Kyberturvallisuuslaki tuli voimaan huhtikuussa 2025, ja sen myötä NIS2-direktiivin vaatimukset koskevat tuhansia suomalaisia yrityksiä. Laki korostaa johdon vastuuta tietoturvan asianmukaisessa järjestämisessä ja moni johtaja on nyt tukevasti epämukavuusalueella.
Monelle on epäselvää, mitä laki käytännössä tarkoittaa. Ja mistä tietää, onko oma organisaatio oikealla polulla?
Rakensimme tämän arvioinnin tueksi viisiportaisen kypsyysmallin. Sen avulla johto voi tunnistaa organisaationsa nykytilan, oman vastuunsa ja sen, mitä seuraavalle tasolle siirtyminen käytännössä edellyttää.
Viisi NIS2-valmiusporrasta
Käyn seuraavassa mallin portaat lyhyesti läpi. Huomaa, että tämä malli ei kuvaa organisaation teknistä tietoturvakypsyyttä vaan johdon toimintaa ja johtamisvastuuta.
Onko johto mukana tietoturvallisuutta koskevassa päätöksenteossa, seuraako se toteutusta ja pystyykö se osoittamaan toimineensa huolellisesti? Laki on johdon vastuun osalta hyvin selkeä.
TASO 1 – Tiedostamaton
Tasolla 1 johto ei ole tunnistanut NIS2-velvoitteita lainkaan. Tietoturva nähdään IT:n asiana eikä sitä käsitellä johtoryhmässä. Tämä on hyvin riskialtis tila, sillä johto ei pysty kyberturvahaaverin sattuessa osoittamaan, että se on ollut huolellinen.
Tällöin johdon vastuuriski on poikkeuksellisen korkea. Kun tietoturvaa ei ole johdettu järjestelmällisesti eikä vastuuta ole tunnistettu, myös näyttö huolellisesta toiminnasta puuttuu. Se kasvattaa merkittävästi johdon vastuuseen liittyviä riskejä.
TASO 2 – Reagoiva
Tasolla 2 johto on tietoinen NIS2:n vaateista ja on saattanut tehdä yksittäisiä toimenpiteitä. Hyvin tyypillistä on, että henkilöstölle on ostettu koulutuspaketti, jota markkinoidaan ”NIS2-sertifikaattina”. Sitä se ei suinkaan tietoturvamielessä ole, eikä se yksin tietenkään riitä.
Tässä voi syntyä väärä turvallisuuden tunne, sillä tietoisuus asiasta ei riitä. Koulutus on hyvä alku, mutta se ei ole automaattisesti hallintajärjestelmä. Arjessa mikään ei välttämättä paljoakaan muutu, kokonaissuunnitelma puuttuu ja seuranta on korkeintaan satunnaista. Pelkkä tietoisuus ilman järjestelmällisiä toimenpiteitä voi olla valvonnan näkökulmasta ongelmallista.
Vastuun näkökulmasta taso 2 voi olla jopa tasoa 1 ongelmallisempi. Jos johto on tunnistanut riskit, mutta ei ole ryhtynyt järjestelmällisiin toimiin, on sen entistä vaikeampi osoittaa toimineensa huolellisesti.
TASO 3 – Kehittyvä
Tasolla 3 johto on nimennyt vastuuhenkilön, teettänyt nykytilan kartoituksen ja osoittanut tietoturvatyölle myös resursseja. Rakenteita hyvälle tietoturvatyölle löytyy, mutta niiden toimivuutta ei vielä todenneta säännöllisesti. Johtoryhmä ei saa säännöllisiä tilannekatsauksia tietoturvasta. Myös johdon huolellisuusnäyttö vaatii lisätoimia.
TASO 4 – Järjestelmällinen
Taso 4 on käytännössä se taso, jota NIS2:n vaatimusten täyttäminen johdolta edellyttää. Toisin sanoen taso 4 ei ole vielä strateginen edelläkävijätaso, vaan johdon kannalta uskottava minimitaso.
Organisaatiossa on tietoturvallisuuden hallintajärjestelmä, jonka avulla kyberriskejä voidaan tunnistaa ja hallita. Ja tietoturva on pysyvästi johtoryhmän asialistalla. Tilannekatsaukset ja johdon katselmukset toteutuvat sovitun aikataulun mukaan. Poikkeamaprosessi on testattu, päätökset dokumentoidaan ja havaintoihin reagoidaan. Toimitusketjun tietoturva on arvioitu ja hallinnassa. Johto voi osoittaa toimineensa huolellisesti.
TASO 5 – Strateginen
Taso 5 ei ole kaikille organisaatioille välttämätön, mutta monelle se on liiketoiminnallisesti erittäin perusteltu tavoitetila. Todennettava näyttö — käytännössä usein ISO 27001 -sertifiointi — on käytössä asiakas- ja sidosryhmäviestinnässä sekä kilpailutuksissa. Liiketoimintamahdollisuuksia arvioidaan myös tietoturvan näkökulmasta — uusi asiakas tai kumppani voi edellyttää tiettyä tietoturvan tasoa. Korkea tietoturvan taso on etu sekä yksityisissä että julkisissa tarjouskilpailuissa ja synnyttää hyvää mainetta omalla toimialalla. Organisaatiolla on myös hyvä valmius reagoida regulaation muutoksiin, resilienssiä siis.
Älä juutu tasoille 2 ja 3
Surullisinta on, jos yritys juuttuu tasolle 2. Johto ja työntekijät ovat ehkä käyneet koulutuksen tai tilanneet pistemäisesti tilannetta kuvaavan selvityksen. He voivat kokea tehneensä asialle jotain, vaikka käytännön toimintamallit eivät olisi vielä muuttuneet.
