Digiturvamallin sisältökirjasto

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

• Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
• Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
• Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

Auditoitu tietoturva syventää Ensisijaisen tietoturvan perusteiden sekä Laajennetun tietoturvan hallintakeinojen kokonaisuutta.

Kyberturvallisuuslaki säätää tietoturvatoimenpiteistä keskeisiksi tai tärkeiksi nimetyillä toimialoilla sekä kyberturvallisuutta koskevien riskien hallinnasta. Kyberturvallisuuslaki vie Suomessa täytäntöön NIS2 -direktiivin.

NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.

NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.

Vuoden 2025 oikeudellinen tiedonanto 71, viralliselta nimeltään "Measures for a High Common Level of Cybersecurity Across the European Union (Malta) Order, 2025", on Maltan laki, jolla EU:n NIS2-direktiivi saatetaan osaksi kansallista lainsäädäntöä. Tällä säädöksellä, joka tunnetaan myös nimellä Subsidiary Legislation 460.41, laajennetaan kyberturvallisuusvelvoitteiden soveltamisalaa kriittisillä aloilla, kuten energia-, liikenne-, terveys-, valmistus- ja digitaalipalveluissa.

Siinä luodaan puitteet verkko- ja tietojärjestelmien suojaamiselle, ja siinä korostetaan riskienhallintaa, vaaratilanteiden raportointia ja hallintoa. Laissa otetaan käyttöön tiukat vaatimusten noudattamista koskevat vaatimukset keskeisille ja tärkeille yksiköille, mukaan lukien rekisteröinti, kyberturvallisuustoimenpiteiden toteuttaminen ja oikea-aikainen ilmoittaminen verkkotapahtumista. Lailla perustetaan myös kansallinen CSIRT-tietoturvaryhmä tietoverkkouhkien ja -haavoittuvuuksien seurantaa varten CIP-osastoon.

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.

Tämä taso sisältää MIL1-vaatimukset sekä muissa vaatimuskehikoissa esiintyvät toimenpiteet, tarjoten arviolta n. 50% kattavuuden koko kehikosta.

CIS18 kriittiset turvallisuusvalvontakeinot kattavat tietoturvan eri osa-alueet, kuten haavoittuvuuksien hallinnan, turvallisen konfiguroinnin, pääsynvalvonnan ja häiriöiden hallinnan. Kyseessä on kattava joukko ohjeita ja toimenpiteitä, jotka The Center for Internet Security on julkaissut. Kontrollit on suunniteltu korjaamaan ja ehkäisemään yleisiä haavoittuvuuksia ja tarjoamaan organisaatioille jäsennellyn tavan vahvistaa tietoturvaansa.

CIS18-kontrollit tunnettiin aiemmin nimellä SANS Critical Security Controls (SANS Top 20), ja nykyinen versio 8.1 on päivitetty vastaamaan kehittyviä alan standardeja ja kyberturvallisuusuhkia. Valvontakeinot ovat ohjeellinen, priorisoitu ja yksinkertaistettu joukko parhaita käytäntöjä, joita mikä tahansa organisaatio voi käyttää tietoturvakäytäntöjensä vahvistamiseen.

The Cyber Resilience Act is an EU regulation for improving cyber security and cyber resilience in the EU. It includes requirements for hardware and software products with digital elements.

The act seeks to make cybersecurity a core feature in the design, development, and maintenance of digital products. Beyond just the initial design, the framework emphasizes the importance of ongoing security measures such as timely updates, vulnerability management, and incident reporting.

Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.

• Tehtäviä ydintiimille liittyen palomuurihallintaan, salasana- ja laitehallinnan käytäntöihin sekä haittaohjelmasuojaukseen ja pääsynhallintaan.
• Ohjeita työntekijöille turvallisista salasanakäytännöistä ja muista tietoturvallisuuden perusteista.
• Dokumentaatiota digiturvan kannalta tärkeimmästä tieto-omaisuudesta (kuten tietojärjestelmistä ja laitteista).

