NIS2: Näin julkisen sektorin organisaatiot ovat valmistautuneet uusiin kyberturvallisuusvaatimuksiin

EU:n uusi kyberturvallisuusdirektiivi NIS2 velvoittaa myös Suomen julkishallinnon toimijat tarkastelemaan tietoturvakäytäntöjään aiempaa kriittisemmin. Vaikka valmistautuminen on jo monin paikoin käynnissä, organisaatioiden valmiuksissa ja etenemisessä on suuria eroja.

Tässä artikkelissa esitellään syksyllä 2024 toteutetun diplomityön pohjalta esiin nousseet keskeiset havainnot, haasteet ja kehittämistarpeet liittyen julkisen sektorin valmiuksiin vastata NIS2-direktiivin vaatimuksiin. Työssä toteutettuun kyselyyn vastasi viisi tietoturvapäällikköä ja kyberturvallisuuden asiantuntijaa eri julkishallinnon organisaatioista.

Mikä ihmeen NIS2?

NIS2-direktiivi (Network and Information Security Directive 2) on Euroopan unionin päivitetty kyberturvallisuusdirektiivi, jonka tavoitteena on vahvistaa kriittisten toimijoiden kykyä ehkäistä ja hallita kyberuhkia.

Direktiivi asettaa uusia vaatimuksia muun muassa riskienhallintaan, tietoturvapoikkeamien raportointiin sekä toimitusketjujen hallintaan. Suomessa sen toimeenpano tapahtuu kansallisen kyberturvallisuuslain kautta, ja se koskee lukuisia julkisen sektorin virastoja ja laitoksia.  

Miten NIS2 näkyy julkisen sektorin organisaatioissa?

Syksyllä 2024 toteutetussa tutkimuksessa tarkasteltiin, miten NIS2-direktiivin velvoitteet vaikuttavat käytännössä julkisen sektorin virastoihin ja laitoksiin. Tavoitteena oli selvittää organisaatioiden valmiustilaa, jo toteutettuja toimenpiteitä sekä toimeenpanoon liittyviä haasteita.

NIS2-direktiivillä on jo monipuolisia vaikutuksia julkisen sektorin digitaaliseen turvallisuuteen ja riskienhallintaan. Kaikki kyselyyn vastanneet organisaatiot olivat syksyllä 2024 aloittaneet valmistautumisen direktiivin käyttöönottoon, mutta valmistautumisen tasossa oli merkittäviä eroja.

Osa organisaatioista oli edennyt konkreettisiin toimenpiteisiin, kuten uusien ohjeistusten laatimiseen ja henkilöstön koulutusten järjestämiseen, kun taas toiset olivat vasta valmisteluvaiheessa. Erot johtuivat muun muassa käytettävissä olevista resursseista, organisaatioiden tietämyksestä NIS2-direktiivistä sekä tietoturvaprosessien kehittyneisyydestä.

Direktiivi on lisännyt tietoisuutta kyberturvallisuuden tärkeydestä ja pakottanut organisaatiot tarkastelemaan toimintamallejaan uudelleen. Konkreettisina toimina organisaatiot olivat esimerkiksi yhtenäistäneet tiedonvaihtoa ja päivittäneet tietoturvakäytäntöjään.

Mitä organisaatiot kaipaavat onnistuakseen NIS2-direktiivin vaatimusten täyttämisessä?

NIS2-direktiivin vaatimusten täyttämisen suurimmat haasteet liittyivät epäselviin ohjeistuksiin sekä resurssi- ja osaamisvajeisiin. Myös kansallisen kyberturvallisuuslain viivästyminen aiheutti epävarmuutta, mikä hidasti direktiivin vaatimusten toimeenpanoa. 

Jotta NIS2-direktiivin tavoitteet voidaan saavuttaa, organisaatiot tarvitsevat:

  • selkeää ja ajantasaista viranomaisohjeistusta
  • jatkuvaa koulutusta ja osaamisen kehittämistä kaikilla organisaation tasoilla
  • toimialarajat ylittävää yhteistyötä

Direktiivin toimeenpano ei voi jäädä irralliseksi hankkeeksi, vaan organisaatioiden tulee varmistaa, että direktiivin vaatimukset integroidaan osaksi arjen toimintaa. Tämä vaatii pitkäjänteistä suunnittelua ja organisaatiokulttuurin kehittämistä.

BDO tukena NIS2-vaatimusten arvioinnissa ja toimeenpanossa

Miten teidän organisaationne on valmistautunut NIS2-direktiivin tuomiin muutoksiin? BDO tarjoaa asiantuntemusta NIS2-direktiivin vaatimusten arviointiin ja täyttämiseen. BDO:n kehittämä NIS2-arviointityökalu auttaa tunnistamaan organisaation nykytilanteen ja tarvittavat kehitysaskeleet. Testaa organisaatiosi tilanne alla olevan linkin kautta!

NIS2-arviointityökaluun

Kirjoittajalta

Pääsin syventymään ajankohtaiseen ja tärkeään aiheeseen tehdessäni diplomityötäni Tampereen yliopistolle. Kohdeorganisaationa tutkimuksessa toimi BDO, jonka kautta sain arvokasta tukea ja näkökulmaa direktiivin vaikutuksista käytännön tasolla. Erityiskiitos BDO:lle mahdollisuudesta toteuttaa diplomityö organisaatiossa sekä asiantuntijoillemme arvokkaasta tuesta ja asiantuntemuksesta työn aikana.

Vastaajaorganisaatioiden asiantuntijat tarjosivat arvokkaita näkemyksiä organisaatioiden valmiuksista vastata NIS2-direktiivin vaatimuksiin. Tulosten pohjalta oli mahdollista saada konkreettista tietoa organisaatioiden valmistautumisesta ja tunnistaa kehitystarpeita.

Kyselyn vastaukset analysoitiin anonyymisti ja kytkettiin diplomityön tutkimuskysymyksiin. Tutkimus tarjosi hienon mahdollisuuden syventyä käytännön haasteisiin ja pohtia ratkaisuja, jotka voivat tukea organisaatioita tässä muutoksessa. Toivon, että tulokset voivat osaltaan auttaa julkisen sektorin toimijoita navigoimaan NIS2-direktiivin vaatimusten läpi tehokkaammin.

Tutustu diplomityöhön