Etusivu » Kyberturvallisuuslaki

Kyberturvallisuuslaki: Johdolla on vastuu suojella organisaation digitaalista toimintaympäristöä

Jaa sivu:

Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa, ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin.

Vuonna 2024 voimaan astuva uusi kyberturvallisuuslaki tuo mukanaan merkittäviä muutoksia organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa sen piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita ja yhteistyötä viranomaisten kanssa.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuuden varmistamisessa. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

  • Kyberturvallisuuden priorisointi: Kyberturvallisuuden on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
  • Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, miten toimia ja turvata organisaation käsittelemää luottamuksellista tietoa.
  • Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
  • Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja –järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelma.
  • Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
  • Raportointivelvoitteet: Merkittävistä kyberuhkista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös organisaation tarjoaman palvelun vastaanottajille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
  • Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
  • Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tullee olemaan huomattavasti enemmän kuin GDPR:n osalta.
  • Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Miten organisaatiot voivat valmistautua kyberturvallisuuslain voimaantuloon?

Hyvä tapa valmistautua kyberturvallisuuslain velvoitteisiin on rakentaa NIS2 kyberturvallisuusdirektiivin ja suomalaisen lainsäädännön velvoitteet täyttävä tietoturvallisuuden hallintajärjestelmä Pro Kyberturva -palvelun avulla. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa. Palvelu auttaa organisaatioita halutessaan pääsemään tehokkaasti myös ISO 27001 sertifiointivalmiuteen.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta on koko liiketoiminnan vastuulla, ei pelkästään tietohallinnon.

KUMPPANIMME TIETOTURVAN JA TIETOSUOJAN KEHITTÄMISESSÄ

Tikkasec Oy on vuonna 2017 perustettu tietoturvallisuuden ja tietosuojan kehittämiseen keskittynyt yritys, joka on auttanut kymmeniä eri toimialojen pk-yrityksiä kehittämään tietoturvastaan toimivaa ja käytännönläheistä. Autamme asiakkaitamme muun muassa kehittämään operatiivisen toimintansa turvallisuutta ja riskienhallintaa. Perustaja Pekka Vepsäläisellä on pitkä ja monipuolinen kokemus tietoturvan ja tietosuojan kehittämisestä, jossa toimenpiteet sovitetaan aina asiakasorganisaation tarpeista lähteviksi. Sparraamme asiakastamme nykytilanteen arvioinnin kautta rakentamaan täysimittaisen tietoturvallisuuden hallintajärjestelmän, joka on valmis sertifiointilaitoksen auditoitavaksi.

Tarjoamamme palvelut:

  • tietosuojan ja tietoturvan kehittämispalvelut
  • tietosuojan ja tietoturvan nykytilanteen arviointi
  • riskien arviointi ja riskienhallinnan menetelmien kehittäminen
  • tietoturvariskien hallintakeinojen kehittäminen organisaation tarpeet huomioiden
  • tietoturvan ja tietosuojan koulutus- ja valmennuspalvelut
  • projektinhallintapalvelut tietoturvan kehittämisprojekteille

Kysy lisätietoja, kuinka organisaationne voi valmistautua kyberturvallisuuslain voimaantuloon vaatimukset täyttävän tietoturvallisuuden hallintajärjestelmän avulla!

Pekka Vepsäläinen

040 152 2628

pekka.vepsalainen@tikkasec.fi

www.tikkasec.fi/yhteydenotto

Asiakkaan sanomaa: ”Pekka oli ylivoimaisesti kaikkein aktiivisin, aloitteellisin ja tunnollisin konsultti tietoturvan ja GDPR:n osalta. Erinomainen toteutus ja aktiivinen ote.”

Scroll to Top