Ensuring NIS 2 compliance in an ISO/IEC 27001 certified organization
Yli-Karro, Valtteri (2025)
2025
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2025-02-28
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202502122152
https://urn.fi/URN:NBN:fi:tuni-202502122152
Tiivistelmä
The goal of this thesis is to compare the EU directive NIS 2 with an implementation of the international information security standard ISO/IEC 27001. This thesis is done for a target organization KMS to ensure that the target organization is compliant with NIS 2.
To support this research, a look into both the NIS 2 directive and ISO/IEC 27001 is taken by literary review of both documents and existing research and commercial sources. The implementation of ISO/IEC 27001 within KMS is also presented for the main parts. The comparison part of the thesis consists of looking closely at the requirements put forward by NIS 2 and the EU in addition to the Finnish law applications. These requirements are then compared with the existing ISMS of KMS. The improvement actions and compliance are then determined.
To further support this thesis, some other frameworks are taken a look into, as well as existing EU directives. In addition to this, some future trends that may affect the field of information security management are discussed. These provide further context to the thesis and provide a wider look into the industry.
The findings in the thesis support the fact that having an ISO/IEC 27001 certified ISMS helps with NIS 2 compliance. NIS 2 has some items that are not covered by the certification, but those were found to be rather low-effort to fix. Although ISO/IEC 27001 ISMS covers many of the areas of NIS 2, multiple improvement opportunities were found for the target organization’s ISMS.
Although the thesis covers only one implementation of ISMS against the NIS 2 directive, it was found that comparing ISMS to other frameworks is beneficial for constant improvement. It was also noticed that, as the field of information technology is constantly evolving, companies need to constantly update their ISMS to maintain the information security posture and follow the guidelines of future legislation.
Tämän diplomityön tarkoituksena on vertailla EU:n NIS 2 -direktiiviä yhteen toteutukseen kansainvälisestä tietoturvastandardista ISO/IEC 27001. Diplomityö on tehty kohdeorganisaatiolle nimeltään KMS varmistamaan, että se on vaatimustenmukainen NIS 2:n kanssa.
Tutkimuksen tueksi työssä käydään läpi NIS 2 -direktiivi ja ISO/IEC 27001 kirjallisuuskatsauksen avulla. Kirjallisuuskatsaus kattaa itse dokumentit sekä jo olevaa tutkimusta ja kaupallisia lähteitä. KMS:n ISO/IEC 27001 -toteutus käydään myös pääosiltaan läpi. Työn vertailuosuus koostuu NIS 2 -vaatimusten tarkastelusta sekä EU:n että Suomen lainsäädännön näkökulmista. Näitä vaatimuksia verrataan KMS:n tietoturvallisuuden hallintajärjestelmään ja vertailun mukaan päätellään kehitysmahdollisuudet ja vaatimustenmukaisuus.
Valikoituja muita kehysympäristöjä ja EU-direktiivejä käydään läpi työn tukemiseksi. Näiden lisäksi tietoturvallisuuden hallintaan mahdollisesti tulevaisuudessa vaikuttavia kehityssuuntia käydään läpi. Nämä tuovat lisäkontekstia työhön ja luovat läpileikkaavamman kuvan toimialasta.
Työn löydökset tukevat, että ISO/IEC 27001 -sertifioidulla ISMS:llä autetaan NIS 2 -direktiivin vaatimustenmukaisuuden saavuttamisessa. NIS 2 edellyttää joitain asioita, jotka eivät ole sertifikaatin piirissä, mutta näiden todettiin olevan korjattavissa suhteellisen pienellä vaivalla. Kohdeyrityksen hallintajärjestelmästä löydettiin monia kehityskohteita, vaikka ISO/IEC 27001:n mukainen tietoturvallisuuden hallintajärjestelmä kattaa monta osa-aluetta NIS 2:sta.
Vaikka diplomityö kattaa vain yhden tieturvallisuuden hallintajärjestelmän toteutuksen vertailun NIS 2 -vaatimuksiin, huomattiin, että ISMS:n vertaaminen muihin kehysympäristöihin on hyödyllistä jatkuvan kehittymisen kannalta. Tietotekniikan ala kehittyy jatkuvasti, ja sen vuoksi työssä myös pääteltiin, että yritysten tulee jatkuvasti päivittää tieturvallisuuden hallintajärjestelmiään varmistaakseen hyvän tietoturvallisuuden tason ja noudattaakseen tulevaisuuden lainsäädännön ohjeistuksia.
