Tietoturvan kokonaiskuva: näin rakennat kestävän perustan yrityksellesi

Tietoturva ei ole enää pelkästään IT-osaston asia. Vuonna 2025 voimaan astuneet säädökset – erityisesti kyberturvallisuuslaki (NIS2) – asettavat yrityksen johdon henkilökohtaisesti vastuuseen tietoturvan toteutumisesta. Samaan aikaan kybervakuutusyhtiöt kiristävät vaatimuksiaan, ja ilman dokumentoitua tietoturvaa vakuutuksen saaminen on yhä vaikeampaa.
Tässä artikkelissa käymme läpi, mistä yritysten tietoturvan kokonaiskuva muodostuu, mitä laki vaatii ja miten systemaattinen arviointi hyödyttää liiketoimintaasi.

Miksi tietoturva on kriittistä juuri nyt?

Kyberrikollisuus kasvaa räjähdysmäisesti. Suomessa raportoitiin vuonna 2023 yli 18 600 tietoturvapoikkeamaa, ja tietomurtotutkintamäärät kasvoivat 60 prosenttia edellisestä vuodesta. Maailmanlaajuisesti kyberrikollisuuden kustannukset ylittävät jo 8 biljoonaa dollaria vuodessa.
Samaan aikaan sääntely-ympäristö on tiukentunut merkittävästi. Yritysten on nyt vastattava GDPR:n, NIS2-direktiivin ja AI Actin vaatimuksiin – tai kohdattava mittavat sanktiot ja mainehaitat.

Lakivaatimukset yrityksille

GDPR – Tietosuoja-asetus

EU:n yleinen tietosuoja-asetus on ollut voimassa vuodesta 2018, mutta sen vaatimukset ovat edelleen ajankohtaisia. Keskeistä yrityksille:

• Tietoturvaloukkaus on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa
• Rekisteröidyille on ilmoitettava ilman viivytystä, jos riski on korkea
• Maksimisanktio on 20 miljoonaa euroa tai 4 % liikevaihdosta
• Kaikki tietoturvaloukkaukset on dokumentoitava

NIS2 ja kyberturvallisuuslaki

Suomen kyberturvallisuuslaki (124/2025) astui voimaan 8.4.2025. Laki toteuttaa EU:n NIS2-direktiivin ja koskee laajaa joukkoa yrityksiä kriittisillä toimialoilla.

Keskeiset velvoitteet:

• Johdon henkilökohtainen vastuu – hallitus, toimitusjohtaja ja tietohallintojohtaja vastaavat tietoturvan toteutumisesta
• Riskienhallinnan toimintamalli – dokumentoitu ja säännöllisesti päivitetty
• Poikkeamailmoitukset: ensi-ilmoitus 24 tunnissa, jatkoilmoitus 72 tunnissa
• Toimitusketjun turvallisuus – vastuu ulottuu alihankkijoihin
• Sanktiot: jopa 10 miljoonaa euroa tai 2 % liikevaihdosta

AI Act – Tekoälyasetus

EU:n tekoälyasetus (2024/1689) tuli voimaan 1.8.2024. Erityisen tärkeää yrityksille on tekoälylukutaitovelvoite (Art. 4), joka astui voimaan 2.2.2025. Käytännössä tämä tarkoittaa:

• Henkilöstöllä on oltava riittävä ymmärrys tekoälyn toiminnasta ja riskeistä
• Korkean riskin tekoälyjärjestelmille tiukat vaatimukset 2.8.2026 alkaen
• Maksimisanktio 35 miljoonaa euroa tai 7 % liikevaihdosta

Tietoturvan kokonaiskuva – kolme pilaria

Kattava tietoturva-arviointi koostuu kolmesta toisiaan täydentävästä osa-alueesta:

1. Tietoturvakartoitus

Tietoturvakartoitus on laajin arviointi, joka kattaa organisaation tietoturvan kaikki osa-alueet. Se antaa kokonaiskuvan nykytilasta ja tunnistaa kriittisimmät kehityskohteet.

Laajuus:

• 176 kysymystä – kattava läpileikkaus
• 15 osa-aluetta – teknisistä kontrolleista prosesseihin
• 4 raporttia – johdon yhteenveto, tekniset löydökset, toimenpidesuunnitelma
• 4 säädösarviota – GDPR, NIS2, AI Act ja vakuutusvalmius

2. IAM-terveystarkastus

Identiteetin- ja pääsynhallinta (IAM) on tietoturvan kriittisin osa-alue: yli 80 % tietomurroista johtuu varastetuista tai heikoista tunnuksista. IAM-terveystarkastus keskittyy juuri tähän.