CyberFundamentals vaatimuskehikon on luonut Centre for Cybersecurity Belgium. Se tarjoaa joukon konkreettisia toimenpiteitä, joilla voit suojata tietojasi, vähentää merkittävästi yleisimpien verkkohyökkäysten riskiä ja lisätä organisaatiosi kyberkestävyyttä. Vaatimuskehikko perustuu:

Kyberperusteet on jäsennetty neljään tasoon, joista seuraava taso sisältää joka kerta hieman enemmän toimenpiteitä kuin edellinen. Aloitustaso Small, jota seuraavat Basic, Important ja Essential. Essential-taso sisältää kaikki perustietoturvatoimenpiteet edellisistä tasoista ja esittelee edistyneempiä hallintakeinoja. Essential-taso on NIS2-direktiivin mukainen.

Cyberbeveiligingswet (Cbw) eli kyberturvallisuuslaki on Alankomaiden laki, jolla EU:n NIS2-direktiivi saatetaan osaksi kansallista lainsäädäntöä. Sen tavoitteena on vahvistaa Alankomaiden digitaalista ja taloudellista kestävyyttä asettamalla kyberturvallisuusvelvoitteita keskeisille ja tärkeille yhteisöille.

Näihin velvollisuuksiin kuuluu riskinhallintatoimenpiteiden toteuttaminen, tieto- ja viestintätekniikkatapahtumista ilmoittaminen ja toimitusketjun riskien arviointi. Laki korvaa nykyisen verkko- ja tietojärjestelmien turvallisuutta koskevan lain (Wbni), kun se tulee voimaan.

Cybersäkerhetslagen (CSL) on EU:n NIS2-direktiivin ruotsalainen täytäntöönpano, jolla pyritään parantamaan kyberturvallisuutta koko Euroopan unionissa. Sillä otetaan käyttöön tiukemmat vaatimukset riskienhallinnalle, vaaratilanteiden raportoinnille ja kyberturvallisuustoimenpiteiden hallinnoinnille.

Lakia sovelletaan sekä julkisiin että yksityisiin yksiköihin keskeisillä ja tärkeillä aloilla, kuten energia-, liikenne-, terveys- ja digitaalisen infrastruktuurin aloilla. Se laajentaa soveltamisalaa edelliseen verkko- ja tietoturvadirektiiviin verrattuna ja kattaa useampia aloja ja toimijoita.

Vaatimusten noudattamiseen kuuluu riittävien kyberturvallisuustoimenpiteiden toteuttaminen, merkittävistä häiriötilanteista ilmoittaminen 24 tunnin kuluessa, kyberturvallisuuden yhteyspisteen nimeäminen sekä valvonta ja mahdolliset seuraamukset, jos säännöksiä ei noudateta. CSL:n tarkoituksena on saavuttaa korkeampi kyberturvallisuuden taso ja parempi yhteistyö jäsenvaltioiden välillä.

Yksinkertaistettua tieto- ja viestintätekniikan riskienhallintaa koskevassa DORA RTS:ssä kuvataan keskeiset osatekijät, jotka rahoituslaitoksilla, joihin sovelletaan pienempää mittakaavaa, riskiä, kokoa ja monimutkaisuutta, on oltava käytössä riskienhallintaa varten.

Sidosorganisaatioiden on esimerkiksi ylläpidettävä vankkaa ja dokumentoitua tieto- ja viestintätekniikan riskienhallintakehystä, seurattava jatkuvasti kaikkien tieto- ja viestintätekniikkajärjestelmien turvallisuutta ja toimintaa, yksilöitävä keskeiset riippuvuussuhteet kolmannen osapuolen tieto- ja viestintätekniikkapalvelujen tarjoajiin ja minimoitava tieto- ja viestintätekniikkariskin vaikutus käyttämällä vankkoja, kestäviä ja ajan tasalla olevia suojauksia.

The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.

DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.

Digiturvamalli purkaa tietoturva- ja tietosuojavaatimukset selkeiksi tehtäviksi, jotka voidaan vastuuttaa ja näyttää yksiselitteisesti tehdyiksi.

Digiturvamalliin kerätään "todisteita" tehtävän toteuttamisesta, joka tarkoittaa joko suoraan Digiturvamalliin luotua dokumentaatiota, ohjeistuksia tai raportteja tai vapaita kuvauksia tehtävän toteutuksesta, kun varsinainen toteutus tapahtuu hallintajärjestelmän ulkopuolella.

Tutustu vapaasti Digiturvamallin tehtäväsisältöihin. Tehtävien sivulta löydät sekä tarkemman kuvauksen, liittyvät Digiturvamallin ominaisuudet sekä vaatimukset, joiden täyttämiseen tehtävä liittyy.