Fakta on kuitenkin se, etteivät koulutuspäivät tuota kestävän tietoturvan kannalta merkityksellisiä tuloksia eli dokumentoitua riskienhallintaa, säännöllistä seurantaa tai testattua poikkeamaprosessia. Koulutus lisää tietoisuutta, mutta ilman käytännön toimenpiteitä se ei vielä täytä johdon huolellisuusvastuuta. Mielestäni kyse on johdon näkökulmasta täysin tarpeettomasta riskistä.
Taso 3 on toinen kriittinen kohta. Tällöin rakenteita on jo olemassa, mutta kukaan ei vielä systemaattisesti seuraa niiden toimivuutta. Yrityksen tietoturvapolitiikat on saatettu kirjata ylös, mutta niitä ei päivitetä. Riskiarviokin voi löytyä johdon verkkolevyltä, mutta sen pohjalta ei ole tehty päätöksiä. Ongelma paljastuu nopeasti, jos johtoryhmässä kysytään, milloin riskiarvio on viimeksi käsitelty ja mitä konkreettisia riskienhallintatoimia sen pohjalta on tehty.
Johdon henkilökohtainen vastuu painaa
NIS2:n myötä myös johdon ja organisaation seuraamusriski on aiempaa konkreettisempi:
- hallinnolliset seuraamusmaksut voivat nousta keskeisellä toimijalla jopa 10 miljoonaan euroon tai 2 prosenttiin liikevaihdosta
- viranomainen voi määrätä puutteet korjattaviksi ja tehostaa päätöstään esimerkiksi keskeyttämisuhalla
- jos laiminlyönnit ovat vakavia ja toistuvia, seuraamukset voivat ulottua myös johtoon: viranomainen voi rajoittaa keskeisen toimijan johdon toimintaa määräajaksi
Johdon kannalta ratkaisevaa on varmistua riittävän tietoturvallisuuden toteutumisesta sekä pystyä osoittamaan, että on toiminut järjestelmällisesti. Ei välttämättä täydellisesti, mutta järjestelmällisesti — dokumentoidut päätökset, säännöllinen seuranta ja reagointi havaintoihin muodostavat huolellisuusnäytön. Tämän näytön puuttuminen on valtava, turha riski.
Tasolta 4 on lyhyt matka ISO 27001 -sertifiointiin
NIS2:n näkökulmasta keskeinen tavoite on taso 4, eli johdon on pystyttävä osoittamaan toimineensa järjestelmällisesti ja huolellisesti. ISO 27001 -sertifiointi ei ole NIS2:n vaatimus, mutta monelle organisaatiolle se on luonteva tapa vahvistaa ja todentaa tätä valmiutta.
On hyvä muistaa, ettei virallista NIS2-sertifikaattia ole olemassa. Sen sijaan ISO 27001 -sertifiointi on NIS2-pohdinnan jälkeen monelle yritykselle luonteva seuraava askel. ISO 27001 -sertifikaatti on samalla kansainvälisesti tunnustettu. Kun yritys toimii Suomen rajojen ulkopuolella, tämä on hyvä kortti olla taskussa.
Kun yritys on saavuttanut tason 4, vaikein osa ISO 27001:n edellyttämästä työstä on jo tehty. Riskienhallintaa tehdään systemaattisesti, prosessit on huolella dokumentoitu ja seuranta toimii.
Käytännössä tasot 4 ja 5 erottaa toisistaan todennettava näyttö, jota asiakkaat ja kumppanit voivat vaatia ja jota kilpailutuksissa arvostetaan. Ja joka tarjoaa johdolle paremmat työkalut NIS2- ja muissa vastuukysymyksissä.
Millä tasolla organisaatiosi on?
Testaa tilanne yksinkertaisella kysymyksellä johtoryhmässä:
”Jos meille tapahtuisi tietomurto huomenna, pystyisimmekö osoittamaan viranomaisille, että olemme toimineet huolellisesti?”
Jos vastaus on kyllä ja se perustuu dokumentoituihin päätöksiin ja säännölliseen seurantaan – onnea, olette tasolla 4.
Jos vastaus on ”luultavasti” tai ”en tarkkaan tiedä”, olette todennäköisesti tasoilla 2–3.
Lämmöllä suositan, että kartoitatte nykytilan pikimmiten ja sen jälkeen listatkaa johtoryhmälle seuraavaan kokoukseen kolme tärkeää päätöstä → kuka NIS2-valmiudesta vastaa, millä aikataululla edetään ja paljonko resursseja tarvitaan. Näillä päätöksillä organisaatio voi kivuta tasolta 2 tasolle 3. Sen jälkeen ratkaisevaa on ennen kaikkea riittävä resursointi ja järjestelmällinen johtaminen.
Kerron mielelläni lisää NIS2-polusta ja ISO 27001 -sertifioinnista.
Ville Koskinen
COO & Lead Auditor, Into Security
Inton NIS2-aiheisia kirjoituksia löydät täältä:
ISO 27001 ja NIS2 -blogisarja: Neljä syytä panostaa vaatimustenmukaisuuteen:
https://intosecurity.fi/blogi/iso-27001-ja-nis2-nelja-syyta-panostaa-vaatimustenmukaisuuden-hallintaan/
NIS2-direktiivi ja mitkä ovat johdon velvoitteet ja sanktiot: https://intosecurity.fi/blogi/nis2-direktiivi-mitka-ovat-johdon-velvoitteet-ja-sanktiot/
Toimitusketjun tietoturva on myös CISOn päänsärky: https://intosecurity.fi/blogi/toimitusketjun-tietoturva-on-cison-paansarky/