Cybersecurity Compliance and the NIS2 Directive: A Case Study : Evaluating the Application of Traficom’s Guidelines for NIS2 Directive Compliance

Abstract

The purpose of this thesis was to go through different recommendations set by Traficom and inspect how they are implemented in the target company. These recommendations are based on the document set by the Finnish Transport and Communications Agency (Traficom) and its purpose is to guide governmental bodies that are responsible for overseeing NIS2 Directive compliance in Finland. Governmental bodies monitor, assess, and verify how cyber-security measures are taken care of by entities that must comply with NIS2 rules. This includes assessing the organizations processes that have been implemented to support the technical safeguards.

This thesis will cover different topics related to these recommendations, such as the NIS2 Directive, cybersecurity, and cybersecurity risk management. The focus will be on answering the research questions, which are presented in chapter two. From this thesis perspective, these recommendations work as a benchmark for evaluating how the case company’s practices are assessed.

Technology is evolving quickly these days. New systems and apps are created every day. When technology grows, so do the risks, and that is the reason why cybersecurity and everything that comes with it is important. Cybersecurity is about protecting networks, devices, digital systems, and data from different types of damage or unauthorized access. There are three main goals in cybersecurity, which are that technology stays intact, confidential, and available for people and organizations.

The NIS2 Directive is a regulation that sets strict requirements for protecting important services and businesses against cyberattacks. The main purpose of this regulation is to make sure that every EU country and its organizations follow these same standards. This directive took effect in early 2023, and every EU country had to turn it into national law by October 2024. After this, every organization in range is anticipated to comply. Traficom’s recommendations can be seen as a bridge between the requirements that companies must fulfil and the EU directive.

This thesis not only outlines the recommendations set by Traficom for organizations but also illustrates the realistic timeline for achieving and implementing these recommendations. This research started by delicately inspecting the current state of operations. Everything started with identifying those parts that were already established, what parts are still missing, and revealing why the gaps were there. When finding answers to these questions, organizations can get a more solid and deeper understanding of the challenges they face when converting the recommendations into strategies, and how urgent and important it is to close those gaps.

Tämän diplomityön tarkoituksena oli käydä läpi Traficomin antamia suosituksia ja tarkastella, miten niitä on otettu käyttöön kohdeyrityksessä. Suositukset perustuvat Liikenne- ja viestintäviraston (Traficom) laatimaan asiakirjaan, jonka tavoitteena on ohjeistaa viranomaisia, jotka vastaavat NIS2-direktiivin noudattamisen valvonnasta Suomessa. Viranomaiset seuraavat, arvioivat ja varmistavat, että ne toimijat, joiden on noudatettava NIS2-sääntöjä, huolehtivat kyberturvallisuudesta asianmukaisesti. Tämä sisältää myös sen arvioimisen, millaisia prosesseja organisaatioissa on otettu käyttöön teknisten suojausten tukemiseksi.

Tässä diplomityössä käsitellään useita aiheita, jotka liittyvät näihin suosituksiin, kuten NIS2-direktiivi, kyberturvallisuus sekä kyberturvallisuuden riskienhallinta. Painopisteenä on tutkimuskysymyksiin vastaaminen, jotka esitetään luvussa kaksi. Diplomityön näkökulmasta suositukset toimivat vertailukohtana sen arvioimiseksi, kuinka hyvin kohdeyrityksen käytännöt vastaavat vaatimuksiin.

Teknologia kehittyy nykyään erittäin nopeasti. Uusia järjestelmiä ja sovelluksia syntyy päivittäin. Teknologian kasvaessa myös riskit kasvavat, ja juuri siksi kyberturvallisuus ja siihen liittyvät asiat ovat tärkeitä. Kyberturvallisuus tarkoittaa verkkojen, laitteiden, digitaalisten järjestelmien ja datan suojaamista erilaisilta vahingoilta tai luvattomalta käytöltä. Kyberturvallisuuden kolme päätavoitetta ovat, että teknologia säilyy eheänä, luottamuksellisena ja saatavilla sekä yksityisten henkilöiden että organisaatioiden käytettäväksi.

NIS2-direktiivi on säädös, joka asettaa tiukat vaatimukset tärkeiden palvelujen ja yritysten suojaamiseksi kyberhyökkäyksiä vastaan. Sen päätavoitteena on varmistaa, että kaikki EU-maat ja niiden organisaatiot noudattavat samoja standardeja. Direktiivi astui voimaan alkuvuodesta 2023, ja jokaisen EU-maan tuli saattaa se kansalliseen lainsäädäntöön lokakuuhun 2024 mennessä. Tämän jälkeen kaikkien sen piiriin kuuluvien organisaatioiden odotetaan noudattavan säädöstä. Traficomin suositukset voidaan nähdä siltana yritysten täytettävien vaatimusten ja EU-direktiivin välillä.

Tämä diplomityö ei ainoastaan kuvaa Traficomin antamia suosituksia organisaatioille, vaan myös esittelee realistisen aikataulun niiden saavuttamiselle ja toteuttamiselle. Tutkimus käynnistyi kohdeyrityksen nykytilan tarkalla selvityksellä. Ensimmäiseksi tunnistettiin ne osa-alueet, jotka olivat jo olemassa, sekä ne, jotka vielä puuttuivat, ja pyrittiin selvittämään syyt näihin puutteisiin. Näihin kysymyksiin vastaaminen auttaa organisaatioita saamaan syvemmän ymmärryksen siitä, millaisia haasteita suositusten muuttaminen käytännön strategioiksi tuo mukanaan, sekä siitä, kuinka kiireellistä ja tärkeää näiden aukkojen paikkaaminen on.