.png)
Pirkanmaan Jätehuolto saavutti NIS2-vaatimustenmukaisuuden etuajassa ja rakensi samalla pysyvän sisäisen kyberturvallisuusosaamisen.
Vaatimukset täyttyvät jalkauttamalla digiturvatehtäviä.
Mitä kukin tekee digiturvan eteen?
Osa tehtävistä vaatii asioiden ohjeistamista henkilöstölle.
Mitä pitää muistaa arjessa?
Osa tehtävistä vaatii listausten pitoa tietoturvan ydinelementeistä.
Mistä pitää voida raportoida?
Pirkanmaan Jätehuolto on kunnallinen jätehuoltoyhtiö, joka toimii Pirkanmaan alueella. Osana kriittistä infrastruktuurisektoria yhtiö kohtasi kasvavaa sääntelypainetta EU:n NIS2-direktiivin myötä. IT-päällikkö Antti Pessinen johti hanketta, jonka tavoitteena oli varmistaa vaatimustenmukaisuus.
He tarvitsivat työkalun, joka auttaisi jäsentämään työn, rakentamaan sisäistä osaamista ja välttämään kriittisen ymmärryksen ulkoistamista. Tämä johti heidät Cyberdayn käyttäjiksi.
Kun NIS2-direktiivin soveltaminen heidän jätehuollon toimialaan varmistui, Pirkanmaan Jätehuolto ymmärsi tarvitsevansa paremman tavan hallita kyberturvallisuusvaatimuksia. He olivat tottuneet työskentelemään esimerkiksi ISO 14001 -standardin kanssa, mutta kybersääntely toi mukanaan uusia vaatimuksia.
Antti muistelee, että tiimi harkitsi aluksi useita eri työkaluja ja jopa konsultin käyttämistä:
“Katsoimme neljää tai viittä ratkaisua. Osa tarjosi vain tyhjän alustan ja listan vaatimuksia. Se ei riittänyt.”
Keskeistä ei ollut vain dokumentoida vaatimustenmukaisuutta, vaan ymmärtää se ja ylläpitää osaamista pitkällä aikavälillä. Tiimi halusi ratkaisun, joka ohjaisi tekemistä, kasvattaisi sisäistä asiantuntemusta ja auttaisi tuomaan kyberturvallisuuden osaksi jokapäiväisiä prosesseja.
Vaihtoehtojaan arvioituaan tiimi valitsi Cyberdayn ennen kaikkea sen rakenteen ja selkeyden vuoksi.
“Pidimme siitä, miten Cyberday ohjasi prosessia. Se ei oleta, että tiedät jo mitä tehdä, vaan auttaa oppimaan tekemisen kautta.”
Pirkanmaan Jätehuolto päätti toteuttaa projektin itse ulkoistamisen sijaan. Toteutus organisoitiin virallisena projektina, johon perustettiin sisäinen ohjausryhmä ja johdon edustus. Tämä varmisti sitoutumisen koko organisaatiossa ja teki hankkeesta näkyvän eri osastoille.
Jokaiselle viitekehyksen osalle nimettiin vastuuhenkilö. Tiimi halusi varmistaa, ettei kaikki vastuu kasaudu yhdelle henkilölle:
“Tämä ei ole yhden ihmisen tehtävä. Jokaisen täytyy tietää oma vastuunsa. Näin kyberturvallisuudesta tulee osa päivittäistä toimintaa.”
Cyberdayn sisäänrakennettu ohjeistus ja selkeä rakenne auttoivat viemään asioita eteenpäin vaiheittain. Ne tekivät myös henkilöstön mukaan ottamisesta helpompaa:
“Negatiivista palautetta on tullut hyvin vähän. Ohjeet ovat helppoja seurata ja sisältö on kirjoitettu selkeällä kielellä.”
Pirkanmaan Jätehuolto aloitti Cyberdayn käyttöönoton keväällä 2024 tavoitteena saavuttaa NIS2-vaatimustenmukaisuus 18. lokakuuta 2024 mennessä, jolloin EU-maiden tuli sisällyttää direktiivi kansalliseen lainsäädäntöön.
“Lokakuuhun mennessä olimme käytännössä valmiita, viimeistelimme enää muutamia yksityiskohtia.”
He eivät jääneet odottamaan, vaan ottivat Cyberdayn NIS2-kehyksen käyttöön ennakoivasti ja valmistautuivat tuleviin kansallisiin vaatimuksiin ajoissa. Tämä antoi heille etumatkaa muihin nähden. Kun kansallinen kyberturvallisuuskehys tuli saataville Cyberdayssa, tiimi otti sen heti käyttöön. Loput päivitykset, pääosin fyysiseen turvallisuuteen liittyvät, viimeisteltiin alkuvuonna 2025. Antin mukaan:
“Olemme nyt siinä pisteessä, että työ on tehty. Juhannukseen mennessä olemme täysin linjassa emmekä murehdi tulevasta.”
Cyberdaysta on sittemmin tullut heidän keskeinen työkalunsa paitsi NIS2:n, myös GDPR:n ja yleisen tietoturvadokumentaation hallintaan. He suunnittelevat myös siirtävänsä tietosuojadokumentaation Cyberdayhin ja korvaavansa vanhat järjestelmät.
He ovat lisäksi alkaneet käyttää Cyberdayn sisältöä henkilöstökoulutuksen pohjana, linkittämällä ohjeet ja vastuut oppimisympäristöön.
“Päivitetyt tietoturva- ja tietosuojapolitiikkamme perustuvat Cyberdayn avulla tehtyyn työhön. Se on tuonut selkeyttä koko organisaatioon.”
.svg)
Tietoturvatiimisi voi automatisoida riskinarviointeja ja yhdistää riskinhallintatoimet suoraan vaatimustenmukaisuusvaatimuksiin.
Sen sijaan, että joutuisit käsittelemään useita taulukkolaskentataulukoita ja asiakirjoja, alustamme avulla voit hallita kaikkia käytäntöjä, valvontatoimia ja tarkastusnäyttöä yhdessä paikassa.
.svg)
.svg)
Raporttien tuottaminen tarkastuksia ja sääntelyelimiä varten on nyt nopeaa ja automatisoitua, mikä vähentää hallinnollisia kuluja.
Antin mukaan sisäisesti tehty, ohjatulla tuella toteutettu lähestymistapa oli oikea valinta:
“Älä oikaise. Opit enemmän ja ymmärrät jokaisen vaatimuksen taustan, kun teet työn itse oikean tuen avulla.”
Hänen neuvonsa aloitteleville organisaatioille:
Suurin yllätys? Vaikka he tiesivät työn olevan merkittävä, arjen toimintatapojen muuttaminen yllätti silti:
“Tiesimme, että työtä riittää, ja silti se yllätti. Asioiden kirjaaminen on helppoa. Vaikeinta on muuttaa ne teoiksi. Mutta kun sen tekee, se jää pysyväksi.”
Cyberdayn avulla Pirkanmaan Jätehuolto teki vaatimustenmukaisuudesta yhteisen vastuun. He rakensivat ennakoivan järjestelmän, jota koko tiimi ymmärtää, ylläpitää ja omistaa.
Haluatko tehdä kyberturvallisuudesta osan arkea? Aloita Cyberdayn maksuton kokeilu jo tänään.
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
