Etusivu » NIS2 – Kyberturvallisuusdirektiivi

Useimpien pk-yritysten on parannettava tietoturvan tasoa vuonna 2025 – NIS2 Kyberturvallisuusdirektiivi

Jaa sivu:

Kyberturvallisuuslaki tulee voimaan 8.4.2025

Euroopan parlamentti hyväksyi NIS2 – Kyberturvallisuusdirektiivin vuoden 2022 lopussa.

Suomen kansallinen lainsäädännön luonnos valmistui loppuvuonna 2023 lausuntokierroksen jälkeen ja se siirtyi eduskunnan käsittelyyn vuoden 2024 alkupuoliskolla. Direktiiviä ja kansallista kyberturvallisuuslakia ryhdytään soveltamaan täysimääräisesti 8.4.2025.

Perusasioiden kuntoon laittamiseen ei siten ole enää hirvittävästi ylimääräistä aikaa. Toimijoiden on ilmoittauduttava valvovalle viranomaiselle huhtikuussa 2025 ja otettava varsin nopeasti käyttöön kyberturvallisuuden riskienhallinnan toimintamalli (3 kk).

Ketä kyberturvallisuusdirektiivi sitten koskee?

NIS2-direktiiviä sovelletaan lähtökohtaisesti organisaatioihin, jotka toimivat direktiivissä määritellyillä kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria eli työllistävät 50 työntekijää, niiden liikevaihto tai taseen loppusumma on yli 10 miljoonaa euroa. Julkisten organisaatioiden lisäksi yritykset, joissa on yli 250 työntekijää kuuluvat automaattisesti NIS2:n piiriin riippumatta niiden liikevaihdosta. Mikäli yritys tarjoaa kriittistä palvelua, voidaan pienempikin yritys velvoittaa täyttämään NIS2:n vaatimukset.

Kriittiset toimialat eriteltynä:

KESKEISET

  • Energia (vety- ja latauspisteiden
    palveluntarjoajat)
  • Liikenne
  • Pankkitoiminta
  • Finanssimarkkinoiden infrastruktuuri
  • Terveys
  • Juomavesi
  • Jätevesi
  • Digitaalinen infrastruktuuri (tele, luottamuspalvelut, CDN,
    konesalit)
  • TVT-palvelujen hallinta (yritysten välinen)
  • Julkishallinto
  • Avaruus

TÄRKEÄT

  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemikaalien valmistus, tuotanto ja jakelu
  • Elintarvikkeiden tuotanto, jalostus ja jakelu
  • Valmistus (mm. lääkintälaitteet, tietokoneet,
    sähkölaitteet, kulkuneuvot)
  • Digitaalisen palvelun tarjoajat
    (verkkoyhteisöalustojen tarjoajat)
  • Tutkimustoiminta

Esimerkkejä kyberturvallisuusdirektiivin käytännön vaatimuksista yritykselle

Kyberturvallisuuden riskienhallinnan toimintamallin tulee pitää sisällään vähintään seuraavat kymmenen asiaa (direktiivin 21 artikla): 

  1. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
  2. poikkeamien käsittely
  3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  5. verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
  6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
  8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

Mahdolliset sanktiot

Direktiivin artiklojen rikkomisesta on säädetty pahimmillaan sakko, joka voi olla maksimissaan 10 miljoonaa euroa tai kaksi prosenttia konsernitason globaalista liikevaihdosta, sen mukaan kumpi on suurempi summa. Sanktiot ovat tuttuja jo EU:n yleisen tietosuoja-asetuksen GDPR tultua voimaan toukokuussa 2018. Suuret sakot eivät varmaankaan ole yrityksen suurin uhka ja niitä on määrätty varsin kohtuullisesti mm. tietosuojan osalta (n. 20 kpl lokakuussa 2023). Mutta on hyvä tiedostaa, että tällainenkin seuraamus on mahdollinen merkittävistä vahingoista ja/tai laiminlyönneistä.

Yrityksen johdon ja hallituksen on hyvä ymmärtää, että vastuu riittävän tietoturvan ja turvallisen toiminnan osalta on lopulta sillä itsellään. Juristit ovat kirjoittaneet muun muassa, että ns. hallintoelinten yksittäiset jäsenet voidaan saattaa henkilökohtaisesti vastuuseen, mikäli he laiminlyövät velvollisuutensa varmistaa yrityksen kyberturvallisuutta koskevien velvoitteiden noudattaminen. On siis kyse varsin vakavasta asiasta, johon on syytä syventyä ja laittaa asioita kuntoon.

