Organisaatiot kohtaavat uudenlaisia vaatimuksia kyberturvallisuuden hallinnassa, kun kyberturvallisuuslaki ja NIS2-direktiivi velvoittavat konkreettisiin toimiin. Webinaarissamme ”Kyberturvallisuuslaki ja NIS2 – vaatimusten hallinta ja käytännön toteutus” asiantuntijat Mikko Kinnanen (Prosecomin perustaja ja toimitusjohtaja) ja Jukka Mäkitalo (GRC Consultant, Granite) avasivat, miten vaatimustenmukaisuus voidaan integroida osaksi organisaation jokapäiväistä toimintaa.
Vaatimusten tunnistaminen: mistä aloittaa?
Ensimmäinen askel kohti vaatimustenmukaista toimintaa on organisaation aseman määrittäminen. Mikko Kinnanen korosti, että kaikkien organisaatioiden tulisi arvioida kuuluvatko ne kyberturvallisuuslain ja NIS2:n soveltamisalaan. ”Jokaisen organisaation pitäisi vähintään arvioida, ovatko he lain piirissä ja missä roolissa”.
Tunnistamisen apuna voidaan käyttää Kyberturvallisuuskeskuksen toimialakohtaisia taulukoita ja kriteeristöjä, jotka auttavat selventämään, mihin sääntelyyn kukin toimija kuuluu.
Lisäksi organisaation tulee ilmoittautua omaa toimialaansa valvovalle viranomaiselle. Ilmoittautuminen on käytännön ensimmäinen vaatimus, jonka määräaika yksityisellä sektorilla on 8. toukokuuta 2025.
Jokaisen organisaation pitäisi vähintään arvioida, ovatko he lain piirissä ja missä roolissa.
Käytännön toimet: mitä organisaatiolta edellytetään?
Pelkkä tunnistaminen ja ilmoittautuminen eivät riitä. Kyberturvallisuuslaki edellyttää riskienhallinnan prosessin rakentamista, joka kattaa kyberturvallisuuden erityispiirteet. Kinnanen muistutti, että riskienhallinnan tulee olla jatkuva prosessi: ”Kyse ei ole yksittäisestä harjoituksesta, vaan jatkuvasta riskienhallinnan tekemisestä”.
Käytännössä tämä tarkoittaa:
- Kyberturvallisuusriskien tunnistamista, arviointia ja hallintaa systemaattisesti
- Tietoturvaperiaatteiden dokumentointia
- Toimitusketjujen riskienhallinnan ulottamista sopimuksiin ja auditointeihin
- Henkilöstön tietoturvatietoisuuden ja koulutuksen varmistamista
- Poikkeamien havainnointikyvykkyyden kehittämistä ja ilmoitusprosessien rakentamista
Erityisesti toimitusketjujen hallinta nousi keskustelussa esiin. Pelkkä SLA-sopimus ei välttämättä täytä vaatimuksia, vaan tarvittaessa on sovittava myös tietoturvavelvoitteista erillisillä liitteillä ja mahdollistettava ulkopuoliset auditoinnit.
Tehokkaan hallintamallin rakentaminen
Riskienhallinnan lisäksi organisaatiolla tulee olla kattava hallintamalli, joka tukee vaatimusten täyttämistä ja jatkuvaa parantamista.
”Riskienhallinnan lisäksi on määriteltävä toimintaperiaatteet, vastuut ja poikkeamaprosessit, jotka yhdistyvät organisaation normaaliin johtamiseen,” korosti Jukka Mäkitalo hallintamallin keskeisiä osia.
Hyvä hallintamalli sisältää ainakin:
- Selkeät vastuut riskienhallinnasta ja poikkeamailmoituksista
- Riskien ja poikkeamien arviointikriteerit
- Säännöllisen vaikuttavuuden arvioinnin riskienhallintatoimenpiteille
- Prosessit poikkeamien käsittelyyn ja raportointiin (24h ilmoitus Traficomille merkittävästä poikkeamasta)
Kyberturvallisuuden hallintamalli kannattaa integroida osaksi olemassa olevia riskienhallintamalleja ja organisaation johtamisjärjestelmää. Näin kyberturvallisuus ei jää irralliseksi vaan vahvistaa koko organisaation resilienssiä.
Parhaat käytännöt käytännön toteutukseen
Mikko Kinnasen mukaan organisaation kannattaa hyödyntää olemassa olevia viitekehyksiä ja standardeja, erityisesti ISO 27001 ja ISO 27005 -standardeja. ”ISO 27001:n mukaan toimien ei voi kovin pahasti mennä pieleen”, Kinnanen muistutti.
Näiden avulla voidaan rakentaa toimiva riskienhallinnan rakenne ja arvioida nykytila objektiivisesti. Nykytila-arviointi onkin suositeltava lähtökohta, sillä se auttaa tunnistamaan kehityskohteet ja rakentamaan konkreettisen toimenpidesuunnitelman.
Erityisesti kriittisissä toiminnoissa, kuten tietoliikenteen tai energiantuotannon varassa toimivissa organisaatioissa, riskienhallinnan tarkkuuden ja kattavuuden taso tulee suhteuttaa toiminnan merkittävyyteen.
"ISO 27001:n mukaan toimien ei voi kovin pahasti mennä pieleen."
Vinkit onnistuneeseen toteutukseen
Mikko Kinnunen ja Jukka Mäkitalo jakoivat webinaarissa myös konkreettisia vinkkejä onnistuneeseen toteutukseen. Tässä tärkeimmät nostot:
- Tee nykytila-arviointi: Arvioi oma toiminta suhteessa lakiin ja direktiiviin.
- Rakenna hallintamalli aikataulut huomioiden: Riskienhallintamallin tulee olla valmis heinäkuun alkuun mennessä.
- Integroi kyberturvallisuus olemassa olevaan riskienhallintaan: Hyödynnä organisaation nykyisiä malleja ja rakenna kyberturvallisuus niiden päälle.
- Määrittele selkeät poikkeamien raportointikäytännöt: Kuka ilmoittaa ja millä perusteilla poikkeamista.
- Kehitä henkilöstön tietoturvatietoisuutta: Riskienhallinta ei toimi ilman ihmisten sitoutumista.
Kyberturvallisuus osaksi yrityksen arkea
Kyberturvallisuuslain ja NIS2-direktiivin myötä tietoturvavaatimukset muuttuvat osaksi organisaation arkea ja johtamista. Tämä vaatii paitsi dokumentaatiota ja teknisiä ratkaisuja, myös kulttuurin muutosta.
”Kyberturvallisuus pitää viedä osaksi organisaation normaalia päätöksentekoa ja prosesseja, ei tehdä siitä irrallista erityisprojektia,” tiivisti Mäkitalo.
Kun vaatimusten täyttäminen sidotaan saumattomasti osaksi päivittäistä johtamista ja toimintaa, se ei vain vastaa sääntelyn vaatimuksiin, vaan aidosti parantaa organisaation tietoturvakyvykkyyttä ja resilienssiä tulevaisuuden uhkia vastaan.
Artikkeli julkaistu 29.4.2025