The Implementation Challenges of the NIS 2 Directive

Digitalisaation myötä jatkuvasti kehittyvä toimintaympäristö Euroopassa asettaa ennen kaikkea julkisen sektorin organisaatiot yhä enemmän riippuvaiseksi monimutkaisesta kybertoimintaympäristöstä sekä samalla asettavat nämä organisaatiot lisääntyvien ja yhä monimutkaisempien kohdistettujen kyberhyökk...

Full description

Bibliographic Details
Main Author: Iloranta, Kalle
Other Authors: Informaatioteknologian tiedekunta, Faculty of Information Technology, University of Jyväskylä, Jyväskylän yliopisto
Format: Master's thesis
Language:eng
Published: 2025
Subjects:
Online Access: https://jyx.jyu.fi/handle/123456789/99801
_version_ 1826225726283579392
author Iloranta, Kalle
author2 Informaatioteknologian tiedekunta Faculty of Information Technology University of Jyväskylä Jyväskylän yliopisto
author_facet Iloranta, Kalle Informaatioteknologian tiedekunta Faculty of Information Technology University of Jyväskylä Jyväskylän yliopisto Iloranta, Kalle Informaatioteknologian tiedekunta Faculty of Information Technology University of Jyväskylä Jyväskylän yliopisto
author_sort Iloranta, Kalle
datasource_str_mv jyx
description Digitalisaation myötä jatkuvasti kehittyvä toimintaympäristö Euroopassa asettaa ennen kaikkea julkisen sektorin organisaatiot yhä enemmän riippuvaiseksi monimutkaisesta kybertoimintaympäristöstä sekä samalla asettavat nämä organisaatiot lisääntyvien ja yhä monimutkaisempien kohdistettujen kyberhyökkäysten kohteeksi. Euroopan Unionille, sen jäsenmaille ja ennen kaikkea näiden asukkaille tietojärjestelmien turvaaminen osana toimivaa infrastruktuuria on elintärkeää, terveydenhuollon, palveluiden ja yleisen turvallisuuden ollessa riippuvaisia toimivasta infrastruktuurista. Myös näihin infrastruktuureihin kohdistuvat riskit ovat suurempia kuin koskaan aiemmin, johtuen eri sisäisten ja ulkoisten toimijoiden aiheuttamista uhista yhdistettynä kompleksiseen toimintaympäristöön. Euroopan Unioni on asettanut vastauksenaan kasvaviin kyberturvallisuushaasteisiin verkko- ja tietojärjestelmä direktiivin, eli NIS direktiivin vuonna 2016. Euroopan Unioni asetti päivitetyn NIS 2 Direktiivin vuonna 2022, edelleen parantaakseen EU:n jäsenmaiden kybersietokykyä sekä vastatakseen digitalisaation tuomiin lisääntyviin uhkiin. NIS 2 Direktiivi asettaa keskeisille ja tärkeille organisaatioille velvoitteita kyberriskienhallintaan sekä poikkeamien havainnointiin ja ilmoitusvelvollisuuteen. Tämä tutkimus tarkastelee organisaatioiden haasteita lainsäädännön tuomien vaatimusten täyttämisessä kyberturvallisuuden asiantuntijoiden ja teorian näkökulmista. Tutkimuksessa on käytetty tutkimusmenetelmänä suunnittelutieteellistä tutkimusta ja tutkimuksessa ehdotetaan myös tarkistuslistaa artefaktina ongelmakohtien tunnistamisen helpottamiseksi organisaatioissa. Tutkimuksessa tunnistettiin organisaatioiden pääasiallisiksi haasteiksi puutteelliset poikkeamanhallinnan suunnitelmat ja prosessit sekä erityisesti vajaat resurssit niin henkilöstön kuin käytettävissä olevan teknologian osalta yhdessä siiloutuneiden organisaatioiden kanssa johtavat pirstoutuneeseen poikkeamanhallintayrityksiin ja merkittäviin viiveisiin tiedonkulussa. Jatkuvasti kehittyvän uhkakentän johdosta nämä haasteet lisäävät organisaatioiden haasteita pysyä kehityksen mukana ja vastatakseen muuttuviin ja kasvaviin uhkiin. The digitalisation-based, constantly evolving Europe’s cyber-environment makes public sector organisations increasingly dependent on complex cyberspace and, simultaneously, places them subject to increasing and more complex targeted cyberattacks. For the European Union, its Member States and, above all, for their residents, securing information systems as part of a functioning infrastructure is vital, as healthcare, services, and public security depend on a functioning infrastructure. The risks to these infrastructures are also greater than ever due to threats posed by various internal and external actors combined with the complex operating environment. In response to the growing cybersecurity challenges, the European Union has set the Network and Information System Directive, or NIS Directive, in 2016. To further improve the cyber resilience of EU member states and respond to the increasing threats posed by digitalisation, the European Union has set the updated NIS 2 Directive in 2022. The NIS 2 Directive imposes obligations on essential and important organisations in cyber risk management, incident detection and reporting obligations. This study examines the challenges faced by organisations in meeting legal requirements from the perspectives of cybersecurity experts and theory. The research method used is a Design Science Research Method, and the study also proposes a checklist as an artefact to facilitate the identification of problem areas in organisations. The study identified insufficient incident management plans and processes as the main challenges faced by organisations and, in particular, insufficient resources in terms of both personnel and available technology, together with siloed organisations, leading to fragmented incident management companies and significant delays in the flow of information. Due to the ever-evolving threat landscape, these challenges increase the challenges organisations face to keep up with developments and respond to changing and growing threats.