Esittelemme tällä sivustolla Pro Kyberturva -palvelua, jonka avulla on mahdollista lähteä ketterästi liikkeelle helppokäyttöisen tietoturvallisuuden hallintajärjestelmän rakentamisessa.

Lue lisää kyberturvallisuusdirektiivistä osoitteessa:

www.kyberturvallisuusdirektiivi.com

Liikenne- ja viestintäministeriön tiedote 27.3.2025

Hallitus esittää uuden kyberturvallisuuslain vahvistamista

Hallitus esittää, että Tasavallan presidentti vahvistaisi kyberturvallisuuslain ja määräisi sen tulemaan voimaan 8.4.2025. Tasavallan presidentin on tarkoitus vahvistaa laki perjantaina 4.4.2025. 

Kyberturvallisuuslailla toimeenpannaan EU:n kyberturvallisuusdirektiivi (NIS 2). Direktiivin tavoitteena on vahvistaa EU:n ja jäsenvaltioiden kyberturvallisuutta kriittisillä toimialoilla. Soveltamisalaan kuuluvien toimijoiden on jatkossa arvioitava ja hallittava riskejä, joita kohdistuu niiden käyttämien viestintäverkojen ja tietojärjestelmien turvallisuuteen. Toimijoiden on myös ilmoitettava merkittävistä poikkeamista viestintäverkoissa ja tietojärjestelmissä. Julkishallinnon osalta direktiivi pannaan täytäntöön muutoksilla julkisen hallinnon tiedonhallinnasta annettuun lakiin.

Kyberturvallisuuslain soveltamisala kattaa toimijoita esimerkiksi liikenne-, energia- ja terveydenhuoltoaloilla sekä digitaalisen infrastruktuurin palveluntarjoajia. Laki koskee myös esimerkiksi elintarvikealaa, eräitä tuotteita valmistavaa teollisuutta, kemianteollisuutta, jätehuoltoa ja postipalveluita. Laki koskee pääsääntöisesti keskisuuria ja suurempia toimijoita, jotka harjoittavat lain liitteisiin kuuluvaa toimintaa. 

Kansallisesti säädetään valvovista viranomaisista 

Kyberturvallisuuslaissa säädetään kyberturvallisuusdirektiivin mukaisista velvoitteista, jotka koskevat organisaation riskienhallintaa ja merkittävien poikkeamien raportoimista. Lisäksi laissa säädetään velvoitteiden valvonnasta ja muista toimeenpanon edellyttämistä viranomaistehtävistä. Soveltamisalaan kuuluvia toimijoita edellytetään myös ilmoittamaan yhteystietonsa valvovalle viranomaiselle soveltamisen alkaessa. Kyberturvallisuuslain mukaiset määräajat riskienhallinnan järjestämiselle ja tietojen ilmoittamiselle alkavat lain voimaantulosta.

Kyberturvallisuuslain valvovia viranomaisia ovat toimialakohtaisesti Liikenne- ja viestintävirasto Traficom, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Etelä-Savon ELY-keskus, Ruokavirasto, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ja Lääkealan turvallisuus- ja kehittämiskeskus Fimea. Valvovien viranomaisten yhteistyötä koordinoi Traficom. Hallinnollisia seuraamusmaksuja määrää erikseen perustettava seuraamusmaksulautakunta, joka koostuu valvovien viranomaisten nimeämistä jäsenistä.

Traficomin Kyberturvallisuuskeskukseen sijoitetaan tietoturvaloukkauksia tutkivan ja niihin reagoivan yksikön eli CSIRT-yksikön tehtävät, jotka vastaavat pitkälti Kyberturvallisuuskeskuksen nykyisiä tehtäviä esimerkiksi kyberuhkien seurannan ja analysoinnin osalta. Yksikkö koordinoi myös haavoittuvuuksien julkaisemista EU:n suuntaan. Yksikkö voi toimia kyberturvallisuustietoja koskevien vapaaehtoisten jakamisjärjestelyiden koordinaattorina.

Mitä seuraavaksi? 

Lakien on tarkoitus tulla voimaan 8.4.2025. Kyberturvallisuuskeskus ja valvovat viranomaiset tiedottavat kyberturvallisuuslain toimeenpanosta.

