Kuinka hyvin tunnette oman digitaalisen toimintaympäristönne? NIS2 korostaa jatkuvan tietoturvan ylläpidon merkitystä

6.7.2026

NIS2 on nostanut jatkuvan tietoturvan ylläpidon keskeiseksi osaksi organisaatioiden kyberturvallisuutta. Samalla digitaalinen toimintaympäristö muuttuu jatkuvasti. Järjestelmien, pilvipalveluiden ja kumppaniverkostojen määrä kasvaa, mikä korostaa toimintaympäristön tuntemisen merkitystä. Mitä monimuotoisemmaksi digitaalinen toimintaympäristö muuttuu, sitä tärkeämpää on ymmärtää, miten se toimii ja miten sen turvallisuutta ylläpidetään.

Documtec ja PlantSys seuraavat tiiviisti, miten tietoturvaan ja toimintavarmuuteen kohdistuvat vaatimukset kehittyvät. Tässä artikkelissa tarkastelemme, mitä organisaatioiden kannattaa huomioida juuri nyt yhdessä Badrapin asiantuntijan kanssa.

Toimintaympäristö tunnetaan usein vasta silloin, kun jokin häiriintyy

Havainto kertoo, että organisaation oma käsitys toimintaympäristöstään ei aina vastaa todellisuutta. Juuri siksi ympäristöä kannattaa tarkastella myös ulkopuolisesta näkökulmasta.

Digitaalinen toimintaympäristö muuttuu jatkuvasti. Uusia palveluita otetaan käyttöön, integraatioita rakennetaan ja järjestelmiä päivitetään liiketoiminnan tarpeiden mukaan. Muutokset näkyvät usein vasta silloin, kun tieto ei siirry odotetusti tai kriittinen palvelu häiriintyy. Mitä paremmin organisaatio tuntee oman toimintaympäristönsä, sitä nopeammin häiriöiden syyt voidaan tunnistaa ja korjata.

Harva organisaatio pysähtyy pohtimaan digitaalista toimintaympäristöään silloin, kun kaikki toimii normaalisti. Huomio kiinnittyy kokonaisuuteen yleensä vasta siinä vaiheessa, kun tieto ei kulje odotetusti, yhteys katkeaa tai liiketoiminnan kannalta tärkeä järjestelmä ei ole käytettävissä.

Tilanteet ovat tuttuja kriittisen infrastruktuurin organisaatioissa, kuten energia-alalla, vesihuollossa, infra-alalla ja valmistavassa teollisuudessa. Useimmiten taustalla on kokonaisuus, jossa tieto liikkuu useiden järjestelmien, pilvipalveluiden, verkkoyhteyksien ja kumppaniverkostojen välillä.

Jani Kenttälä

”NIS2:n myötä olemme arvioineet noin 3 000 asiakkaidemme toimittajaa. Joka seitsemänneltä löytyi internetiin näkyviä haavoittuvia palveluita, joista vain murto-osa oli toimittajan omassa tiedossa ennen kuin raportoimme niistä”, kertoo Badrapin perustaja Jani Kenttälä.

Mitä yrityksen digitaalisesta toimintaympäristöstä voidaan päätellä?

Yrityksen digitaalinen jalanjälki muodostuu internetiin näkyvistä palveluista, verkkotunnuksiin liittyvistä tiedoista, etäkäyttöratkaisuista ja muista teknisistä tunnisteista. Näiden perusteella ulkopuolinen pystyy muodostamaan varsin kattavan kuvan organisaation toimintaympäristöstä.

Julkinen näkyvyys ei ole ongelma itsessään. Monien palveluiden kuuluukin näkyä internetiin. Olennaista on tietää, mitä ympäristöstä näkyy, miksi se näkyy ja vastaako kokonaisuus organisaation tavoitteita.

Hyökkäyksiä tehdään yhä useammin automatisoidusti. Työkalut etsivät internetistä tunnettuja haavoittuvuuksia, avoimia palveluita ja puutteellisesti suojattuja yhteyksiä. Siksi oman digitaalisen toimintaympäristön tunteminen on entistä tärkeämpää.

”Kyberturvallisuudessa ei tarvitse juosta jokaisen uuden ilmiön perässä. Kun perusasiat ovat kunnossa, organisaatio pystyy vastaamaan sekä vanhoihin että uusiin uhkiin”, toteaa Jani.

Toimintavarmuus rakentuu hallitusta toimintaympäristöstä

Järjestelmien välinen tiedonsiirto on nykyisin olennainen osa lähes kaikkea liiketoimintaa. Kun tieto kulkee useiden palveluiden, pilvipalveluiden ja organisaatioiden välillä, myös tietoturvan ja kyberturvallisuuden ylläpidosta tulee jatkuva osa toimintavarmuutta.

Tietoturva ei rakennu yksittäisillä ratkaisuilla. Käyttöoikeuksien hallinta, järjestelmien väliset yhteydet, tiedon suojaaminen ja jatkuva seuranta muodostavat kokonaisuuden, joka tukee toimintavarmuutta.

Jarkko Vepsäläinen

”Pilvipalveluun siirtyminen ei poista organisaation vastuuta tietoturvasta. Vastuut muuttuvat, mutta ne eivät häviä mihinkään”, sanoo Jarkko Vepsäläinen, kasvujohtaja, Documtec.

Pilvipalvelu ei siirrä tietoturvavastuuta palveluntarjoajalle. Organisaatio vastaa edelleen esimerkiksi käyttöoikeuksien hallinnasta, tiedon suojaamisesta ja varmistuksista.

”Toimintavarmuus alkaa siitä, että ymmärretään, mitä järjestelmiä käytetään, miten ne liittyvät toisiinsa ja miten tieto liikkuu niiden välillä”, jatkaa Jarkko.

Kun järjestelmien väliset riippuvuudet ja tiedonkulku tunnetaan, myös muutoksia voidaan hallita paremmin. Samalla käyttöoikeuksien, integraatioiden, päivitysten ja järjestelmien elinkaaren hallinta tukevat sekä tietoturvaa että häiriötilanteista palautumista.

”Tietoturva ei pääty organisaation omiin järjestelmiin. Myös kumppaneiden käyttöoikeuksien, tunnistautumisen ja valvonnan on täytettävä samat vaatimukset”, muistuttaa Jarkko.

NIS2 korostaa jatkuvaa kehittämistä

Monessa organisaatiossa ensimmäiset NIS2-toimenpiteet on jo tehty. Seuraava vaihe on varmistaa, että toimintamallit, dokumentaatio ja tekniset ratkaisut pysyvät ajan tasalla toimintaympäristön muuttuessa. NIS2 korostaa jatkuvaa kehittämistä kertaluonteisten projektien sijaan.

”Kyberturvallisuudessa pääsee pitkälle huolehtimalla perusasioista. Henkilöstön osaaminen, järjestelmien ajantasaisuus ja toimittajiin liittyvien kyberriskien hallinta muodostavat perustan, jonka päälle myös uudet vaatimukset rakentuvat”, sanoo Jani.

NIS2

Jani korostaa myös kumppaniverkoston merkitystä: ”Toimittajien välillä on suuria eroja siinä, kuinka nopeasti tietoturvapoikkeamiin reagoidaan. Siksi myös kumppaneiden tietoturvaa kannattaa seurata jatkuvasti eikä pelkästään sopimusvaiheessa.”