The impact of the NIS 2 directive on transport sector SMEs and their Supply chains

Digitalisaation jatkuva lisääntyminen ja kyberuhkien kehittyminen johtivat sääntelyn tiukentumiseen kybersietokyvyn vahvistamiseksi. Vuonna 2022 Eu-roopan unioni julkaisi NIS 2 -direktiivin, joka laajensi edeltäjänsä NIS-direktiivin soveltamisalaa kattamaan useampia sektoreita sekä pieniä ja keski-s...

Täydet tiedot

Bibliografiset tiedot
Päätekijä: Brandt, Hannes
Muut tekijät: Informaatioteknologian tiedekunta, Faculty of Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Aineistotyyppi: Pro gradu
Kieli:eng
Julkaistu: 2025
Aiheet:
Linkit: https://jyx.jyu.fi/handle/123456789/103235
Kuvaus
Yhteenveto:Digitalisaation jatkuva lisääntyminen ja kyberuhkien kehittyminen johtivat sääntelyn tiukentumiseen kybersietokyvyn vahvistamiseksi. Vuonna 2022 Eu-roopan unioni julkaisi NIS 2 -direktiivin, joka laajensi edeltäjänsä NIS-direktiivin soveltamisalaa kattamaan useampia sektoreita sekä pieniä ja keski-suuria yrityksiä kriittisillä ja keskeisillä toimialoilla. Tutkielmassa direktiiviä lähestyttiin toimitusketjujen ja kuljetusalan pk-yritysten näkökulmasta, niiden ollessa keskeisiä toimijoita, joiden kybersietokyky on merkittävässä roolissa tehokkaassa ja kestävässä toimitusketjussa. Pk-yritysten havaittiin kuitenkin kohtaavan haasteita, kuten rajallisia resursseja, puutteellista asiantuntemusta sekä infrastruktuurin heikkouksia vastatessaan kiristyneisiin kyberturvavaati-muksiin. Tutkielman tavoitteena oli selvittää miten NIS 2 -direktiivi vaikuttaa toimitusketju- ja kuljetusalan pk-yrityksiin, sekä mitkä ovat niiden keskeisiä haasteita ja miten vaatimustenmukaisuutta voidaan tukea. Tutkimusmenetel-mänä toimi yhden pk-yrityksen tapaustutkimus, jossa syvennyttiin ja analysoi-tiin yrityksen toimintaa sekä toimenpiteitä direktiivin vaatimuksiin vastaa-miseksi. Tutkielman aineiston keruu muodostui dokumenttianalyysistä, puo-listrukturoiduista haastatteluista sekä toimialavertailusta. Analyysimenetelmi-nä käytettiin GAP-analyysiä ja yhdistettyä viitekehyslähestymistapaa, joka muodostui ISO-, NIST- ja COSO-viitekehyksistä. Tämän lähestymistavan te-hokkuutta arvioitiin myös kohdeyrityksen toiminnassa direktiivin vaatimuk-siin vastaamisessa. Tulosten perusteella direktiivin havaittiin vahvistavan pk-yritysten kyberturvallisuuden hallintaa, tietoisuutta, riskienhallintaa ja tapah-tumaraportointia. Tästä huolimatta pk-yritysten tunnistettiin kohtaavan esteitä ja haasteita, kuten korkeita kustannuksia, sääntelyn koettu monimutkaisuus ja epäselvyys, suunnittelun puutteita sekä erinäisiä resurssirajoitteita. Tutkiel-massa pk-yrityksille tarjottiin näkemyksiä käytännön vaatimustenmukaisuus-toimenpiteistä, kyberturvallisuuskehysten ja standardien roolista sekä strategi-oita sietokyvyn parantamiseksi, kuten tehokkaasta suunnittelusta, skaalautu-vien työkalujen käytöstä, tietoisuuden parantamisesta sekä jatkuvasta paran-tamisesta resurssien rajoissa. Yhdistetyn viitekehyslähestymistavan havaittiin tukevan vaatimustenmukaisuuden saavuttamista ja viitekehysten jatkokehitys-tä. Tutkielma syvensi ymmärrystä pk-yritysten kyberturvallisuuden kehittämi-sestä ja tarjosi suosituksia yrityksille, viranomaisille ja päättäjille osallistavam-man ja tukevamman kyberturvallisuusympäristön rakentamiseksi.