Lisätietoja:
hallitussihteeri Veikko Vauhkonen, p. 0295 342 168, veikko.vauhkonen@gov.fi

Kyberala ry:n tiedote 31.3.2025

Kyberala ry julkaisi EU:n verkko- ja tietoturvallisuusdirektiivin (NIS2) soveltamisoppaan – laki voimaan 8.4.2025

Finnish Information Security Cluster (FISC) – Kyberala ry on julkaissut EU:n verkko- ja tietoturvallisuusdirektiivi NIS2:n kansallisen soveltamisoppaan. Tavoitteena on tukea Suomessa toimivien yritysten kyberturvallisuustyötä vastaamaan muuttuvia lainsäädäntövelvoitteita.

NIS2-direktiivi vahvistaa kyberturvallisuutta organisaatio- ja yhteiskuntatasolla: EU:n verkko- ja tietoturvadirektiivi on keskeinen osa Euroopan unionin pyrkimyksiä parantaa jäsenvaltioidensa kyberturvallisuutta. Direktiivi edistää yritysten toiminnan jatkuvuutta ja kannattavuutta sekä asettaa velvoitteita digitaalisten riskien hallintaan. 

Kilpailuetu ja yhteiskunnan kyberkestävyys

Yritykset voivat saavuttaa kilpailuetua nopealla sopeutumisella direktiivin vaatimuksiin tai ylittämällä ne. Direktiivi tukee yhteiskunnan kyberkestävyyttä ja luo hallittavan toimintaympäristön. Vaikka direktiivin noudattaminen aiheuttaa kustannuksia, ne ovat ennakoitavissa ja tukevat toiminnan laatua, vastuullisuutta ja toimitusvarmuutta.  

Eduskunta hyväksyi maaliskuussa 2025 kyberturvallisuuslain, jolla direktiivi saatetaan osaksi Suomen lainsäädäntöä. Hallitus esittää, että Tasavallan presidentti vahvistaisi kyberturvallisuuslain 4.4.2025 ja määräisi sen tulemaan voimaan 8.4.2025.  

Soveltamisopas on suunnattu organisaatioille, jotka haluavat varmistaa, että niiden kyberturvallisuuskäytännöt täyttävät uuden lainsäädännön vaatimukset ja edistävät riskienhallintaa käytännössä. Kyberala ry:n uusi soveltamisopas tarjoaa selkeät tulkinnat sekä parhaat käytännöt direktiivin vaatimusten täyttämiseksi. 

Koko toimialan laajuinen projekti soveltamisoppaan laatimiseksi käynnistyi syksyllä 2023. Oppaan valmistelussa on ollut mukana asiantuntijoita 18 eri yrityksestä, mikä on mahdollistanut laaja-alaisen huippuosaamisen sekä eri näkemysten ja kokemuksien hyödyntämisen. 

Kyberala ry edustaa suomalaisia kyberturvallisuusalan yrityksiä ja on sitoutunut tukemaan organisaatioita niiden kyberturvallisuuden parantamisessa. Yhdistys toimii osana Teknologiateollisuus ry:tä yhtenä sen toimialajärjestöistä.

Opas ladattavissa osoitteessa:

https://teknologiateollisuus.fi/fisc/wp-content/uploads/sites/11/2025/03/NIS2-OPAS-1.0-JULKAISU.pdf

Hyödyllisiä leikkeitä direktiivistä:

Artikla 20 – Hallinnointi

1. Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelimet hyväksyvät näiden toimijoiden 21 artiklan noudattamiseksi toteuttamat kyberturvallisuusriskien hallintatoimenpiteet ja valvovat mainitun artiklan täytäntöönpanoa ja että nämä hallintoelimet voidaan saattaa vastuuseen, jos toimijat rikkovat kyseistä artiklaa.

Tämän kohdan soveltaminen ei rajoita kansallisen lainsäädännön soveltamista, kun on kyse julkisiin laitoksiin sovellettavista vastuusäännöistä taikka virkamiesten tai vaalilla valittujen tai nimettyjen toimenhaltijoiden vastuusta.

2. Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelinten jäsenillä on velvollisuus osallistua koulutukseen, ja kannustettava keskeisiä ja tärkeitä toimijoita tarjoamaan säännöllisesti vastaavaa koulutusta työntekijöilleen, jotta he voivat hankkia riittävät tiedot ja taidot kyetäkseen tunnistamaan riskejä ja arvioimaan kyberturvallisuusriskien hallintakäytäntöjä ja niiden vaikutusta toimijan tarjoamiin palveluihin.

Artikla 21 – Kyberturvallisuusriskien hallintatoimenpiteet

1. Jäsenvaltioiden on varmistettava, että keskeiset ja tärkeät toimijat toteuttavat asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet hallitakseen riskejä, joita niiden toiminnoissaan tai palveluntarjonnassaan käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu, ja estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin.

Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaa koskevat eurooppalaiset ja kansainväliset standardit sekä täytäntöönpanokustannukset, ensimmäisessä alakohdassa tarkoitetuilla toimenpiteillä on varmistettava, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset ja taloudelliset vaikutukset.

2. Edellä 1 kohdassa tarkoitettujen toimenpiteiden on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin, jolla pyritään suojaamaan verkko- ja tietojärjestelmät ja näiden järjestelmien fyysinen ympäristö poikkeamilta, ja niihin on sisällyttävä vähintään seuraavat:

a) riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
b) poikkeamien käsittely;
c) toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu sekä kriisinhallinta;
d) toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
e) verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
f) toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
g) perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
h) toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
i) henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
j) tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.

3. Jäsenvaltioiden on varmistettava, että toimijoiden harkitessa, mitkä tämän artiklan 2 kohdan d alakohdassa tarkoitetuista toimenpiteistä ovat asianmukaisia, toimijat ottavat huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, niiden tuotteiden yleisen laadun sekä toimittajiensa ja palveluntarjoajiensa kyberturvallisuuskäytännöt, mukaan lukien tuotekehityksen suojausmenettelyt. Jäsenvaltioiden on myös varmistettava, että toimijoiden harkitessa, mitkä kyseisessä alakohdassa tarkoitetuista toimenpiteistä ovat asianmukaisia, toimijoita vaaditaan ottamaan huomioon 22 artiklan 1 kohdan mukaisesti tehtyjen kriittisiä toimitusketjuja koskevien koordinoitujen riskinarviointien tulokset.

4. Jäsenvaltioiden on varmistettava, että toimija, joka toteaa, ettei se noudata 2 kohdassa säädettyjä toimenpiteitä, toteuttaa ilman aiheetonta viivytystä kaikki tarvittavat, asianmukaiset ja oikeasuhteiset korjaavat toimenpiteet.

5. Komissio hyväksyy viimeistään 17 päivänä lokakuuta 2024 täytäntöönpanosäädöksiä, joilla vahvistetaan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset, jotka koskevat DNS-palveluntarjoajia, aluetunnusrekistereitä, pilvipalvelujen tarjoajia, datakeskuspalvelujen tarjoajia, sisällönjakeluverkkojen tarjoajia, hallintapalvelun tarjoajia, tietoturvapalveluntarjoajia, verkossa toimivien markkinapaikkojen tarjoajia, verkossa toimivien hakukoneiden tarjoajia, verkkoyhteisöalustojen tarjoajia ja luottamuspalvelun tarjoajia.

Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan 2 kohdassa tarkoitettujen toimenpiteiden tekniset ja menetelmiin liittyvät vaatimukset sekä tarvittaessa alakohtaiset vaatimukset, jotka koskevat muita keskeisiä ja tärkeitä toimijoita kuin tämän kohdan ensimmäisessä alakohdassa tarkoitettuja toimijoita.

Valmistellessaan tämän kohdan ensimmäisessä ja toisessa alakohdassa tarkoitettuja täytäntöönpanosäädöksiä komissio noudattaa mahdollisimman pitkälle eurooppalaisia ja kansainvälisiä standardeja sekä asiaankuuluvia teknisiä eritelmiä. Komissio vaihtaa neuvoja ja tekee yhteistyötä yhteistyöryhmän ja ENISAn kanssa 14 artiklan 4 kohdan e alakohdan mukaisesti, kun kyse on ehdotuksista täytäntöönpanosäädöksiksi.

Nämä täytäntöönpanosäädökset hyväksytään 39 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Kyberhyökkäyksistä on aiheutunut kustannuksia joka kolmannelle suomalaiselle suuryritykselle

16.10.2023 Joona Komonen

Yritykset ja organisaatiot ovat osoittautuneet kyberhyökkääjien kohteeksi.

Suomen kyberturvallisuudessa keskeisiä pelaajia ovat organisaatiot ja yritykset, joista 71 prosenttia on Elisan kyselytutkimuksen mukaan kiihdyttänyt varautumistaan kyberhyökkäyksiin.

Yrityksiä velvoitetaan suojautumaan kyberhyökkäyksiltä vuonna 2024 voimaanastuvassa NIS2-direktiivissä.

Suurista ja keskisuurista yrityksistä joka toinen arvioi, että tietomurtojen, murron yritysten ja kiristyshaittaohjelmien määrä on kasvanut viimeisen vuoden aikana. Joka kolmas yli 500 henkilöä työllistävä yritys on saanut kuuden kuukauden aikana liiketoiminnallisia kustannuksia kyberhyökkäyksistä johtuen, tiedotteessa kerrotaan.

