NIS2-direktiivin mukaiset järjestelmähankinnat : Vaatimusten kartoitus sekä päätöstuen määritys
Kairenius, Tiina (2024)
2024
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2024-06-07
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202405316574
https://urn.fi/URN:NBN:fi:tuni-202405316574
Tiivistelmä
Työn tavoitteena on kartoittaa, kuinka yritykset voivat toteuttaa järjestelmähankintoja huomioiden tarvittavat kyberturvallisuuden ja riskienhallinnan näkökulmat. Työssä tehtävässä tutkimuksessa tunnistetaan NIS2-direktiivin viitekehyksen kautta alan parhaita käytäntöjä järjestelmähankintojen turvalliselle toteuttamiselle sekä päätöksenteon tukemiselle kyberturvallisuudessa. Haastattelututkimuksen avulla tutkitaan käyttäjien kokemia tarpeita ratkaisulle, joka keskittyy päätöksenteon tukemiseen järjestelmähankinnoissa kyberturvallisuuden näkökulmasta. Näiden työssä tutkittavien osien summana muodostetaan ratkaisu, jota NIS2-direktiivin soveltamisalaan – erityisesti elintarvikealaan – kuuluvat organisaatiot voivat käyttää toteuttaakseen lainsäädännölliset vaatimukset täyttäviä järjestelmähankintoja.
Työ aloitetaan esittelemällä teoreettista taustaa järjestelmähankintojen, NIS2-direktiivin, riskienhallinnan sekä päätöksenteon ja sen tukemisen osalta. Työtä jatketaan toteuttamalla integratiivinen kirjallisuuskatsaus, jossa tutkitaan järjestelmähankintojen turvallista toteuttamista riskienhallinnan menetelmillä sekä kuinka päätöksentekoa voidaan tukea kyberturvallisuudessa. Haastattelututkimusta käsittelevässä työnosassa kartoitetaan käyttäjien tarpeita ja vaati-muksia toteutettavalle ratkaisulle. Varsinaisen konstruktion luovassa osassa toteutetaan järjestelmähankintojen kyberturvallisuutta tukeva päätöksenteontuki, joka pohjautuu työn aikaisemmissa osioissa luotuihin vaatimustenmäärittelyihin.
Vaatimustenmäärittelyyn kerätyissä tuloksissa korostuivat riskien arvioinnin ja prosessin läpileikkaavan turvallisuuden merkitys yhdistettynä hankittavan järjestelmätuotteen arviointiin. Myös kyberturvallisuuden sisällyttäminen vaatimustenmäärittelyyn järjestelmähankinnan alustuksessa sekä ennen varsinaista järjestelmän toimituksen hyväksymistä nousivat esiin merkittävinä onnistumistekijöinä. Työssä kehitetty ratkaisu koettiin käytettäväksi haastattelututkimukseen osallistuneiden mielestä, vaikka kyseessä on organisaatiokohtaista räätälöintiä vaativa toteutus.
Työ aloitetaan esittelemällä teoreettista taustaa järjestelmähankintojen, NIS2-direktiivin, riskienhallinnan sekä päätöksenteon ja sen tukemisen osalta. Työtä jatketaan toteuttamalla integratiivinen kirjallisuuskatsaus, jossa tutkitaan järjestelmähankintojen turvallista toteuttamista riskienhallinnan menetelmillä sekä kuinka päätöksentekoa voidaan tukea kyberturvallisuudessa. Haastattelututkimusta käsittelevässä työnosassa kartoitetaan käyttäjien tarpeita ja vaati-muksia toteutettavalle ratkaisulle. Varsinaisen konstruktion luovassa osassa toteutetaan järjestelmähankintojen kyberturvallisuutta tukeva päätöksenteontuki, joka pohjautuu työn aikaisemmissa osioissa luotuihin vaatimustenmäärittelyihin.
Vaatimustenmäärittelyyn kerätyissä tuloksissa korostuivat riskien arvioinnin ja prosessin läpileikkaavan turvallisuuden merkitys yhdistettynä hankittavan järjestelmätuotteen arviointiin. Myös kyberturvallisuuden sisällyttäminen vaatimustenmäärittelyyn järjestelmähankinnan alustuksessa sekä ennen varsinaista järjestelmän toimituksen hyväksymistä nousivat esiin merkittävinä onnistumistekijöinä. Työssä kehitetty ratkaisu koettiin käytettäväksi haastattelututkimukseen osallistuneiden mielestä, vaikka kyseessä on organisaatiokohtaista räätälöintiä vaativa toteutus.