NIS2 ja Kyberturvallisuuslaki – riittääkö nykyinen tekeminen?
Blogi osa 1:
Monessa organisaatiossa NIS2 ja kyberturvallisuuslaki on jo ”hoidettu”. Tai ainakin niin ajatellaan. Mutta jos NIS2 koskee organisaatiotasi, johdon olisi syytä pysähtyä hetkeksi näiden kolmen kysymyksen äärelle:
- Tiedämmekö varmasti, missä kyberturvallisuuteen liittyvät riskit ovat – ja miten niitä hallitaan?
- Pystymmekö tarvittaessa osoittamaan tekemisemme viranomaiselle?
- Onko toiminta ja vastuut selkeästi määritelty vai perustuuko toiminta hiljaisiin oletuksiin?
Jos vastaus johonkin näistä on epävarma, kyse ei ole yksittäisestä puutteesta, vaan rakenteellisesta haasteesta, johon on syytä tarttua. Mieluummin ennakoivasti kuin pakon edessä.
NIS2 ei ole enää tulossa, se on jo täällä
EU:n NIS2-direktiivi on Suomessa saatettu voimaan kyberturvallisuuslailla, joka on ollut voimassa jo pidemmän aikaa, 8.4.2025 lähtien. Lain piiriin kuuluvien toimijoiden on pitänyt ilmoittautua toimialansa valvovalle viranomaiselle ja panna täytäntöön lain vaatimukset. Paperilla tämä kuulostaa suoraviivaiselta mutta käytännössä kysymys kuuluu: olemmeko aidosti valmiita vai oletammeko vain olevamme?
NIS2 ja kyberturvallisuuslaki nostavat esiin vanhan mutta ajankohtaisen kysymyksen: onko organisaation tietoturvallisuuden hallinta aidosti systemaattista, johdettua ja todennettavaa? Vai onko tietoturvan tekeminen yksittäisiä teknisiä, osin syvällekin meneviä toimenpiteitä ilman johtamista?
Kyberturvallisuus ei ole enää kysymys voimmeko delegoida tämän tietohallintoon, vaan miten johdamme tätä kokonaisuutta oikein.
Soveltamisala on laaja – valmiustaso vaihteleva
Lakiehdotuksessa vuoden 2024 lopulla arvioitiin, että tulevan lain soveltamisalan piiriin kuuluu Suomessa noin 2500-5000 toimijaa. Ovatko kaikki näistä yrityksistä saattaneet lain velvoitteet käytäntöön, ja ovat aidosti ns. NIS2-yhteensopivia? Entä alihankintaketju, eli lain piiriin kuuluvat toimittajat, joille päämiehet vyöryttävät lain velvoitteita?
Oma näkemykseni on, että monessa yrityksessä, jossa tietointensiivisyys on korkea tai joissa on jo pidempään tunnistettu oma huoltovarmuuskriittinen rooli, myös tietoisuus laista on hyvällä tasolla ja velvoitteisiin on vastattu. Samanaikaisesti on kuitenkin yrityksiä, joissa matka lain vaatimusten täyttämiseen on syystä tai toisesta edelleenkin selvästi alkupuolella.
Miten edetä, jos oma valmius herättää epävarmuutta?
Mikäli oma valmius lain vaatimusten täyttymiseen mietityttää, blogin toisessa osassa pureudumme konkreettisesti siihen:
- Mitä kyberturvallisuuslaki organisaatiolta käytännössä edellyttää.
- Ja miksi tietoturvallisuuden hallintajärjestelmä – erityisesti ISO/IEC 27001 -standardin mukainen – nousee monelle luontevaksi tavaksi vastata vaatimuksiin hallitusti ja todennettavasti.
Juuri nämä kysymykset erottavat näennäisen valmiuden todellisesta.
Lue blogin osa 2: Mitä kyberturvallisuuslaki konkreettisesti vaatii – yksittäisistä toimista todennettavaan johtamiseen
Blogin kirjoittaja:
Johannes Lindell
Turvallisuuden liiketoimintapäällikkö, Kiwa Suomi
Mitä kyberturvallisuuslaki konkreettisesti vaatii – yksittäisistä toimista todennettavaan johtamiseen
Blogi osa 2: NIS2 ja kyberturvallisuuslaki eivät ole hetkellinen ”harjoitus” tai yksittäinen vaatimusten täyttämisen projekti. Ne ohjaavat organisaatioita kohti strategista kyberturvallisuuden johtamista, jossa riskienhallinta, toiminnan jatkuvuus ja vastuiden määrittely ovat osa normaalia toimintaa ja päätöksentekoa.
Tietoturva ja tietoturvallisuuden hallintajärjestelmän sertifiointi (ISO/IEC 27001)
Kansainvälisen ISO/IEC 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä on kilpailutekijä ja merkki luotettavuudesta. Ota yhteyttä ja kysy lisää.
Ota yhteyttä
Voit jättää meille yhteydenottopyynnön tällä lomakkeella. Olemme sinuun yhteydessä mahdollisimman pian.