Kyberhyökkääjät ovat ottaneet yritykset ja organisaatiot kohteekseen, sillä niissä käsitellään erilaisia tietoja ja suomalaisten luottamukseen voidaan vaikuttaa lamauttamalla niiden toimintaa.

”Kalastelua tehdään yhä älykkäämmin ja myös hyödyntäen yhä enemmän tekoälyä. Taustalla voi olla monenlaisia motiiveja – muitakin kuin suora rahallinen hyöty”, Elisan yritysliiketoiminnan johtaja Timo Katajisto sanoo tiedotteessa. ”Luottamuksen säilyttäminen instituutioihin ja toisaalta kriittisyys ovat näinä aikoina keskeisiä kansalais- ja työntekijätaitoja ihan jokaiselle.”

Kyberturvallisuuden huomioiminen yrityksissä ja organisaatioissa on tutkimuksen mukaan yleisesti hyvällä tasolla. Organisaatioista 63 prosenttia arvioi kybervalmiuksiaan hyviksi ja 64 prosentilla on kyberturvallisuusstrategia. Puutteita kyberturvallisuuden suhteen tunnistetaan eniten teollisuusyrityksissä, joista 62 prosenttia arvioi valmiuksia kohtalaisiksi.

Yrityksillä ja organisaatioilla on kuitenkin kehitettävää. Organisaatioiden päättäjistä yli puolet ajattelevat, että tietoturvapoikkeamien havainnointi- ja reagointipalveluihin ja henkilöstön koulutukseen tarvitsee panostaa erityisesti.

Yritykset saavat uusia tietoturvavaatimuksia – ”voi tulla haastavaa, jos NIS on uusi asia”

12.10.2023 Toni Stubin

Euroopan unionin uusi kyberturvadirektiivi edellyttää yrityksiltä entistä enemmän panostusta tietoturvaan.

Kun päivitetty NIS2-kyberturvallisuus­direktiivi tulee voimaan lokakuussa 2024, yhä useampi yritys joutuu ottamaan kyberturvalusikan kauniiseen käteen.

NIS2:n soveltamisala on selvästi entistä laajempi. Sen tavoitteena on suojata kriittiset toimialat ja varmistaa, että yhteiskunta pystyy toimimaan myös poikkeusoloissa.

”Tässä vaiheessa yritysten ei kannata jäädä odottamaan ylhäältäpäin tulevaa tietoa mukaan kuulumisesta, vaan tehdä kotiläksynsä ja selvittää itse, koskeeko NIS2 heitä”, sanoo WithSecuren johtava tietoturvakonsultti Antti Laatikainen.

Direktiivi etenee tasaisen tappavaa tahtia. Jäsenvaltioiden on otettava se käyttöön viimeistään 18. lokakuuta 2024, jolloin aiemman verkko- ja tietoturvadirektiivin NIS:n voimassaolo lakkaa.

Tänä syksynä odotetaan esitystä siitä, miten NIS2:n velvoitteet nivelletään Suomen lainsäädäntöön. Lausuntokierroksen jälkeen hallitus käsittelee asiaa kevään 2024 aikana.

Kuinka helppoa NIS2:n vaatimusten täyttäminen on? Laatikaisen mukaan tähän vaikuttaa se, miten hyvin yritys ymmärtää kyberturvan vaikutukset toiminnan jatkuvuuteen.

”Yritysten täytyy tunnistaa suojausta tarvitsevat pääliiketoimintaprosessit, joiden katkokset vaarantaisivat liiketoiminnan.”

ERILAISET LÄHTÖKOHDAT yrityksissä tuovat Laatikaisen mukaan omat vaikeutensa direktiivin vaatimusten toteuttamiseen.

”Kehittyneempään tietoturvaan kuten tietojen palautuksiin ja poikkeamien havaitsemiseen on panostettu vaihtelevasti. Myös toimittajien hallinnassa voi olla tekemistä: onko mietitty tilannetta, jossa hyökkääjä salaa tai varastaa tärkeän toimittajan tiedot?”

Raportoinninkin vaatimukset kasvavat direktiivin myötä. Ei riitä, että turva on hoidettu kunnolla, vaan tilanne pitää pystyä myös osoittamaan valvovalle viran­omaiselle.

”Tästä voi tulla haastavaa etenkin niille yrityksille, joille koko NIS on uusi asia. Riskienhallinnan kuvantamisesta ei välttämättä ole kaikilla kokemusta”, Laatikainen sanoo.

Scroll to Top