka avulla ne pystyvät etenemään NIS 2 (Network and Information Systems) -direktiivin (EU 2022/2555) edellyttämässä kyberturvallisuuden hallinnassa. Tutkimuksessa kartoitettiin, miten pk-yritykset tunnistavat nykytilansa, arvioivat riskienhallinnan ja tietoturvan puutteensa sekä hyödyntävät Microsoft Purview- ja Microsoft Fabric -ohjelmistoja direktiivin vaatimusten täyttämiseksi. Työ vastasi etenkin siihen, miten ohjelmistoja voi soveltaa pk-yrityksissä sekä miten ne tukevat tietojen suojausta, auditointia ja raportointia.
Tutkimus toteutettiin konstruktiivisena, laadullisena tutkimuksena. Ensin suoritettiin laaja asiakirja-analyysi, jossa koottiin yhteen NIS 2 -direktiivin riskienhallinta- ja ilmoitusvelvoitteet, Traficomin ohjeistukset, kansalliset säädökset sekä kansainväliset tiedonhallinnan ja kyberturvallisuuden viitekehykset (DAMA-DMBOK, CMMI DMM, NIST CSF). Nämä muodostivat toimintamallin teoreettisen perustan. Mallia testattiin kolmella hypoteettisella case-yrityksellä (terveysteknologia-, rahoitus- ja liikenneala), jotka kuvasivat pk-yritysten tyypillisiä riskiprofiileja ja toimintaprosesseja NIS 2 -direktiivin soveltamisaloilla.
Tulokset osoittivat, että Microsoft Purview ja Fabric tarjoavat pk-yrityksille merkittäviä teknisiä kyvykkyyksiä, kuten automatisoidun tiedonluokittelun, Audit Trail -toiminnot, salauksen, DLP-säännöt sekä reaaliaikaisen analytiikan. Ne tukevat erityisesti direktiivin artiklan 21 teknisiä ja organisatorisia vaatimuksia. Tekninen kyvykkyys arvioitiin kokonaisuutena melko vahvaksi. Sen sijaan hallinnolliset osa-alueet, kuten riskienhallinnan prosessit, pääsynhallinta, toimitusketjujen valvonta ja johdon vastuun toteutuminen, jäivät case-yrityksissä heikommalle tasolle. Tämä kuvaa pk-yrityksille tyypillistä kypsyyskuilua, jossa teknologisia ratkaisuja hyödynnetään ennen kuin niitä tukevat johtamis- ja hallintamallit olivat riittävän kehittyneitä.
Tutkimuksen tuloksena syntyi vaiheistettu toimintamalli, joka yhdistää Purviewin tiedon suojaamisen ja hallinnan sekä Fabricin analytiikan, tilannekuvan ja raportoinnin. Malli auttaa pk-yrityksiä rakentamaan riskienhallintaa, dokumentoimaan poikkeamat, tukemaan auditointeja ja muodostamaan todennettavan kyberturvallisuuden hallintajärjestelmän ilman raskaita infrastruktuuriratkaisuja. Lisäksi tutkimus korosti johdon sitoutumisen ja osaamisen kehittämisen välttämättömyyttä direktiivin velvoitteiden täyttämisessä.
Opinnäytetyö osoitti, että Microsoftin työkalut tukevat merkittävästi pk-yritysten siirtymistä reaktiivisesta tietoturvasta kohti proaktiivista ja todennettavaa riskienhallintaa. Pelkkä teknologia ei kuitenkaan riitä, vaan vaatimustenmukaisuus edellyttää kokonaisvaltaista johtamisotetta, prosessien kehittämistä ja toimitusketjujen hallintaa. Työllä ei ollut toimeksiantajaa.
Tutkimus toteutettiin konstruktiivisena, laadullisena tutkimuksena. Ensin suoritettiin laaja asiakirja-analyysi, jossa koottiin yhteen NIS 2 -direktiivin riskienhallinta- ja ilmoitusvelvoitteet, Traficomin ohjeistukset, kansalliset säädökset sekä kansainväliset tiedonhallinnan ja kyberturvallisuuden viitekehykset (DAMA-DMBOK, CMMI DMM, NIST CSF). Nämä muodostivat toimintamallin teoreettisen perustan. Mallia testattiin kolmella hypoteettisella case-yrityksellä (terveysteknologia-, rahoitus- ja liikenneala), jotka kuvasivat pk-yritysten tyypillisiä riskiprofiileja ja toimintaprosesseja NIS 2 -direktiivin soveltamisaloilla.
Tulokset osoittivat, että Microsoft Purview ja Fabric tarjoavat pk-yrityksille merkittäviä teknisiä kyvykkyyksiä, kuten automatisoidun tiedonluokittelun, Audit Trail -toiminnot, salauksen, DLP-säännöt sekä reaaliaikaisen analytiikan. Ne tukevat erityisesti direktiivin artiklan 21 teknisiä ja organisatorisia vaatimuksia. Tekninen kyvykkyys arvioitiin kokonaisuutena melko vahvaksi. Sen sijaan hallinnolliset osa-alueet, kuten riskienhallinnan prosessit, pääsynhallinta, toimitusketjujen valvonta ja johdon vastuun toteutuminen, jäivät case-yrityksissä heikommalle tasolle. Tämä kuvaa pk-yrityksille tyypillistä kypsyyskuilua, jossa teknologisia ratkaisuja hyödynnetään ennen kuin niitä tukevat johtamis- ja hallintamallit olivat riittävän kehittyneitä.
Tutkimuksen tuloksena syntyi vaiheistettu toimintamalli, joka yhdistää Purviewin tiedon suojaamisen ja hallinnan sekä Fabricin analytiikan, tilannekuvan ja raportoinnin. Malli auttaa pk-yrityksiä rakentamaan riskienhallintaa, dokumentoimaan poikkeamat, tukemaan auditointeja ja muodostamaan todennettavan kyberturvallisuuden hallintajärjestelmän ilman raskaita infrastruktuuriratkaisuja. Lisäksi tutkimus korosti johdon sitoutumisen ja osaamisen kehittämisen välttämättömyyttä direktiivin velvoitteiden täyttämisessä.
Opinnäytetyö osoitti, että Microsoftin työkalut tukevat merkittävästi pk-yritysten siirtymistä reaktiivisesta tietoturvasta kohti proaktiivista ja todennettavaa riskienhallintaa. Pelkkä teknologia ei kuitenkaan riitä, vaan vaatimustenmukaisuus edellyttää kokonaisvaltaista johtamisotetta, prosessien kehittämistä ja toimitusketjujen hallintaa. Työllä ei ollut toimeksiantajaa.