Paljon tekemistä NIS2-tietoturvadirektiivin täytäntöönpanossa

Suomalaisilla yrityksillä on runsaasti kehitettävää tietoturvan saralla, kertoo mobiilioperaattori DNA ja yrityksen emoyhtiö Telenorin teettämä selvitys Norstatilla. Uuden EU:ni NIS2-direktiivillä tavoitteena on kyberturvallisuuden yhteisen tason varmistaminen kaikkialla Euroopassa.

NIS2-direktiivi tulee olemaan tärkeällä sijalla, sillä se tulee tämän vuoden kuluessa osaksi Suomen kansallista lainsäädäntöä. Direktiivin vaatimukset koskevat suurta osaa suomalaista yrityksistä joko välittömästi tai alihankintaketjujen kautta. Varsinkin kun Nordstatin tutkimuksen perusteella Suomen lisäksi pohjoismaiset yritykset kokevat tietoturvansa tason ja uhkakuvat samankaltaisena.

Lähes kaikki pohjoismaalaiset yritykset katsovat olevansa jollain tasolla tietoisia kyberuhista, mutta silti yrityksillä tulee olemaan uuden selvityksen mukaan runsaasti kehitettävää tietoturvan saralla. NIS2-direktiivin mukaan yritysten henkilöstön tietoisuus kyberturvauhista ja niihin oikeanlaisesta reagoinnista on yksi tärkeimmistä kyberturvan osa-alueista, joten NIS2 edellyttääkin entistä parempaa kyberturvan asioiden tiedottamista ja kouluttamista henkilöstölle.

Selvityksen perusteella Suomessa noin puolet (49 %) vastaajista mainitsi tarjoavansa tällä hetkellä henkilöstölleen NIS2:n edellyttämää kyberturvaan liittyvää koulutusta. Norjassa koulutusta tarjoaa 61 % yrityksistä ja Ruotsissa sekä Tanskassa noin kolmannes.

”Erityisen huolestuttavana voidaan pitää sitä, että vastausten perusteella palomuurisuojaus puuttuu jopa neljänneksestä yrityksiä. Tästä on syytä olla huolissaan paitsi näiden yritysten itsensä vuoksi, myös niiden verkkopalveluissa asioivien asiakkaiden vuoksi”, toteaa Dominique Akl, DNA:n yritysliiketoiminnassa verkko- ja pilvipalveluratkaisuista vastaava johtaja.  Vastaajista 75 % hyödyntää palomuuria, virustorjunnan jäädessä lähelle samoja lukemia (76 %)

Direktiivin mukaisesti vastuu kyberturvasta on yrityksen johdolla, ja johtohenkilöt voidaan saattaa henkilökohtaiseen vastuuseen laiminlyönneistä. Vastaajista lähes kaikki (95 %) kokivat olevansa jollain tavalla tietoisia kyberturvallisuuteen liittyvistä uhista. Kymmenes (10 %) vastaajista ei kuitenkaan ollut tietoisia siitä, mitä kyberturvaan liittyviä suojaustyökaluja yrityksellä oli ylipäätään käytössään.

Etukäteissuunnitelmat puuttuvat myös valtaosasta suomalaisia yrityksiä. Silti voimaan astuessaan NIS2 edellyttää, että kyberturvallisuuteen liittyvät riskit olisi oltaca  analysoitu ja tietojärjestelmän turvallisuutta koskevat politiikat on asetettu voimaan. Hieman yli kolmannes (36 %) suomalaisista yrityksistä on tehnyt kyberturvauhkia vastaavat häiriönhallintasuunnitelmat. Tästä huolimatta merkittävä osa (86 %) vastaajista oli varmoja tai melko varmoja siitä, että pystyvät vastaamaan kyberturviin koskeviin häiriöihin.

Vastauksien perusteella on todennäköistä, että suurella osalla suomalaisista yrityksistä on todellisuudessa heikot edellytykset vastata tehokkaasti erilaisiin tietoturvauhkiin. Uusien NIS2:n vaatimusten täyttäminen edellyttää yrityksiltä entistä enemmän panostusta kyberturvan kehittämiseen ja ylläpitoon.

”Jokaisen yrityksen tulisi toimia direktiivin tarkoitusperien mukaisesti huolimatta siitä velvoittaako direktiivi yritystä suoraan”, DNA:n Akl sanoo. Suurimmiksi esteiksi kyberturvakyvykkyyksien parantamiseksi nähtiin resurssien ja rahoituksen puute (25 %), osaaminen (27 %) ja henkilökunnan osaamisvaje (26 %).  Suurin osa vastaajista (51 %) katsoi, että kyberturvan resursointia lisätään, mutta ainoastaan 7 % piti resurssoinnin lisäämistä erittäin todennäköisenä.

Taustaa: Telenorin NIS2-selvutys perustuu norjalaisen teleoperaattori Telenor Groupin Norstatilla lokakuussa 2023 teettämään verkkotutkimukseen. Se kohdennettiin suomalaisiin, norjalaisiin, ruotsalaisiin ja tanskalaisiin yrityksiin. Vastaajien kokonaismäärä oli 2134, joista 518 oli Suomessa.

Kuvituskuva: Shutterstock