first_indexed 2025-01-28T21:01:22Z
format Pro gradu
free_online_boolean 1
fullrecord [{"key": "dc.contributor.advisor", "value": "Vuorinen, Jukka", "language": null, "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Iloranta, Kalle", "language": null, "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2025-01-28T12:08:06Z", "language": null, "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2025-01-28T12:08:06Z", "language": null, "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2025", "language": null, "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/99801", "language": null, "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Digitalisaation my\u00f6t\u00e4 jatkuvasti kehittyv\u00e4 toimintaymp\u00e4rist\u00f6 Euroopassa asettaa ennen kaikkea julkisen sektorin organisaatiot yh\u00e4 enemm\u00e4n riippuvaiseksi monimutkaisesta kybertoimintaymp\u00e4rist\u00f6st\u00e4 sek\u00e4 samalla asettavat n\u00e4m\u00e4 organisaatiot lis\u00e4\u00e4ntyvien ja yh\u00e4 monimutkaisempien kohdistettujen kyberhy\u00f6kk\u00e4ysten kohteeksi. Euroopan Unionille, sen j\u00e4senmaille ja ennen kaikkea n\u00e4iden asukkaille tietoj\u00e4rjestelmien turvaaminen osana toimivaa infrastruktuuria on elint\u00e4rke\u00e4\u00e4, terveydenhuollon, palveluiden ja yleisen turvallisuuden ollessa riippuvaisia toimivasta infrastruktuurista. My\u00f6s n\u00e4ihin infrastruktuureihin kohdistuvat riskit ovat suurempia kuin koskaan aiemmin, johtuen eri sis\u00e4isten ja ulkoisten toimijoiden aiheuttamista uhista yhdistettyn\u00e4 kompleksiseen toimintaymp\u00e4rist\u00f6\u00f6n. Euroopan Unioni on asettanut vastauksenaan kasvaviin kyberturvallisuushaasteisiin verkko- ja tietoj\u00e4rjestelm\u00e4 direktiivin, eli NIS direktiivin vuonna 2016. Euroopan Unioni asetti p\u00e4ivitetyn NIS 2 Direktiivin vuonna 2022, edelleen parantaakseen EU:n j\u00e4senmaiden kybersietokyky\u00e4 sek\u00e4 vastatakseen digitalisaation tuomiin lis\u00e4\u00e4ntyviin uhkiin. NIS 2 Direktiivi asettaa keskeisille ja t\u00e4rkeille organisaatioille velvoitteita kyberriskienhallintaan sek\u00e4 poikkeamien havainnointiin ja ilmoitusvelvollisuuteen. T\u00e4m\u00e4 tutkimus tarkastelee organisaatioiden haasteita lains\u00e4\u00e4d\u00e4nn\u00f6n tuomien vaatimusten t\u00e4ytt\u00e4misess\u00e4 kyberturvallisuuden asiantuntijoiden ja teorian n\u00e4k\u00f6kulmista. Tutkimuksessa on k\u00e4ytetty tutkimusmenetelm\u00e4n\u00e4 suunnittelutieteellist\u00e4 tutkimusta ja tutkimuksessa ehdotetaan my\u00f6s tarkistuslistaa artefaktina ongelmakohtien tunnistamisen helpottamiseksi organisaatioissa. Tutkimuksessa tunnistettiin organisaatioiden p\u00e4\u00e4asiallisiksi haasteiksi puutteelliset poikkeamanhallinnan suunnitelmat ja prosessit sek\u00e4 erityisesti vajaat resurssit niin henkil\u00f6st\u00f6n kuin k\u00e4ytett\u00e4viss\u00e4 olevan teknologian osalta yhdess\u00e4 siiloutuneiden organisaatioiden kanssa johtavat pirstoutuneeseen poikkeamanhallintayrityksiin ja merkitt\u00e4viin viiveisiin tiedonkulussa. Jatkuvasti kehittyv\u00e4n uhkakent\u00e4n johdosta n\u00e4m\u00e4 haasteet lis\u00e4\u00e4v\u00e4t organisaatioiden haasteita pysy\u00e4 kehityksen mukana ja vastatakseen muuttuviin ja kasvaviin uhkiin.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "The digitalisation-based, constantly evolving Europe\u2019s cyber-environment makes public sector organisations increasingly dependent on complex cyberspace and, simultaneously, places them subject to increasing and more complex targeted cyberattacks. For the European Union, its Member States and, above all, for their residents, securing information systems as part of a functioning infrastructure is vital, as healthcare, services, and public security depend on a functioning infrastructure. The risks to these infrastructures are also greater than ever due to threats posed by various internal and external actors combined with the complex operating environment. In response to the growing cybersecurity challenges, the European Union has set the Network and