Kyberturvallisuusstandardit NIS2-direktiivin riskienhallintavelvoitteen tukena

Päätekijä: Timlin, Päivi
Muut tekijät: Faculty of Information Technology, Informaatioteknologian tiedekunta, Jyväskylän yliopisto, University of Jyväskylä
Aineistotyyppi: Pro gradu
Julkaistu: 2024
Yhteenveto:The European Union's NIS2 directive imposes a cybersecurity risk management obligation on a wide range of organizations of different sizes and operating in different sectors. The NIS2 directive is supposed to be implemented by the national cyber security law, which is under consideration by the parliament when this thesis was written. The thesis explained what is included in the risk management obligations of the NIS2 directive and the draft cybersecurity law. In addition, it was clarified which are the key cybersecurity standards and exact standard points in terms of the obligations of the law, as well as the similarities and differences in the application of the standard in relation to the obligations of the legislation. The master's thesis was carried out as a design science study, the result of which is a construction, i.e. a design product. The construction includes the most general cybersecurity standards and applicable references to the risk management obligation of the cybersecurity law and Traficom's draft recommendations. The theoretical reference framework needed for the construction was formed from the risk management obligation and cyber security standards presented in the law. The construction was based on Traficom's draft recommendations for NIS supervisory authorities on cybersecurity risk management measures. The construction presents the standard references corresponding to the national cybersecurity law from information security management systems to the ISO/IEC 27001:2022 standard and the NIST CSF 2.0 reference framework, to the cybersecurity risk management ISO/IEC 27005:2022, NIST SP 800-30 and NIST SP 800-37 standards, supply chain security to the ISO 28000:2022 and NIST SP 800-161 standards, and to the ISO/IEC 27035-1:2023, ISO/IEC 27035-2:2023 and NIST SP 800-61 standards, which deal with deviation management. The construction is published as part of the standard references contained in Traficom's recommendation and the cross-reference table attached to the recommendation. Cybersecurity standards support the organization in preparing for legal obligations. The requirements of information security management systems are largely the same as in the draft cybersecurity law. They provide a systematic way to perform cybersecurity risk management and help maintain up-to-date documentation. However, the use of the standard does not guarantee that risk management is up-to-date and proportionate. Euroopan unionin NIS2-direktiivi asettaa kyberturvallisuuden riskienhallintavelvoitteen laajalle joukolle eri kokoisia ja eri sektoreilla toimivia organisaatioita. NIS2-direktiivi on tarkoitus panna täytäntöön kansallisella kyberturvallisuuslailla ja se on parhaillaan eduskunnan käsiteltävänä, kun tätä opinnäytetyötä kirjoitettiin. Opinnäytetyössä tutkittiin, mitä NIS2-direktiivin ja kyberturvallisuuslakiluonnoksen riskienhallintavelvoitteeseen sisältyy. Lisäksi selvitettiin, mitkä ovat lain velvoitteen kannalta keskeiset kyberturvallisuusstandardit ja niiden tarkat standardikohdat sekä mitä yhtäläisyyksiä ja eroja standardin soveltamisessa on suhteessa lainsäädännön velvoitteisiin. Pro gradu -tutkielma toteutettiin suunnittelutieteen tutkimuksena, jonka lopputuloksena on konstruktio eli suunnittelutuote. Konstruktio sisältää yleisimmät kyberturvallisuusstandardit ja soveltuvat viittaukset kyberturvallisuuslain riskienhallintavelvoitetta käsitteleviin pykäliin ja Traficomin suositusluonnokseen. Konstruktioon tarvittava teoreettinen viitekehys muodostettiin laissa esitetystä riskienhallintavelvoitteesta ja kyberturvallisuusstandardeista. Konstruktion pohjaksi otettiin Traficomin suositusluonnos NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä. Konstruktio esittelee kansallista kyberturvallisuuslakia vastaavat standardiviittaukset tietoturvallisuuden hallintajärjestelmistä ISO/IEC 27001:2022 standardiin ja NIST CSF 2.0 viitekehykseen, kyberturvallisuuden riskienhallintaan tarkoitettuihin ISO/IEC 27005:2022, NIST SP 800-30 ja NIST SP 800-37 standardeihin, toimitusketjujen turvallisuutta käsitteleviin ISO 28000:2022 ja NIST SP 800-161 standardeihin sekä poikkeamanhallintaa käsitteleviin ISO/IEC 27035-1:2023, ISO/IEC 27035-2:2023 ja NIST SP 800-61 standardeihin. Konstruktio julkaistaan osana Traficomin suosituksen sisältämiä standardiviitteitä ja suosituksen liitteenä olevaa ristiinviittaustaulukkoa. Kyberturvallisuusstandardit tukevat organisaatiota lainsäädännön velvoitteisiin valmistautumisessa. Tietoturvallisuuden hallintajärjestelmien vaatimukset ovat suurelta osin vastaavat kuin kyberturvallisuuslakiluonnoksessa. Ne tarjoavat systemaattisen tavan tehdä kyberturvallisuuden riskienhallintaa ja auttavat ylläpitämään ajantasaista dokumentaatiota. Standardin käyttö ei kuitenkaan takaa sitä, että riskienhallinta on ajantasaista ja oikeasuhtaista.