To support this research, a look into both the NIS 2 directive and ISO/IEC 27001 is taken by literary review of both documents and existing research and commercial sources. The implementation of ISO/IEC 27001 within KMS is also presented for the main parts. The comparison part of the thesis consists of looking closely at the requirements put forward by NIS 2 and the EU in addition to the Finnish law applications. These requirements are then compared with the existing ISMS of KMS. The improvement actions and compliance are then determined.
To further support this thesis, some other frameworks are taken a look into, as well as existing EU directives. In addition to this, some future trends that may affect the field of information security management are discussed. These provide further context to the thesis and provide a wider look into the industry.
The findings in the thesis support the fact that having an ISO/IEC 27001 certified ISMS helps with NIS 2 compliance. NIS 2 has some items that are not covered by the certification, but those were found to be rather low-effort to fix. Although ISO/IEC 27001 ISMS covers many of the areas of NIS 2, multiple improvement opportunities were found for the target organization’s ISMS.
Although the thesis covers only one implementation of ISMS against the NIS 2 directive, it was found that comparing ISMS to other frameworks is beneficial for constant improvement. It was also noticed that, as the field of information technology is constantly evolving, companies need to constantly update their ISMS to maintain the information security posture and follow the guidelines of future legislation.
Tämän diplomityön tarkoituksena on vertailla EU:n NIS 2 -direktiiviä yhteen toteutukseen kansainvälisestä tietoturvastandardista ISO/IEC 27001. Diplomityö on tehty kohdeorganisaatiolle nimeltään KMS varmistamaan, että se on vaatimustenmukainen NIS 2:n kanssa.
Tutkimuksen tueksi työssä käydään läpi NIS 2 -direktiivi ja ISO/IEC 27001 kirjallisuuskatsauksen avulla. Kirjallisuuskatsaus kattaa itse dokumentit sekä jo olevaa tutkimusta ja kaupallisia lähteitä. KMS:n ISO/IEC 27001 -toteutus käydään myös pääosiltaan läpi. Työn vertailuosuus koostuu NIS 2 -vaatimusten tarkastelusta sekä EU:n että Suomen lainsäädännön näkökulmista. Näitä vaatimuksia verrataan KMS:n tietoturvallisuuden hallintajärjestelmään ja vertailun mukaan päätellään kehitysmahdollisuudet ja vaatimustenmukaisuus.
Valikoituja muita kehysympäristöjä ja EU-direktiivejä käydään läpi työn tukemiseksi. Näiden lisäksi tietoturvallisuuden hallintaan mahdollisesti tulevaisuudessa vaikuttavia kehityssuuntia käydään läpi. Nämä tuovat lisäkontekstia työhön ja luovat läpileikkaavamman kuvan toimialasta.
Työn löydökset tukevat, että ISO/IEC 27001 -sertifioidulla ISMS:llä autetaan NIS 2 -direktiivin vaatimustenmukaisuuden saavuttamisessa. NIS 2 edellyttää joitain asioita, jotka eivät ole sertifikaatin piirissä, mutta näiden todettiin olevan korjattavissa suhteellisen pienellä vaivalla. Kohdeyrityksen hallintajärjestelmästä löydettiin monia kehityskohteita, vaikka ISO/IEC 27001:n mukainen tietoturvallisuuden hallintajärjestelmä kattaa monta osa-aluetta NIS 2:sta.
Vaikka diplomityö kattaa vain yhden tieturvallisuuden hallintajärjestelmän toteutuksen vertailun NIS 2 -vaatimuksiin, huomattiin, että ISMS:n vertaaminen muihin kehysympäristöihin on hyödyllistä jatkuvan kehittymisen kannalta. Tietotekniikan ala kehittyy jatkuvasti, ja sen vuoksi työssä myös pääteltiin, että yritysten tulee jatkuvasti päivittää tieturvallisuuden hallintajärjestelmiään varmistaakseen hyvän tietoturvallisuuden tason ja noudattaakseen tulevaisuuden lainsäädännön ohjeistuksia.