NIS 2 -direktiivi ja kyberturvallisuuslaki yrityksissä : kyberturvallisuutta koskevat velvoitteet ja riskienhallinnan toimintamalli
Hakala, Linda (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121536234
https://urn.fi/URN:NBN:fi:amk-2025121536234
Tiivistelmä
Opinnäytetyössä käsiteltiin NIS 2 -direktiiviä ja sen Suomessa toimeenpanevan kyberturvallisuuslain mukaista kyberturvallisuutta koskevaa riskienhallintaa yrityksissä. Työn tarkoituksena oli selvittää, mitä kyberturvallisuuslain 7–10 §:n mukainen kyberriskienhallinta NIS 2 -toimijoilta edellyttää sekä perehtyä riskienhallinnan perusteisiin.
Työssä esiteltiin, mistä verkko- ja tietojärjestelmät koostuvat, mitä tarkoitetaan riskillä ja mitkä ovat yleisimpiä kyberuhkia. Lisäksi perehdyttiin tietoturvan ja kyberturvallisuuden käsitteisiin, yrityksen sisäiseen ja ulkoiseen toimintaympäristöön sekä kybertoimintaympäristöön. NIS 2 -direktiivin ja kyberturvallisuuslain keskeiset velvoitteet yrityksille kerättiin yhteen. Tarkasteltiin, mitkä yritykset kuuluvat NIS 2 -direktiivin soveltamisalaan, toimijaluetteloon ilmoittautumista, merkittävien poikkeamien ilmoitusvelvollisuutta, valvontaa sekä johdon vastuuta kyberturvallisuutta koskevasta riskienhallinnasta.
Työssä tarkasteltiin ja tulkittiin NIS 2 -direktiiviä, kyberturvallisuuslakia sekä aiheeseen liittyvää kirjallisuutta, kuten riskienhallinnan oppaita ja ISO-standardeja. Riskienhallintaa tarkasteltiin sekä yleistä riskienhallintaa käsittelevän ISO 31000 -standardin että tietoturvallisuuden hallintajärjestelmää käsittelevän ISO/IEC 27000 -standardisarjan avulla.
Edellä mainittujen toimien pohjalta koottiin malli kyberturvallisuutta koskevasta riskienhallinnan toimintamallista, jonka ytimessä ovat toimintaperiaatteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle sekä kyberturvallisuutta koskevalle riskienhallinnalle. Mallia täydennettiin käytännön menetelmillä, kuten riskirekisterillä ja riskimatriisilla. Dokumentoitu ja systemaattinen riskienhallinta edistää kyberturvallisuuslain velvoitteiden täyttämistä.
Työssä esiteltiin, mistä verkko- ja tietojärjestelmät koostuvat, mitä tarkoitetaan riskillä ja mitkä ovat yleisimpiä kyberuhkia. Lisäksi perehdyttiin tietoturvan ja kyberturvallisuuden käsitteisiin, yrityksen sisäiseen ja ulkoiseen toimintaympäristöön sekä kybertoimintaympäristöön. NIS 2 -direktiivin ja kyberturvallisuuslain keskeiset velvoitteet yrityksille kerättiin yhteen. Tarkasteltiin, mitkä yritykset kuuluvat NIS 2 -direktiivin soveltamisalaan, toimijaluetteloon ilmoittautumista, merkittävien poikkeamien ilmoitusvelvollisuutta, valvontaa sekä johdon vastuuta kyberturvallisuutta koskevasta riskienhallinnasta.
Työssä tarkasteltiin ja tulkittiin NIS 2 -direktiiviä, kyberturvallisuuslakia sekä aiheeseen liittyvää kirjallisuutta, kuten riskienhallinnan oppaita ja ISO-standardeja. Riskienhallintaa tarkasteltiin sekä yleistä riskienhallintaa käsittelevän ISO 31000 -standardin että tietoturvallisuuden hallintajärjestelmää käsittelevän ISO/IEC 27000 -standardisarjan avulla.
Edellä mainittujen toimien pohjalta koottiin malli kyberturvallisuutta koskevasta riskienhallinnan toimintamallista, jonka ytimessä ovat toimintaperiaatteet viestintäverkkojen ja tietojärjestelmien turvallisuudelle sekä kyberturvallisuutta koskevalle riskienhallinnalle. Mallia täydennettiin käytännön menetelmillä, kuten riskirekisterillä ja riskimatriisilla. Dokumentoitu ja systemaattinen riskienhallinta edistää kyberturvallisuuslain velvoitteiden täyttämistä.