NIS2-direktiivin vaikutukset valtion virastoihin ja laitoksiin: Haasteet
Nowrozi, Fatima (2025)
2025
Tietojohtamisen DI-ohjelma - Master's Programme in Information and Knowledge Management
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2025-02-07
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202502062056
https://urn.fi/URN:NBN:fi:tuni-202502062056
Tiivistelmä
Diplomityössä tarkastellaan Euroopan unionin NIS2-direktiivin vaikutuksia Suomen valtion virastoihin ja laitoksiin. Tutkimuksen keskeisenä ongelmana on selvittää, miten nämä organisaatiot ovat valmistautuneet NIS2-direktiivin täytäntöönpanoon, mitkä haasteet ovat nousseet esiin direktiivin käyttöönotossa ja miten nämä merkittävät muutokset vaikuttavat julkisen sektorin kyberturvallisuuskäytäntöihin ja ratkaista tulevaisuuden haasteet.
Tutkimuksessa sovellettiin sekä teoreettista että empiiristä lähestymistapaa kattavasti. Teoreettinen viitekehys kattaa kyberturvallisuuden keskeiset periaatteet, riskienhallinnan menetelmät sekä NIS2-direktiivin vaatimukset ja vaikutukset. Empiirinen osuus toteutettiin kyselytutkimuksena, johon osallistui valtionhallinnon organisaatioita. Tutkimuksessa arvioitiin organisaatioiden valmiuksia ja havaittiin keskeisiä haasteita, kuten resurssien rajallisuus, osaamisen kehittämisen tarpeet sekä sääntelyn monimutkaisuus, ja tuloksia analysoitiin kriittisesti.
Tutkimuksen tuloksena havaittiin, että NIS2-direktiivi asettaa valtionhallinnolle merkittäviä haasteita, mutta tarjoaa samalla myös erittäin merkittävän mahdollisuuden kehittää ja vahvistaa riskienhallintaprosesseja. Organisaatioiden on ehdottomasti panostettava systemaattisten toimintamallien kehittämiseen, jatkuvaan henkilöstön koulutukseen sekä tehokkaisiin poikkeamailmoitusmenettelyihin, jotta ne pystyvät vastaamaan direktiivin vaatimuksiin ja parantamaan kyberturvallisuuttaan tehokkaasti.
Lopuksi esitetään ehdotuksia jatkotutkimukselle sekä parannusehdotuksia jatkokehitykselle. Jatkotutkimuksessa ehdotetaan muun muassa EU-maiden kokemusten vertailua ja teknisten työkalujen kehittämistä. This thesis examines the impacts of the European Union’s NIS2 Directive on Finland’s state agencies and institutions. The central research problem is to determine how these organizations have prepared for the implementation of the NIS2 Directive, what challenges have emerged during its adoption, and how these significant changes affect cybersecurity practices in the public sector while addressing future challenges.
The research employs both theoretical and empirical approaches comprehensively. The theoretical framework covers the key principles of cybersecurity, risk management methods, as well as the requirements and impacts of the NIS2 Directive. The empirical portion was carried out as a survey involving state organizations. The study assessed the readiness of these organizations and identified key challenges such as limited resources, the need for ongoing skill development, and the complexity of regulations, with the results analyzed critically.
The findings indicate that while the NIS2 Directive poses significant challenges for state administration, it also offers a very substantial opportunity to develop and strengthen risk management processes. Organizations must undoubtedly invest in the development of systematic operational models, continuous staff training, and efficient incident reporting procedures in order to meet the directive’s requirements and improve their cybersecurity effectively.
Finally, recommendations for further research and suggestions for continued development are presented. The follow-up research proposes, among other things, a comparative analysis of the experiences of EU member states and the development of technical tools.
Tutkimuksessa sovellettiin sekä teoreettista että empiiristä lähestymistapaa kattavasti. Teoreettinen viitekehys kattaa kyberturvallisuuden keskeiset periaatteet, riskienhallinnan menetelmät sekä NIS2-direktiivin vaatimukset ja vaikutukset. Empiirinen osuus toteutettiin kyselytutkimuksena, johon osallistui valtionhallinnon organisaatioita. Tutkimuksessa arvioitiin organisaatioiden valmiuksia ja havaittiin keskeisiä haasteita, kuten resurssien rajallisuus, osaamisen kehittämisen tarpeet sekä sääntelyn monimutkaisuus, ja tuloksia analysoitiin kriittisesti.
Tutkimuksen tuloksena havaittiin, että NIS2-direktiivi asettaa valtionhallinnolle merkittäviä haasteita, mutta tarjoaa samalla myös erittäin merkittävän mahdollisuuden kehittää ja vahvistaa riskienhallintaprosesseja. Organisaatioiden on ehdottomasti panostettava systemaattisten toimintamallien kehittämiseen, jatkuvaan henkilöstön koulutukseen sekä tehokkaisiin poikkeamailmoitusmenettelyihin, jotta ne pystyvät vastaamaan direktiivin vaatimuksiin ja parantamaan kyberturvallisuuttaan tehokkaasti.
Lopuksi esitetään ehdotuksia jatkotutkimukselle sekä parannusehdotuksia jatkokehitykselle. Jatkotutkimuksessa ehdotetaan muun muassa EU-maiden kokemusten vertailua ja teknisten työkalujen kehittämistä.
The research employs both theoretical and empirical approaches comprehensively. The theoretical framework covers the key principles of cybersecurity, risk management methods, as well as the requirements and impacts of the NIS2 Directive. The empirical portion was carried out as a survey involving state organizations. The study assessed the readiness of these organizations and identified key challenges such as limited resources, the need for ongoing skill development, and the complexity of regulations, with the results analyzed critically.
The findings indicate that while the NIS2 Directive poses significant challenges for state administration, it also offers a very substantial opportunity to develop and strengthen risk management processes. Organizations must undoubtedly invest in the development of systematic operational models, continuous staff training, and efficient incident reporting procedures in order to meet the directive’s requirements and improve their cybersecurity effectively.
Finally, recommendations for further research and suggestions for continued development are presented. The follow-up research proposes, among other things, a comparative analysis of the experiences of EU member states and the development of technical tools.