Kahvin tuoksu leijailee keittiöstä samalla kun istut tietokoneen ääreen ennen etätyöpäivän ensimmäistä kokousta. Ennen kuin huomaatkaan, tietokoneesi on yhdistänyt itsensä internettiin. Kun lähdet keittiöön hakemaan kahvia, tietokoneesi näytöllä välähtää jotain, mutta jatkat matkaasi tietämättä koneellasi odottavasta uhasta.   

Yhteiskunnan, kriittisen infrastruktuurin sekä lähes meistä jokaisen arkielämän askareet riippuvat tavalla tai toisella tieto- ja viestintäteknologiasta tai niihin liittyvistä palveluista. Tämän seurauksena kyberriskien vaikutukset ulottuvat yhteiskunnan joka kolkkaan, niin yksittäisen ihmisen arjen pyörittämiseen, organisaation liiketoiminnan jatkuvuuteen, kansalliseen turvallisuuteen kuin EU:n sisämarkkinoiden toimivuuteenkin. Mutta kuinka kyberriskien tuomilta vakavilta seurauksilta voidaan suojautua?

Kyberturvallisuus on niin yksilöiden, organisaatioiden kuin yhteiskunnankin näkökulmasta tavoiteltava tila. Siihen kuuluu erilaisia kyberriskien ennakoivaan hallintaan ja potentiaalisten vaikutusten pienentämiseen liittyviä toimenpiteitä. Täydellistä kyberturvallisuutta on lähes mahdotonta saavuttaa, mutta tehokkailla, jatkuvasti paranevilla toimilla voidaan saada etumatkaa pahantahtoisiin kilpakumppaneihin. Tähän pyritään myös Euroopan parlamentin ja neuvoston direktiivillä (EU) 2022/2555 eli NIS2-direktiivillä ja sen Suomessa toteuttavalla kansallisella lainsäädäntöehdotuksella kyberturvallisuuslailla.

Ketä NIS2-direktiivi ja kyberturvallisuuslaki koskee? Lainsäädännölliset kyberturvallisuuden riskienhallinnan toimien minimitason vaatimukset koskevat organisaatioita, jotka luokitellaan laissa joko keskeisiksi tai tärkeiksi toimijoiksi kokonsa, toimialansa ja kriittisyytensä perusteella. Jokainen toimija on velvollinen itse selvittämään, miten laki koskee heitä. Tämän tehtävän tueksi on luotu oppaita, esimerkiksi Kyberala ry (FISC) on julkaissut NIS2-soveltamisoppaan.

Miksi tietoturvallisuus on tärkeää tietojärjestelmähankinnoissa? Vain harvalla organisaatiolla on mahdollisuuksia käyttää vain itse kehittämiään tietojärjestelmiä. Tällöin organisaatioiden on ostettava liiketoimintansa tarpeita vastaavat tietojärjestelmät muualta. Hankintoihin sisältyy useita liiketoiminnan jatkuvuutta ja kannattavuutta tukevia näkökulmia, mutta myös useita vaaranpaikkoja. Organisaatio voi huomaamattaan ottaa järjestelmähankinnoillaan vastuulleen riskejä, jotka ilmenevät vasta tietojärjestelmän elinkaaren myöhemmissä vaiheissa. Pahimmillaan pieleen mennyt tai tietoturvaton tietojärjestelmähankinta voi tehdä organisaation liiketoiminnan pitkäksi aikaa – jopa pysyvästi – kannattamattomaksi. Tämän vuoksi myös NIS2-lainsäädäntö ottaa kantaa näiden tietojärjestelmähankintojen turvalliseen toteuttamiseen.

Kyberturvasta ei tarvitse tietojärjestelmähankinnoissakaan tehdä rakettitiedettä. Riskien huomioiminen, muutoksenhallinnan järjestelmällinen toteuttaminen standardien tarjoamien työkalujen hyödyntäminen sekä organisaation oman toimintatavan tunteminen tarjoavat vakaan pohjan tietoturvallisille tietojärjestelmähankinnoille. Avuksi voidaan ottaa myös erilaisia työkaluja kuten tarkastuslistoja tai tietojärjestelmiä, jotka yhdessä hankittavan tietojärjestelmän kriittisyyden kanssa opastavat hankinnan toteuttajaa huomioimaan myös NIS2-lainsäädännön edellyttämät kyberturvannäkökulmat.

Tiina Kairenius työskentelee Atrian tietohallinnossa projektiasiantuntijana. Hän on suorittanut työn ohella tietotekniikan diplomi-insinöörin tutkinnon Seinäjoella pilotoidussa Tampereen yliopiston tietotekniikan maisteriohjelmassa.

Julkaisu NIS2-direktiivin mukaiset järjestelmähankinnat: Vaatimusten kartoitus sekä päätöstuen määritys

Tiina Kairenius
Tietotekniikan diplomi-insinööri

Puheenvuoro on julkaistu Ilkka-Pohjalaisessa 12.8.2024.