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Organisaation tilannetta kartoittava kysely sisältää hallinnollisen digitaalisen turvallisuuden tilaa koskevia väittämiä.

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

• Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
• Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
• Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

Auditoitu tietoturva syventää Ensisijaisen tietoturvan perusteiden sekä Laajennetun tietoturvan hallintakeinojen kokonaisuutta.

ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.

• Pilviympäristöön liittyvät tekniset tehtävät ja jaetut vastuut.
• Edistyksellisiä tehtäviä mm. virtualisoinnista ja pilvipalvelujen valvonnasta

ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.

• Henkilötietojen käsittelyyn liittyvät asiakirjat.
• Tehtävät liittyvät tarkoituksen, tietojen ja säilytyksen minimointiin.
• Tietoturvaan liittyvät edistyneet tehtävät henkilötietojen käsittelyn aikana.

ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27701 on tietosuojalaajennus ISO 27001 -standardiin. Vaatimuskehikon avulla olemassaoleva tietoturvan hallintajärjestelmä (ISMS) laajennetaan henkilötietojen käsittelyä ja suojaamista koskevilla vaatimuksilla tietosuojan hallintajärjestelmäksi (PIMS).

• Dokumentaatiota henkilötietojen käsittelyyn, siirtoihin ja luovutuksiin liittyen.
• Tehtäviä rekisteröityjen oikeuksiin sekä käsittelyn lainmukaisuuden varmistamiseen liittyen.
• Kehittyneitä tietosuojatehtäviä rekisterinpitäjille sekä käsittelijöille mm. oikeaoppisen suostumuksen sekä muiden täsmävaatimusten täyttämiseen liittyen.

Organisaatio voi hankkia sertifioinnin ISO 27701:n mukaiselle hallintajärjestelmälle. Koska vaatimuskehikko laajentaa ISO 27001 -standardia, sertifiointia tavoittelevalla organisaatiolla on oltava myös ISO 27001 -sertifikaatti.

Kyberturvallisuuslaki Decreto legislativo n. 138 toimeenpanee Euroopan unionin NIS2-direktiivin Italiassa. Siinä asetetaan vaatimuksia eri organisaatioille tietoturvariskien hallinnan vahvistamiseksi.

Laissa määritellään tietoturvan periaatteet sen soveltamisalaan kuuluville laitoksille ja säädetään lisävaatimuksista kansallisille ja kunnallisille toimijoille. Lisäksi säädetään erilaisista turvatoimista, lain vaatimusten noudattamisen valvonnasta ja täytäntöönpanotoimista.

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi kaikki turvallisuusluokitellun tiedon (TL IV, TL III, TL II tai TL I) erityiskriteerit.

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

• Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
• Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
• Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

• Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
• Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
• Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.

Kyberturvalaki eli Kibernetinio Saugumo Įstatymas toimeenpanee Euroopan unionin NIS2-lain Liettuassa. Siinä asetetaan erilaisille organisaatioille vaatimuksia, niiden kyberturvallisuusriskien hallinnan vahvistamiseksi.

Laissa perustetaan kyberturvallisuuden periaatteet soveltamisalaan kuuluville laitoksille ja asetetaan lisävaatimuksia kansallisille ja kunnallisille toimijoille. Lisäksi asetetaan organisaatioille velvoitteita koskien tietoturvatoimenpiteitä, lain vaatimustenmukaisuutta, sekä täytäntöönpanotoimia

Euroopan unionin NIS2-direktiivi on saatettu Belgiassa osaksi kansallista lainsäädäntöä NIS2-lain muodossa. Laki vastaa läheisesti EU:n NIS2-direktiiviä, ja siinä on vain pieniä kansallisia eroja. Se julkaistiin lakina, jolla luodaan puitteet yleisen edun mukaisten verkkojen ja tietojärjestelmien kyberturvallisuudelle yleisen turvallisuuden kannalta. Se velvoittaa ja määrittelee kyberturvallisuussäännöt Belgiassa rekisteröidyille yrityksille, jotka toimivat kriittisellä sektorilla.

