The Implementation Challenges of the NIS 2 Directive

Digitalisaation myötä jatkuvasti kehittyvä toimintaympäristö Euroopassa asettaa ennen kaikkea julkisen sektorin organisaatiot yhä enemmän riippuvaiseksi monimutkaisesta kybertoimintaympäristöstä sekä samalla asettavat nämä organisaatiot lisääntyvien ja yhä monimutkaisempien kohdistettujen kyberhyökkäysten kohteeksi. Euroopan Unionille, sen jäsenmaille ja ennen kaikkea näiden asukkaille tietojärjestelmien turvaaminen osana toimivaa infrastruktuuria on elintärkeää, terveydenhuollon, palveluiden ja yleisen turvallisuuden ollessa riippuvaisia toimivasta infrastruktuurista. Myös näihin infrastruktuureihin kohdistuvat riskit ovat suurempia kuin koskaan aiemmin, johtuen eri sisäisten ja ulkoisten toimijoiden aiheuttamista uhista yhdistettynä kompleksiseen toimintaympäristöön. Euroopan Unioni on asettanut vastauksenaan kasvaviin kyberturvallisuushaasteisiin verkko- ja tietojärjestelmä direktiivin, eli NIS direktiivin vuonna 2016. Euroopan Unioni asetti päivitetyn NIS 2 Direktiivin vuonna 2022, edelleen parantaakseen EU:n jäsenmaiden kybersietokykyä sekä vastatakseen digitalisaation tuomiin lisääntyviin uhkiin. NIS 2 Direktiivi asettaa keskeisille ja tärkeille organisaatioille velvoitteita kyberriskienhallintaan sekä poikkeamien havainnointiin ja ilmoitusvelvollisuuteen. Tämä tutkimus tarkastelee organisaatioiden haasteita lainsäädännön tuomien vaatimusten täyttämisessä kyberturvallisuuden asiantuntijoiden ja teorian näkökulmista. Tutkimuksessa on käytetty tutkimusmenetelmänä suunnittelutieteellistä tutkimusta ja tutkimuksessa ehdotetaan myös tarkistuslistaa artefaktina ongelmakohtien tunnistamisen helpottamiseksi organisaatioissa. Tutkimuksessa tunnistettiin organisaatioiden pääasiallisiksi haasteiksi puutteelliset poikkeamanhallinnan suunnitelmat ja prosessit sekä erityisesti vajaat resurssit niin henkilöstön kuin käytettävissä olevan teknologian osalta yhdessä siiloutuneiden organisaatioiden kanssa johtavat pirstoutuneeseen poikkeamanhallintayrityksiin ja merkittäviin viiveisiin tiedonkulussa. Jatkuvasti kehittyvän uhkakentän johdosta nämä haasteet lisäävät organisaatioiden haasteita pysyä kehityksen mukana ja vastatakseen muuttuviin ja kasvaviin uhkiin.

The digitalisation-based, constantly evolving Europe’s cyber-environment makes public sector organisations increasingly dependent on complex cyberspace and, simultaneously, places them subject to increasing and more complex targeted cyberattacks. For the European Union, its Member States and, above all, for their residents, securing information systems as part of a functioning infrastructure is vital, as healthcare, services, and public security depend on a functioning infrastructure. The risks to these infrastructures are also greater than ever due to threats posed by various internal and external actors combined with the complex operating environment. In response to the growing cybersecurity challenges, the European Union has set the Network and Information System Directive, or NIS Directive, in 2016. To further improve the cyber resilience of EU member states and respond to the increasing threats posed by digitalisation, the European Union has set the updated NIS 2 Directive in 2022. The NIS 2 Directive imposes obligations on essential and important organisations in cyber risk management, incident detection and reporting obligations. This study examines the challenges faced by organisations in meeting legal requirements from the perspectives of cybersecurity experts and theory. The research method used is a Design Science Research Method, and the study also proposes a checklist as an artefact to facilitate the identification of problem areas in organisations. The study identified insufficient incident management plans and processes as the main challenges faced by organisations and, in particular, insufficient resources in terms of both personnel and available technology, together with siloed organisations, leading to fragmented incident management companies and significant delays in the flow of information. Due to the ever-evolving threat landscape, these challenges increase the challenges organisations face to keep up with developments and respond to changing and growing threats.