Uusi kyberturvallisuusdirektiivi NIS2 vahvistaa kyberturvan tasoa EU:ssa huoltovarmuus- ja turvallisuuskriittisillä sektoreilla. Digian yritysturvallisuusjohtaja Niko Nuppunen sekä liiketoiminta- ja muutoskonsultointipalveluiden johtaja Henna Ahtola kertovat, mitä johdon tulee huomioida säädösten täytäntöönpanossa, mitä vaatimuksia ne asettavat – ja miksi tämä on samalla suuri mahdollisuus.
NIS2 eli EU:n uusi kyberturvallisuusdirektiivi on tullut voimaan 18.10.2024. Direktiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvan tasoa tietyillä kriittisillä sektoreilla.
Kyberturvallisuuslaki puolestaan viittaa kansalliseen lainsäädäntöön, jolla direktiivi toimeenpannaan Suomessa.
Uusi lainsäädäntö koskee pääasiassa suuria ja keskisuuria toimijoita mm. energia-, liikenne-, pankki-, terveys- ja infrastruktuuriin liittyvillä toimialoilla sekä julkishallinnossa. Tiettyjä kriittisiä toimintoja lainsäädäntö koskee aina organisaation koosta riippumatta. Traficomin sivuilla on kattava tietopaketti NIS2-direktiivistä suosituksineen.
Tässä kirjoituksessa emme kuitenkaan keskity regulaation yksityiskohtiin, vaan sen myötä vaadittavaan muutokseen johtamisessa sekä ajattelutavoissa.
Merkittävä muutos kyberturvallisuuslaissa on johdon vastuun korostaminen. Organisaatioilla tulee olla jatkossa kattava tietoturvariskien hallintaprosessi, jota johdon tulee ohjata ja jonka toimeenpanoon johdon tulee osallistua aktiivisesti.
Johdon tulee tuntea yrityksen tietoturvariskit ja olla tietoinen poikkeamista, olivat ne sitten sisäisiä havaintoja prosessien toimimattomuudesta tai vakavimmillaan tietovuoto. Tähän liittyy kiinteästi ilmoitusvelvollisuus viranomaisille.
Jotta johto voi kantaa vastuuta näistä asioista, tarvitaan tietoturvan läpinäkyvyyttä. Se tarkoittaa selkeitä prosesseja, joiden toteutumista pystytään valvomaan ja raportoimaan.
Organisaatio on vastuussa koko alihankintaketjunsa luotettavuudesta, ja viime kädessä sitä voidaan sanktioida myös alihankkijan virheistä.
Alihankintaketjujen ja kumppaneiden riskejä on perinteisesti hallittu erityisesti hankintavaiheessa ja myöhemmin auditointien avulla.
Nyt myös alihankkijoita ja kumppaneita tulee aktiivisesti seurata, ja näiden on oltava mukana riskienhallintaprosessissa. Koko toimitusprosessissa pitää selkeästi näkyä tietoturva, oli kyse sitten ohjelmistokehityksestä tai jatkuvasta palvelusta.
Uskomme, että näiden vaatimusten johdosta auditoinnit tulevat lisääntymään osana kumppaneihin liittyvää riskienhallintaa.
Ihmisten johtaminen on välttämätöntä, jotta kyberturvallisuuslain uudet vaatimukset saadaan toteutettua menestyksekkäästi.
Tähän liittyvät seuraavat neljä “käskyämme” kyberturvallisuuslain toteuttamisessa.
Kyber- ja tietoturvallisuus kuuluu johdon ja johtoryhmän agendalle pysyvästi. Se ei ole missään nimessä yksinomaan tietohallinnon vastuulla.
Muuttuvassa maailmassa tämä on myös suuri mahdollisuus.
Kyberturvallisuuslain noudattamista ei tulisikaan nähdä vain regulaatiotaakkana, vaan uudet prosessit tulisi nähdä johdon työkaluna. Uuden lainsäädännön henki on vahvasti jatkuvassa kehittymisessä – ei siis pelkästään valvonnassa, vaan mahdollisuuksien ja kehityskohteiden havaitsemisessa.
Todennäköisyys siihen, että prosesseja noudatetaan, on huomattavan paljon suurempi, kun prosessi on suunniteltu hyödyntäen ihmisten osaamista ja ymmärrystä – ja siitä aiheutuu mahdollisimman vähän ylimääräistä kitkaa.
Jos uudet prosessit ja toimintatavat laaditaan yksinomaan tietoturvaosaston piirustuspöydällä, uhkaa uudistus epäonnistua jo siinä vaiheessa.
Kyberturvalain vaatimuksia täyttäessä on tärkeää, että toimintamalleihin ei luoda tarpeetonta jäykkyyttä, vaan vaatimukset täytetään mahdollisimman mielekkäästi.
Jotta ihminen alkaisi käyttäytyä uudella tavalla, tulee hänen ymmärtää, miksi uusi toimintatapa on tärkeä. Jos ymmärrys puuttuu ja henkilökohtainen sitoutuminen jää vähäiseksi, pahimmassa tapauksessa koulutukset ja ohjeistukset valuvat kuin vesi hanhen selästä.
Henkilöstön ymmärrystä voi herätellä esimerkiksi konkreettisella ja henkilökohtaisesti puhuttelevalla viestinnällä. Asioita tulisi käsitellä avoimesti myös esihenkilöiden ja tiimien kesken, korostaen miksi asia on tärkeää. Myös mahdollisista haasteista on tärkeää käydä avointa dialogia.
Kyberturva voi toisinaan jäädä niin abstraktiksi asiaksi, että se ei herätä tunneperäisiä reaktioita. Asia voi konkretisoitua esimerkiksi käymällä läpi mahdollisia skenaarioita ja niiden vaikutuksia liiketoimintaan. Näitä asioita kannattaa huomioida myös viestinnässä, jossa suosittelemme korostamaan enemmän yhteistä vastuuta kuin pelkoja.
Onnistuneeseen kyberturvalliseen toimintaan liittyy monenlaisia osaamisvaatimuksia. Ihmisten täytyy luonnollisesti saada asianmukainen koulutus ja ohjeistus uusiin prosesseihin – mikä sujuu paljon helpommin, kun prosessit on alun perin tehty ihmislähtöisesti.
Kun tehdään isoja muutoksia, on tärkeää miettiä osaamistarpeita roolipohjaisesti. Kaikilla pitää olla tietty perusosaaminen, mutta esihenkilöillä pitää olla myös valmiudet käydä keskustelua asioista tiimin kanssa. Esihenkilöillä ja johtotehtävissä on myös omanlaisia prosessejaan, jotka liittyvät liiketoiminnalliseen vastuuseen.
Liian usein osaamisen kehittämistä ajatellaan vain muodollisena koulutuksena. Sen lisäksi kannattaa hyödyntää mikro-oppimista ja erilaisia leikkimielisiä haasteita, joissa paras tiimi palkitaan. Vaikka kyberturva on vakava asia, kaiken siihen liittyvän viestinnän ei tarvitse olla ilmeetöntä ja harmaata. Konkreettisten hyvien esimerkkien esille nostaminen on myös tärkeää. Palaute on tärkeä, usein unohdettu osa oppimista.
Haluatko keskustella kyberturvallisuudesta tai onnistuneista muutoksista? Ole yhteydessä!
Samuli Savolainen
Vice President, Operations
samuli.savolainen@digia.com
Henna Ahtola
Director, Business and Change Advisory
henna.ahtola@digia.com