Lain tavoitteena on vahvistaa tietoturvatoimenpiteitä, häiriötilanteiden hallintaa ja sellaisten organisaatioiden valvontaa, jotka tarjoavat palveluja, jotka ovat välttämättömiä kriittisten yhteiskunnallisten tai taloudellisten toimintojen ylläpitämiseksi. Lailla pyritään myös parantamaan julkisten politiikkojen koordinointia kyberturvallisuuden alalla. Belgian kyberturvallisuuskeskus (Centre for Cyber Security Belgium, CCB) on tarjonnut lisäksi CyberFundamentals-vaatimuskehikon, joka on yhdenmukainen NIS2-lain kanssa.

Ley de Coordinación y Gobernanza de la Ciberseguridad (laki kyberturvallisuuden koordinoinnista ja hallinnoinnista) on espanjalainen laki, jonka tarkoituksena on vahvistaa verkkojen ja tietojärjestelmien suojaamista kyberuhkia vastaan. Sen tarkoituksena on saattaa NIS2-direktiivi osaksi Espanjan lainsäädäntöä ja perustaa kansallinen kyberturvallisuuskeskus, joka koordinoi kyberturvallisuustoimia ja toimii ensisijaisena yhteyspisteenä EU:hun.

Laki vaikuttaa sekä julkisiin että yksityisiin yhteisöihin, joiden verotuksellinen kotipaikka on Espanjassa tai jotka toimivat maassa, ja erityisesti niihin, jotka toimivat kriittisillä aloilla, kuten energia-, liikenne-, rahoitus-, terveys- ja digitaalisen infrastruktuurin alalla. Laki edellyttää riskinarviointeja, turvatoimenpiteiden toteuttamista, vaaratilanteiden raportointia ja tietoturvavastaavan nimeämistä.

Elintärkeiden infrastruktuurien turvallisuudesta ja suojaamisesta 1 päivänä heinäkuuta 2011 annetussa Belgian laissa säädetään ennaltaehkäisevistä puitteista, joiden mukaan elintärkeiksi infrastruktuureiksi katsottujen yksiköiden on toteutettava suojatoimenpiteitä vahinkojen estämiseksi. Lailla pannaan osittain täytäntöön direktiivi 2008/114/EY Euroopan elintärkeiden infrastruktuurien määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa niiden suojaamista.

Laissa nimetään Centre de Crise Euroopan elintärkeiden infrastruktuurien suojelun kansalliseksi yhteyspisteeksi. Alakohtaiset viranomaiset ovat vastuussa elintärkeiden infrastruktuurien tunnistamisesta ja sisäisistä turvatoimista. Lakia sovelletaan eri aloihin, kuten liikenteeseen, energiaan ja rahoitukseen.

NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2-UmsuCG) on EU:n NIS2-direktiivin täytäntöönpanolaki Saksassa. Sen tarkoituksena on saattaa NIS2-direktiivin vaatimukset osaksi Saksan kansallista lainsäädäntöä ja parantaa aiempaa sääntelyä laajemman joukon yhteisöjä koskevia kyberturvallisuusstandardeja.

Lailla pannaan täytäntöön tiukemmat kyberturvallisuussäännöt kriittisen infrastruktuurin, keskeisten yksiköiden ja tärkeiden yksiköiden ylläpitäjille. Lisäksi se antaa kansallisille viranomaisille laajemmat valtuudet paikan päällä tehtäviin tarkastuksiin ja tietopyyntöihin ja vahvistaa jäsenvaltioiden välistä yhteistyötä kyberturvallisuuskysymyksissä.

The National Institute of Standards and Technology (NIST) on uudistanut laajalti käytetyn kyberturvallisuuden vaatimuskehikkonsa (CSF). Uusi 2.0-versio on suunniteltu auttamaan kaikentyyppisiä organisaatioita saavuttamaan kyberturvallisuustavoitteensa, ja siinä painotetaan entistä enemmän hallintoa sekä toimitusketjuja. Päivitetyssä vaatimuskehikossa huomioidaan, että organisaatiot tulevat sen pariin erilaisin tarpein ja kokemuksin kyberturvallisuusvälineiden käyttöönotosta.

