Suomalaisilla yrityksillä paljon tekemistä Euroopan tietoturvadirektiivin täytäntöönpanossa

NIS tulee sanoista Network and Information Systems, ja sen tavoitteena on kyberturvallisuuden yhteisen tason varmistaminen kaikkialla Euroopan unionissa. Kyseinen direktiivi tulee Suomessa tämän vuoden kuluessa osaksi kansallista lainsäädäntöä. Direktiivin vaatimukset koskevat suurta osaa suomalaista yrityksistä joko välittömästi tai alihankintaketjujen kautta. 

Tutkimuksen perusteella pohjoismaiset yritykset kokevat tietoturvansa tason ja uhkakuvat samankaltaisena. 

Lähes kaikki pohjoismaalaiset yritykset katsovat olevansa jollain tasolla tietoisia kyberuhista

Henkilöstön tietoisuus kyberturvauhista ja niihin oikeanlaisesta reagoinnista on yksi tärkeimmistä kyberturvan osa-alueista, ja NIS2 edellyttääkin entistä parempaa kyberturvan asioiden tiedottamista ja kouluttamista henkilöstölle. Kyselyn perusteella Suomessa noin puolet (49 %) vastaajista mainitsi tarjoavansa tällä hetkellä henkilöstölleen NIS2:n edellyttämää kyberturvaan liittyvää koulutusta. Norjassa koulutusta tarjoaa 61 % yrityksistä ja Ruotsissa sekä Tanskassa noin kolmannes.  

”Erityisen huolestuttavana voidaan pitää sitä, että vastausten perusteella palomuurisuojaus puuttuu jopa neljänneksestä yrityksiä. Tästä on syytä olla huolissaan paitsi näiden yritysten itsensä vuoksi, myös niiden verkkopalveluissa asioivien asiakkaiden vuoksi. Kyberturvallisuudessa oma hyvä suojautuminen vähentää myös muiden tartuntariskiä”, toteaa Dominique Akl, DNA:n yritysliiketoiminnassa verkko- ja pilvipalveluratkaisuista vastaava johtaja. 

Vastaajista 75 % hyödyntää palomuuria, virustorjunnan jäädessä lähelle samoja lukemia (76 %) 

Direktiivin mukaisesti vastuu kyberturvasta on yrityksen johdolla, ja johtohenkilöt voidaan saattaa henkilökohtaiseen vastuuseen laiminlyönneistä. Vastaajista lähes kaikki (95 %) kokivat olevansa jollain tavalla tietoisia kyberturvallisuuteen liittyvistä uhista. Kymmenes (10 %) vastaajista ei kuitenkaan ollut tietoisia siitä, mitä kyberturvaan liittyviä suojaustyökaluja yrityksellä oli ylipäätään käytössään. 

Etukäteissuunnitelmat puuttuvat valtaosasta suomalaisia yrityksiä 

Voimaan astuessaan NIS2 edellyttää, että kyberturvallisuuteen liittyvät riskit on analysoitu ja tietojärjestelmän turvallisuutta koskevat politiikat on asetettu voimaan. Hieman yli kolmannes (36 %) suomalaisista yrityksistä on tehnyt kyberturvauhkia vastaavat häiriönhallintasuunnitelmat. Tästä huolimatta merkittävä osa (86 %) vastaajista oli varmoja tai melko varmoja siitä, että pystyvät vastaamaan kyberturviin koskeviin häiriöihin.

Vastauksien perusteella on todennäköistä, että suurella osalla suomalaisista yrityksistä on todellisuudessa heikot edellytykset vastata tehokkaasti erilaisiin tietoturvauhkiin.

Kyberturvan parantamisen esteenä resurssit ja osaaminen

NIS2:n vaatimusten täyttäminen edellyttää yrityksiltä entistä enemmän panostusta kyberturvan kehittämiseen ja ylläpitoon. 

”Jokaisen yrityksen tulisi toimia direktiivin tarkoitusperien mukaisesti huolimatta siitä velvoittaako direktiivi yritystä suoraan”, Akl sanoo. 

Suurimmiksi esteiksi kyberturvakyvykkyyksien parantamiseksi nähtiin resurssien ja rahoituksen puute (25 %), osaaminen (27 %) ja henkilökunnan osaamisvaje (26 %).  Suurin osa vastaajista (51 %) katsoi, että kyberturvan resursointia lisätään, mutta ainoastaan 7 % piti resurssoinnin lisäämistä erittäin todennäköisenä.

Lehdistötiedote perustuu Telenor Groupin Norstatilla lokakuussa 2023 teettämään verkkotutkimukseen. Tutkimus kohdennettiin suomalaisiin, norjalaisiin, ruotsalaisiin ja tanskalaisiin yrityksiin, ja sen vastaajina toimivat kohdeyrityksen liiketoiminnasta vastaavat johtajat. Vastaajien kokonaismäärä oli 2134, joista 518 oli Suomessa. Tutkimuksen virhemarginaali on 1,9–4,5 prosenttiyksikköä.

Lisätietoja:

Liite: tutkimusraportti

Dominique Akl, johtaja, verkko- ja pilvipalveluratkaisut, DNA Oyj, puh. 044 044 2602, dominique.akl@dna.fi

DNA:n viestintä, puh. 044 044 8000, viestinta@dna.fi