Laajuus:

• 55 kysymystä – kohdennettu arviointi
• 8 osa-aluetta: käyttäjätilien hallinta, salasanapolitiikka, MFA, pääkäyttäjäoikeudet, pääsynhallinta, ulkoiset käyttäjät, sovellukset ja lokitus
• Zero Trust -valmius – modernin tietoturva-arkkitehtuurin arviointi
• Azure AD / Entra ID -ympäristön tarkistus

3. NIS2-valmiusarviointi

NIS2-valmiusarviointi on suunniteltu erityisesti kyberturvallisuuslain vaatimusten täyttämiseen. Se soveltuu sekä NIS2-toimijoille että heidän toimitusketjussaan toimiville yrityksille.

Laajuus:

• 83 kysymystä – NIS2-artikloihin sidottu
• 11 osa-aluetta: hallintajärjestelmä, riskienhallinta, poikkeamien hallinta, jatkuvuus, toimitusketju, verkkoturvallisuus, henkilöstö, fyysinen turvallisuus, haavoittuvuudet, tietosuoja, dokumentaatio
• Valmiustasoarvio: NIS2-valmis (≥80%), kehitettävä (50–79%), puutteellinen (<50%)
• Todisteluettelo – auditoinnin dokumentaatio

Hyödyt yritykselle

Systemaattinen tietoturva-arviointi ei ole pelkkä kuluerä – se on investointi, joka maksaa itsensä takaisin moninkertaisesti.

1. Riskien tunnistaminen ja hallinta
Tiedät tarkalleen, missä organisaatiosi tietoturvan heikkoudet ovat. Voit kohdentaa resurssit sinne, missä niitä eniten tarvitaan.

2. Säädöstenmukaisuus
Dokumentoidut arvioinnit osoittavat viranomaisille ja auditoijille, että organisaatio täyttää GDPR:n, NIS2:n ja AI Actin vaatimukset.

3. Johdon vastuiden täyttäminen
Kyberturvallisuuslaki asettaa johdon henkilökohtaisesti vastuuseen. Dokumentoitu riskienhallinta on paras suoja henkilökohtaisia sanktioita vastaan.

4. Kilpailuetu
Yhä useammin asiakkaat ja kumppanit edellyttävät todisteita tietoturvasta. NIS2-valmis -status avaa ovia uusiin liiketoimintamahdollisuuksiin.

Vakuutusvalmius – kybervakuutuksen edellytykset

Kybervakuutusten hinnat ovat nousseet ja vaatimukset tiukentuneet. Vakuutusyhtiöt edellyttävät nykyään todennettua perustason tietoturvaa ennen vakuutuksen myöntämistä.

Tyypilliset minimivaatimukset:

• MFA (monivaiheinen tunnistautuminen) kaikilla käyttäjillä
• Säännölliset varmuuskopiot, joiden palautus on testattu
• Päivitystenhallinta – kriittiset haavoittuvuudet korjattu
• Tietoturvakoulutukset henkilöstölle
• Dokumentoitu riskienhallinta

Tietoturvakartoitus tuottaa vakuutusvalmiusraportin, joka osoittaa vakuutusyhtiölle organisaation tietoturvan tason ja tehdyt toimenpiteet. Tämä voi johtaa edullisempiin vakuutusmaksuihin ja parempaan kattavuuteen.

Miten aloittaa?

Tietoturvan kehittäminen kannattaa aloittaa nykytilan kartoituksesta. Suosittelemme seuraavaa polkua:

Vaihtoehto A: Kokonaisvaltainen lähestymistapa
Aloita Tietoturvakartoituksella (176 kysymystä), joka antaa laajan kokonaiskuvan ja kattaa kaikki neljä säädösarviota.

Vaihtoehto B: Kohdennettu lähestymistapa
Jos tiedät jo, että suurin riski on käyttäjähallinnassa, aloita IAM-terveystarkastuksella. Jos NIS2-vaatimukset ovat ajankohtaisin huoli, NIS2-valmiusarviointi on oikea valinta.

Vaihtoehto C: Kaikki kolme
Parhaan tuloksen saat yhdistämällä kaikki kolme arviointia. Tällöin kattavuus on täydellinen: yleinen tietoturva, identiteettihallinta ja säädöstenmukaisuus.

Yhteenveto

Tietoturva on 2020-luvulla liiketoiminnan elinehto. Lakivaatimukset (GDPR, NIS2, AI Act) edellyttävät dokumentoitua riskienhallintaa, ja vakuutusyhtiöt vaativat todennettua tietoturvaa.
Systemaattinen arviointi – tietoturvakartoitus, IAM-terveystarkastus ja NIS2-valmiusarviointi – antaa selkeän kuvan nykytilasta, tunnistaa riskit ja tuottaa priorisoidun toimenpidesuunnitelman.

Paras aika aloittaa oli eilen. Toiseksi paras aika on tänään.

Lue lisää tietoturvakartoituksista: tietoturvakartoitus.fi