Päivitetty versio 2.0 on organisaation ensimmäinen merkittävä päivitys sen laajalti käytettyyn kyberturvallisuuden vaatimuskehikkoon sen julkaisemisen jälkeen. Tämä uudistus on monivuotisten keskusteluprosessien ja julkisten kommentien tulos, joiden tarkoituksena on tehdä kehyksestä tehokkaampi ja sopivampi kaikille yleisöille, toimialoille ja organisaatiotyypeille, kun taas alkuperäisessä CSF: ssä keskityttiin suoraan kriittiseen sektoriin. Vaatimuskehikon ydin on nyt järjestetty kuuden avaintoiminnon ympärille: Tunnistaminen, suojaaminen, havaitseminen, reagointi ja toipuminen sekä CSF 2.0: aan hiljattain lisätty Hallinto-toiminto. Yhdessä tarkasteltuna nämä toiminnot tarjoavat kattavan kuvan kyberturvallisuusriskien hallinnan koko elinkaaresta.

NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.

Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.

• Edistyneitä tehtäviä esim. riskien hallintaan ja häiriöiden havaitsemiseen, vastaamiseen ja palautumiseen.
• Edistynyttä dokumentaatiota tietoturvariskeistä
• Yleisiä tietoturvaohjeita työntekijöille, pääkäyttäjille, johdolle sekä muille sidosryhmille.

NCM ICT Security Principles on Norjan kansallisen turvallisuusviranomaisen (NSM) julkaisema ja ylläpitämä tieto- ja viestintätekniikan tietoturvaa koskeva kehys. Turvallisuusperiaatteissa neuvotaan yrityksiä ja organisaatioita, miten ne voivat suojata tietojärjestelmiään luvattomalta käytöltä, vahingoittumiselta tai väärinkäytöltä.

Periaatteissa keskitytään teknisiin ja organisatorisiin toimenpiteisiin. Fyysistä turvallisuutta ja inhimillistä näkökulmaa koskevia toimenpiteitä ei yleensä käsitellä. Toimenpiteitä sovelletaan sekä tahattomiin että tahallisiin tekoihin, vaikka pääpaino onkin tahallisissa teoissa.

Näissä puitteissa on 21 turvallisuusperiaatetta, joihin sisältyy yhteensä 118 turvatoimenpidettä, jotka jakautuvat neljään luokkaan: i) tunnistaminen, ii) suojaaminen ja ylläpito, iii) havaitseminen ja iv) reagointi ja palautus.

Euroopan unionin NIS2-direktiivi on toimeenpantu Latviassa "kansalliseksi kyberturvallisuuslaiksi". Sen tavoitteena on parantaa tieto- ja viestintätekniikan turvallisuutta, mukaan lukien olennaisten palvelujen ja tärkeiden palvelujen tarjoamista ja vastaanottamista sekä tieto- ja viestintätekniikan käyttöä koskevien vaatimusten asettaminen.

Laissa määritellään menettelyt kyberturvallisuuden varmistamiseksi, säädetään kansallisen kyberturvallisuuskeskuksen vastuunjaosta ja toimivallasta, yhteistyöpuitteista ja kyberturvallisuuden edistämistehtävistä. Tavoitteena on myös edistää tietoturvastoimenpiteiden toteuttamista siten, että tietoturvauhkia kyetään ennakoimaan ja ehkäisemään ajoissa sekä voittamaan kyberuhat ja poistamaan niiden seuraukset siten, että palvelujen luottamuksellisuuden, eheyden ja saatavuuden jatkuvuus varmistetaan mahdollisuuksien mukaan.

Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) on EU:n NIS2-direktiivin itävaltalainen täytäntöönpano.

Ordonanța de Urgență a Guvernului nr. 155/2024 (OUG 155/2024) on Romanian laki, jolla NIS2-direktiivi saatetaan osaksi kansallista lainsäädäntöä. Sillä luodaan oikeudellinen ja institutionaalinen kehys verkkojen ja tietojärjestelmien kyberturvallisuudelle kansallisessa siviiliverkkoavaruudessa.

OUG 155/2024:n tavoitteena on parantaa Romanian kestävyyttä kyberuhkia vastaan panemalla täytäntöön NIS2-direktiivi ja varmistamalla elintärkeiden infrastruktuurialojen parempi suojaus. Asetusta sovelletaan sekä julkisiin että yksityisiin yksiköihin, joita pidetään keskeisinä tai tärkeinä kansallisen infrastruktuurin kannalta, ja sillä pannaan täytäntöön riskinhallintaa, vaaratilanteiden raportointia ja tietoturvatarkastuksia koskevia toimenpiteitä. Lisäksi siinä säädetään hallintoelinten ammatillisesta koulutuksesta ja esitetään seuraamukset säännösten noudattamatta jättämisestä.

