NIS2-direktiivin implementointi organisaatiossa
Näkkäläjärvi, Sammeli (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202604136188
https://urn.fi/URN:NBN:fi:amk-202604136188
Tiivistelmä
Tämä opinnäytetyö käsittelee jätehuolto- ja kierrätysalan yrityksen NIS2-direktiivin implementointia hyödyntäen ISO/IEC 27001:2023 -standardia käytännön viitekehyksenä. Työ toteutettiin kehittämispainotteisena opinnäytetyönä toimeksiantona konsernin tytäryhtiölle, joka on toimialansa vuoksi velvollinen täyttämään NIS2-direktiivin asettamat vaatimukset.
Työn tavoitteena on tukea kohdeyrityksen tietoturvan kehittämistä yhdenmukaistamalla emoyhtiössä jo käytössä olevia käytäntöjä ja prosesseja kohdeyrityksen toimintaan soveltuviksi. Kehittämistyö toteutettiin järjestämällä työpajoja, joihin kutsuttiin yrityksen henkilökuntaa siltä osin kuin työpajan aiheet heitä koskettivat. Työpajoissa käytiin läpi myös tietoturvaan liittyviä käytäntöjä ja toimintamalleja.
Työn tuloksena kohdeyrityksessä toteutettiin useita tietoturvan kehittämistoimenpiteitä fyysisen turvallisuuden, häiriönhallinnan, riskienhallinnan sekä henkilöstön tietoisuuden ja koulutuksen osa-alueilla. Konkreettisena tuotoksena syntyi toimenpidelista, jota voidaan hyödyntää tietoturvan ylläpitämisessä ja jatkokehittämisessä. Kehitysehdotuksina tunnistettiin muun muassa häiriöidenhallintaan liittyviä toimia ja niiden dokumentointia, toimitusketjun tietoturvallisuuden käyttöönottamista sekä tietoturva-auditoinnin integroiminen osaksi konsernin vuosikelloa.
Työpajatyöskentely osoitti, että käytännönläheinen ote tietoturvan jalkauttamisessa edistää henkilöstön sitoutumista huomattavasti tehokkaammin kuin pelkkä dokumenttien läpikäynti. NIS2-direktiivin vaatimusten täyttäminen ei ole ainoastaan lakisääteinen velvoite, vaan samalla mahdollisuus nostaa organisaation tietoturvan kypsyystasoa ja varmistaa liiketoiminnan jatkuvuus poikkeustilanteissa.
Työn tavoitteena on tukea kohdeyrityksen tietoturvan kehittämistä yhdenmukaistamalla emoyhtiössä jo käytössä olevia käytäntöjä ja prosesseja kohdeyrityksen toimintaan soveltuviksi. Kehittämistyö toteutettiin järjestämällä työpajoja, joihin kutsuttiin yrityksen henkilökuntaa siltä osin kuin työpajan aiheet heitä koskettivat. Työpajoissa käytiin läpi myös tietoturvaan liittyviä käytäntöjä ja toimintamalleja.
Työn tuloksena kohdeyrityksessä toteutettiin useita tietoturvan kehittämistoimenpiteitä fyysisen turvallisuuden, häiriönhallinnan, riskienhallinnan sekä henkilöstön tietoisuuden ja koulutuksen osa-alueilla. Konkreettisena tuotoksena syntyi toimenpidelista, jota voidaan hyödyntää tietoturvan ylläpitämisessä ja jatkokehittämisessä. Kehitysehdotuksina tunnistettiin muun muassa häiriöidenhallintaan liittyviä toimia ja niiden dokumentointia, toimitusketjun tietoturvallisuuden käyttöönottamista sekä tietoturva-auditoinnin integroiminen osaksi konsernin vuosikelloa.
Työpajatyöskentely osoitti, että käytännönläheinen ote tietoturvan jalkauttamisessa edistää henkilöstön sitoutumista huomattavasti tehokkaammin kuin pelkkä dokumenttien läpikäynti. NIS2-direktiivin vaatimusten täyttäminen ei ole ainoastaan lakisääteinen velvoite, vaan samalla mahdollisuus nostaa organisaation tietoturvan kypsyystasoa ja varmistaa liiketoiminnan jatkuvuus poikkeustilanteissa.