Systeemiset riskit toimitusketjujen kyberturvallisuuden hallinnassa
Kauppinen, Marko (2025)
2025
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202603063893
https://urn.fi/URN:NBN:fi:amk-202603063893
Tiivistelmä
Tämän opinnäytetyön tarkoituksena on tarkastella systeemisten kyberturvallisuusriskien ilmenemistä digitaalisissa toimitusketjuissa sekä arvioida, miten Euroopan unionin kyberturvallisuutta ja kriittistä infrastruktuuria koskeva sääntelykehys vastaa näiden riskien hallintaan. Työn taustalla on digitalisoituvien ja verkottuneiden toimitusketjujen kasvava merkitys sekä niihin liittyvien riskien monimutkaistuminen. Tavoitteena on tuottaa ajankohtaista ja syventävää ymmärrystä erityisesti EU-sääntelyn, kuten NIS2- ja CER-direktiivien, roolista systeemisten kyberriskien hallinnassa. Kohderyhmänä ovat kyberturvallisuuden, riskienhallinnan ja turvallisuusjohtamisen parissa toimivat asiantuntijat niin julkisella kuin yksityisellä sektorilla.
Tutkimus tuotettiin laadullisena tutkimuksena, ja aineisto kerättiin teemahaastatteluilla loka-marraskuussa 2025. Haastatteluihin osallistui viisi asiantuntijaa, jotka valittiin tavoitteellisella otannalla heidän osaamisensa ja vastuualueidensa perusteella. Aineisto analysoitiin teemallisen sisältöanalyysin avulla, jonka avulla tunnistettiin tutkimuskysymysten kannalta keskeiset ilmiöt ja merkitysrakenteet. Teoreettisena viitekehyksenä hyödynnettiin systeemisen riskin käsitettä.
Tulokset osoittavat, että kyberturvallisuusriskit toimitusketjuissa ovat ensisijaisesti systeemisiä ja verkostomaisia, eivätkä rajoitu yksittäisiin teknisiin haavoittuvuuksiin. Keskeisiä riskitekijöitä ovat rakenteelliset riippuvuudet, näkyvyysvajeet ja globaalit palvelukeskittymät. Euroopan Unionin sääntely tukee organisaatioiden riskienhallintaa ja turvallisuusjohtamista, mutta ei täysin kata ylikansallisia riskikeskittymiä. Opinnäytetyö korostaa tarvetta systeemiselle ja verkostotason lähestymistavalle, jota voidaan soveltaa työelämässä toimitusketjujen kokonaisvaltaisessa kyberturvallisuuden kehittämisessä. The objective of this thesis was to examine how systemic cybersecurity risks emerge in digital supply chains and to assess how the European Union’s cybersecurity and critical infrastructure regulatory framework addresses the management of these risks. The study is grounded in the growing importance of digitalized and highly interconnected supply chains and the increasing complexity of the risks associated with them. The objective is to produce up-to-date and in-depth understanding of the role of EU regulation, particularly the NIS2 and CER Directives, in managing systemic cyber risks. The target audience consists of professionals working in cybersecurity, risk management, and security management in both the public and private sectors.
The study was conducted as a qualitative research project, with data collected through thematic interviews between October and November 2025. Five experts participated in the interviews. They were selected using purposive sampling based on their expertise and professional responsibilities. The data were analyzed using thematic content analysis, which enabled the identification of key phenomena and recurring meaning structures relevant to the research questions. The concept of systemic risk was used as the main theoretical framework guiding the analysis.
The results indicate that cybersecurity risks in supply chains are primarily systemic and network-based rather than limited to individual technical vulnerabilities. Key risk factors include structural dependencies, lack of visibility across supply chain tiers, and global concentrations of digital services. EU regulation strengthens organizational risk management structures and legitimizes security management practices but does not fully address transnational risk concentrations. This thesis highlights the need for a systemic, network-level approach, which can be applied in working life to develop more comprehensive cybersecurity practices in digital supply chains.
Tutkimus tuotettiin laadullisena tutkimuksena, ja aineisto kerättiin teemahaastatteluilla loka-marraskuussa 2025. Haastatteluihin osallistui viisi asiantuntijaa, jotka valittiin tavoitteellisella otannalla heidän osaamisensa ja vastuualueidensa perusteella. Aineisto analysoitiin teemallisen sisältöanalyysin avulla, jonka avulla tunnistettiin tutkimuskysymysten kannalta keskeiset ilmiöt ja merkitysrakenteet. Teoreettisena viitekehyksenä hyödynnettiin systeemisen riskin käsitettä.
Tulokset osoittavat, että kyberturvallisuusriskit toimitusketjuissa ovat ensisijaisesti systeemisiä ja verkostomaisia, eivätkä rajoitu yksittäisiin teknisiin haavoittuvuuksiin. Keskeisiä riskitekijöitä ovat rakenteelliset riippuvuudet, näkyvyysvajeet ja globaalit palvelukeskittymät. Euroopan Unionin sääntely tukee organisaatioiden riskienhallintaa ja turvallisuusjohtamista, mutta ei täysin kata ylikansallisia riskikeskittymiä. Opinnäytetyö korostaa tarvetta systeemiselle ja verkostotason lähestymistavalle, jota voidaan soveltaa työelämässä toimitusketjujen kokonaisvaltaisessa kyberturvallisuuden kehittämisessä.
The study was conducted as a qualitative research project, with data collected through thematic interviews between October and November 2025. Five experts participated in the interviews. They were selected using purposive sampling based on their expertise and professional responsibilities. The data were analyzed using thematic content analysis, which enabled the identification of key phenomena and recurring meaning structures relevant to the research questions. The concept of systemic risk was used as the main theoretical framework guiding the analysis.
The results indicate that cybersecurity risks in supply chains are primarily systemic and network-based rather than limited to individual technical vulnerabilities. Key risk factors include structural dependencies, lack of visibility across supply chain tiers, and global concentrations of digital services. EU regulation strengthens organizational risk management structures and legitimizes security management practices but does not fully address transnational risk concentrations. This thesis highlights the need for a systemic, network-level approach, which can be applied in working life to develop more comprehensive cybersecurity practices in digital supply chains.