Projet de loi n° 8364 on luxemburgilainen lakiesitys, jonka tarkoituksena on varmistaa korkeatasoinen kyberturvallisuus ja panna täytäntöön NIS2-direktiivi. Sillä tarkistetaan nykyistä NIS1-lainsäädäntöä ja laajennetaan sen soveltamisalaa siten, että se kattaa useampia yhteisöjä, jotka luokitellaan kriittisyytensä ja kokonsa perusteella joko "olennaisiksi" tai "tärkeiksi".

Lakiehdotuksessa otetaan käyttöön riskinhallintaa ja häiriötilanteisiin reagoimista koskevat päivitetyt standardit, joissa edellytetään, että soveltamisalaan kuuluvat yritykset toteuttavat toimenpiteitä toimitusketjujensa turvaamiseksi, rekisteröityvät valvontaviranomaisille (ILR tai CSF) ja tarjoavat henkilöstölleen kyberturvallisuuskoulutusta.

SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).

SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.

TISAX (Trusted Information Security Assessment Exchange) on yritysten tietoturvan arviointi- ja vaihtomekanismi, joka mahdollistaa arviointitulosten vertaamisen osallistujien kesken.

Tämä kehys sisältää TISAXin tietoturvavaatimukset, jotka ovat pakollisia kaikille TISAXin osallistujille. Kehystä voidaan laajentaa edelleen prototyyppisuojaus- ja tietosuojavaatimuksilla, jotka löytyvät laajennuskehikkoina.

National Cyber Security Bill 2024 on irlantilainen lakiesitys, jonka tarkoituksena on saattaa EU:n NIS2-direktiivi osaksi Irlannin lainsäädäntöä. Siinä asetetaan kyberturvallisuusvaatimukset keskeisille ja tärkeille yhteisöille, nimetään toimivaltaiset viranomaiset valvontaa ja täytäntöönpanoa varten ja säädetään kansallisesta kyberturvallisuuskeskuksesta (NCSC) lakisääteinen perusta.

Lakiehdotuksessa edellytetään vankkaa riskinhallintaa ja vaaratilanteiden raportointia, ja siinä määritellään rangaistukset säännösten noudattamatta jättämisestä, mukaan lukien mahdollinen toimilupien peruuttaminen ja rajoitukset johtotehtävissä toimimiseen.

Tiedonhallintalautakunnan suositus, joka opastaa tiedonhallintalain asettamien tietoturvallisuuden vähimmäisvaatimusten täyttämisessä, jotka kaikkien julkishallinnon organisaatioiden tulee vähintään täyttää. Vähimmäisvaatimusten osana organisaatioiden tulee tunnistaa ja arvioida tietojenkäsittelyyn liittyvät riskit sekä toteuttaa toimenpiteet riskien pienentämiseksi hyväksyttävälle tasolle.

Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.

• Tiedonhallinnan ohjeet eri yksikköjen työntekijöille
• Tehtäviä liittyen tiedonhallinnan vastuuttamiseen, tiedonhallintamallin julkaisuun, muuhun raportointiin, arkistointiin sekä rajanpintojen hallintaan
• Dokumentaatiota toimintaprosesseista, tietojärjestelmistä, tietovarannoista, tietojen käsittelystä sekä näihin liittyvistä riskeistä

Voimassa olevan asiakastietolain mukaisesti kaikkien sosiaali- ja terveydenhuollon palvelunantajien on laadittava tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelma.

THL julkaisi vuonna 2020 uuden mallin tietoturvallisuuden ja tietosuojan omavalvontasuunnitelmasta. Omavalvontasuunnitelma tukee sote-palveluntuottajia tietoturvallisuuden ja tietosuojan suunnittelussa.

Palveluntuottaja pystyy suunnitelman avulla huomioimaan ja suunnittelemaan olennaiset tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön asiat.

Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.

• tietojärjestelmien käyttäjillä on oltava tarvittava koulutus
• tietojärejstelmien ylläpitoa toteuttaa vain henkilö, jolla on riittävä ammattitaitojärjestelmien käyttöohjeet on saatavilla
• tietojärjestelmät täyttävät tarkoituksen mukaiset olennaiset vaatimuksettietojärjestelmän tietoturva ja tietosuoja on varmistettava

Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.

