Olen aiemmissa blogikirjoituksissani nostanut esille sen, että NIS2-direktiivi ja kansallinen kyberturvallisuuslaki ovat olleet jo jonkin tovin voimassa. (Pssst, jos et vielä ole niitä lukenut, niin linkit löytyvät kirjoituksen lopusta).
Koskeekohan tämä laki meitä?
NIS2 ja kyberturvallisuuslaki koskevat laajaa joukkoa yrityksiä lähes kaikilta yhteiskunnan toimialoilta. Äkkiä voisi luulla, että tämänkaltainen säätely koskee vain suuryrityksiä, mutta tähän ei kannata tuudittautua! Direktiivi ja laki koskevat myös laajaa joukkoa pieniä ja keskisuuria yrityksiä – jopa mikroyrityksiä!
Rahoitustuki kyberturvaan on erinomainen uutinen
Monella pk-yrityksellä – tai vielä pienemmällä yrityksellä – ei välttämättä ole omaa tietoturvaan erikoistunutta henkilöä tai tiimiä, jonka tehtäväksi nämä toimet voitaisiin antaa. Resurssit ovat rajallisemmat kuin suuryrityksillä.
Tähän on myös Suomen Kyberturvallisuuskeskus reagoinut. Parhaillaan yrityksillä on mahdollista hakea rahoitusta kyberturvallisuuslain asettamien toimien toteuttamiseen! Haku on auki 16.10.2025 klo 16:15 asti ja tukea jaetaan yhteensä 2 000 000 euroa. Rahoitettavien projektien tulee toteutua vuoden 2026 aikana.
Mitä rahoituksella voi tehdä?
Jotta yritys täyttää direktiivin ja lain vaatimukset, tulee yrityksen tehdä kertaluontoisia toimia (kuten riskienhallintamallin luominen) sekä jatkuvia toimia (kuten tietoturvakoulutukset, riskienhallinnan jatkuva toteuttaminen tai verkkojen ja tietojärjestelmien asianmukainen suojaus). Käytännössä yrityksen tulee perustaa tietoturvallisuuden hallintajärjestelmä sekä huolehtia sen jatkuvasta toiminnasta.
Erinomaisia esimerkkejä rahoitukseen soveltuvista projekteista:
- Gap-analyysi – tunnistetaan nykytilanne sekä tarvittavat toimenpiteet
- Tietoturvallisuuden hallintajärjestelmän (ISO 27001) rakentaminen – ISO 27001 vastaa erittäin hyvin lain vaatimuksiin! Tästä on hyvä jatkaa kohti sertifiointia, joka toimii osoituksena vaatimusten täyttymisestä ja tuo kilpailuetua
- Riskienhallintamallin luominen sekä riskienarviointi
- Toimitusketjun turvallisuuden hallinta- ja valvontamallin kehittäminen
- Teknisen tietoturvan testaus ja kehittäminen – haavoittuvuus- ja tietoliikenneskannaukset, uhka-analyysit, konfiguraatiotarkastukset
- Tietoturvaohjeistukset, koulutusmateriaalit ja koulutukset
- Toimitilojen fyysisen turvallisuuden kartoittaminen
Into Security auttaa koko prosessissa
Kyberturvallisuuslain edellyttämiä toimia ei tarvitse tehdä yksin. Into Security auttaa koko prosessissa. Tunnistamme mahdolliset puutteet (NIS2 gap-analyysi), toteutamme ja tuemme vaatimustenmukaisuuden rakentamista sekä hallintajärjestelmän hallintaa. Kokeneilla asiantuntijoillamme on kattava osaaminen niin hallinnollisesta, fyysisestä kuin teknisestä tietoturvasta.
Mikäli olet tunnistanut, että kyberturvallisuuslaki koskee yritystänne, niin ole yhteydessä. Katsotaan miten voisimme auttaa juuri teitä!
Ville
Lue aiemmat blogikirjoitukseni NIS2-aiheesta:
Lisätietoja rahoituksesta:
Kyberturvallisuuskeskuksen rahoitustuet
Kyberturvallisuuslaki:
Kyberturvallisuuslaki Finlexissä
→ Kyberturvallisuuslain 9§ mukaiset toimet, joihin rahoitusta voi hakea:
Toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on otettava huomioon ja pidettävä yllä ajantasaisesti ainakin:
1) kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi;
2) viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet;
3) viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi;
4) toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet sekä välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt;
5) omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen;
6) henkilöstöturvallisuus ja kyberturvallisuuskoulutus;
7) pääsynhallinnan ja todentamisen menettelyt;
8) salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi;
9) poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi;
10) varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö;
11) perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi; sekä
12) toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.