Kyberturvallisuuslaki astuu voimaan keväällä 2025. Se on Suomen kansallinen lainsäädäntö, joka perustuu NIS2-direktiiviin. Laki vaatii laajalta joukolta yrityksiä ja muita organisaatioita panostuksia tietoturvaan ja riskienhallintaan. Laajan direktiivin avulla on haluttu nostaa kyberturvallisuuden tasoa Euroopan Unionissa sellaisilla aloilla, joiden toiminta on yhteiskunnan kannalta kriittistä.
Kyberturvallisuuslaki koskee soveltamisalojen keskisuuria ja sitä suurempia yrityksiä. Rajoina ovat 50 työntekijää tai 10 miljoonan euron liikevaihto tai taseen loppusumma. Suoraan sääntelynalaisten yritysten lisäksi Kyberturvallisuuslain vaatimukset ulottuvat myös niiden yritysten toimitusketjuihin. Ne yritykset, joita laki koskee, velvoitetaan huolehtimaan myös toimitusketjunsa tietoturvasta.
NIS2-direktiivin siirtymäaika päättyi lokakuussa 2024 eikä suomen lainsäädäntö poikkea direktiivistä kovinkaan huomattavasti. Tämän myötä lain vaatimuksia on jo sovellettu joissain yrityksissä ja yhä useammin esimerkiksi ISO 27001 -sertifikaatti on ollut ehtona erilaisissa kilpailutuksissa ja yhteistyösopimuksissa.
Miten lähestyä kyberturvallisuuslakia?
1. Sidosryhmien ja niiden esittämien vaatimusten tunnustaminen
2. Tavoitteiden luominen tietoturvalle
3. Organisaation riskienhallintaprosessin dokumentointi
4. Tietoturvan tason ja riskienhallinnan mittauskyvykkyyden rakentaminen
5. Tietoturvapoikkeamien ja liiketoiminnan jatkuvuudenhallinnan dokumentointi
Tietoturvan hallintajärjestelmä ja ISO 27001 -sertifikaatti ratkaisuna Kyberturvallisuuslakiin?
ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän rakentaminen on muodostunut selkeäksi tavaksi osoittaa yrityksen vaatimustenmukaisuus Kyberturvallisuuslain ja sen EU:n laajuisen direktiivin NIS2:n kohdalla. Sääntelyn alaiset yritykset vaativat myös yhä useammin sertifioitua hallintajärjestelmää toimittajiltaan.
Kolmannen osapuolen varmentama ISO 27001 -sertifioitu hallintajärjestelmä on hyvä ratkaisu ja helppo tapa osoittaa yhteistyökummpaneille uuden lain vaatimustenmukaisuus.