• Tietosuojan ja henkilötietojen käsittelyn ohjeistukset henkilöstölle
• Informointiin, käsittelijöihin sekä loukkasten hallintaan liittyvät tehtävät
• Käsittelyprosessien, tietojen siirron ja vaikutusten arviointien dokumentointi

Kroatian NIS2-toimeenpano nimeltään Kyberturvallisuuslaki (Zakon o kibernetičkoj sigurnosti NN 14/2024) tuli voimaan helmikuussa 2024. Siinä määritellään kroatialaisia yrityksiä koskevat kyberturvallisuussäännöt samoin perustein kuin NIS2:ssa muutamin poikkeuksin. Sen on laatinut tietojärjestelmien turvallisuutta käsittelevä instituutti (ZSIS).

Lain tavoitteena on vahvistaa kyberturvallisuustoimenpiteitä, häiriötilanteiden hallintaa ja sellaisten yksiköiden valvontaa, jotka tarjoavat palveluja, jotka ovat välttämättömiä kriittisten yhteiskunnallisten tai taloudellisten toimintojen ylläpitämiseksi. Lailla pyritään myös parantamaan julkisten politiikkojen koordinointia kyberturvallisuuden alalla.

Η Ελλάδα έχει εφαρμόσει την οδηγία NIS2 της Ευρωπαϊκής Ένωσης με σκοπό την επίτευξη υψηλού επιπέδου ασφάλειας στον κυβερνοχώρο με τα ειδικά μέτρα ασφάλειας στον κυβερνοχώρο.

Με την εφαρμογή της οδηγίας NIS2, η Ελλάδα ενισχύει την ανθεκτικότητα της ψηφιακής της υποδομής και διασφαλίζει την ασφάλεια των πολιτών και των επιχειρήσεων στον κυβερνοχώρο.

Vuoden 2024 kyberturvallisuuslaki (N. 22(I)/2024) on kansallinen laki, jolla saatetaan sekä EU:n NIS2-direktiivi (direktiivi (EU) 2022/2555) että kriittisten yksiköiden häiriönsietokykyä koskeva direktiivi (direktiivi (EU) 2022/2557) osaksi Kyproksen lainsäädäntöä.

Lain tavoitteena on luoda kansakunnalle yhteinen korkea kyberturvallisuuden ja häiriönsietokyvyn taso. Se laajentaa merkittävästi säänneltyjen organisaatioiden soveltamisalaa verrattuna alkuperäiseen verkko- ja tietoturvadirektiiviin ja luokittelee ne keskeisiksi yhteisöiksi (EE) ja tärkeiksi yhteisöiksi (IE) eri kriittisillä aloilla.

Laki sisältää kattavat vaatimukset hallinnoinnista, kyberturvallisuusriskien hallinnasta ja vaaratilanteiden raportoinnista. Sillä perustetaan myös digitaalisen turvallisuuden viranomainen (Digital Security Authority, DSA) kansalliseksi toimivaltaiseksi viranomaiseksi, joka valvoo ja panee täytäntöön näitä säännöksiä.

Lailla NIS2:n täytäntöönpanosta Bulgariassa pyritään saattamaan EU:n NIS2-direktiivi osaksi kansallista lainsäädäntöä. NIS2-direktiivin (direktiivi (EU) 2022/2555) tavoitteena on yhdenmukaistaa kyberturvallisuusstandardit EU:n jäsenvaltioissa ottamalla käyttöön tiukemmat vaatimukset, laajentamalla asianomaisten alojen soveltamisalaa ja määräämällä vakavampia seuraamuksia noudattamatta jättämisestä.

Bulgarian lailla muutetaan ja täydennetään nykyistä kyberturvallisuuslakia NIS2:n mukaiseksi. Siinä otetaan käyttöön kaksi yhteisöjen luokkaa: Ne perustuvat kokoon ja alakohtaiseen merkitykseen ja kattavat laajemman joukon organisaatioita kuin alkuperäinen NIS-direktiivi. Laki sisältää tehostettuja riskinhallintavelvoitteita ja tiukempia velvollisuuksia raportoida vaaratilanteista.