Information System Directive, or NIS Directive, in 2016. To further improve the cyber resilience of EU member states and respond to the increasing threats posed by digitalisation, the European Union has set the updated NIS 2 Directive in 2022. The NIS 2 Directive imposes obligations on essential and important organisations in cyber risk management, incident detection and reporting obligations. This study examines the challenges faced by organisations in meeting legal requirements from the perspectives of cybersecurity experts and theory. The research method used is a Design Science Research Method, and the study also proposes a checklist as an artefact to facilitate the identification of problem areas in organisations. The study identified insufficient incident management plans and processes as the main challenges faced by organisations and, in particular, insufficient resources in terms of both personnel and available technology, together with siloed organisations, leading to fragmented incident management companies and significant delays in the flow of information. Due to the ever-evolving threat landscape, these challenges increase the challenges organisations face to keep up with developments and respond to changing and growing threats.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by jyx lomake-julkaisija (jyx-julkaisija.group@korppi.jyu.fi) on 2025-01-28T12:08:06Z\nNo. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2025-01-28T12:08:06Z (GMT). No. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "79", "language": null, "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "eng", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "CC BY 4.0", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.title", "value": "The Implementation Challenges of the NIS 2 Directive", "language": null, "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-202501281564", "language": null, "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Master's Degree Programme in Cyber Security", "language": "en", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Kyberturvallisuuden maisteriohjelma", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.copyright", "value": "\u00a9 The Author(s)", "language": null, "element": "rights", "qualifier": "copyright", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "openAccess", "language": null, "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://creativecommons.org/licenses/by/4.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}]
id jyx.123456789_99801
language eng
last_indexed 2025-02-18T10:54:56Z
main_date 2025-01-01T00:00:00Z
main_date_str 2025
online_boolean 1
online_urls_str_mv {"url":"https:\/\/jyx.jyu.fi\/bitstreams\/83c878e0-a0d7-46ef-b219-6e9ed262cea2\/download","text":"URN:NBN:fi:jyu-202501281564.pdf","source":"jyx","mediaType":"application\/pdf"}
publishDate 2025
record_format qdc
source_str_mv jyx
spellingShingle Iloranta, Kalle The Implementation Challenges of the NIS 2 Directive Master's Degree Programme in Cyber Security Kyberturvallisuuden maisteriohjelma
title The Implementation Challenges of the NIS 2 Directive
title_full The Implementation Challenges of the NIS 2 Directive
title_fullStr The Implementation Challenges of the NIS 2 Directive The Implementation Challenges of the NIS 2 Directive
title_full_unstemmed The Implementation Challenges of the NIS 2 Directive The Implementation Challenges of the NIS 2 Directive
title_short The Implementation Challenges of the NIS 2 Directive
title_sort implementation challenges of the nis 2 directive
title_txtP The Implementation Challenges of the NIS 2 Directive
topic Master's Degree Programme in Cyber Security Kyberturvallisuuden maisteriohjelma
topic_facet Kyberturvallisuuden maisteriohjelma Master's Degree Programme in Cyber Security
url https://jyx.jyu.fi/handle/123456789/99801 http://www.urn.fi/URN:NBN:fi:jyu-202501281564
work_keys_str_mv AT ilorantakalle implementationchallengesofthenis2directive AT ilorantakalle theimplementationchallengesofthenis2directive