Digiturvamallin sisältökirjasto

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

• Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
• Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
• Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

Auditoitu tietoturva syventää Ensisijaisen tietoturvan perusteiden sekä Laajennetun tietoturvan hallintakeinojen kokonaisuutta.

Kyberturvallisuuslaki säätää tietoturvatoimenpiteistä keskeisiksi tai tärkeiksi nimetyillä toimialoilla sekä kyberturvallisuutta koskevien riskien hallinnasta. Kyberturvallisuuslaki vie Suomessa täytäntöön NIS2 -direktiivin.

NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.

NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.

Legal Notice 71 of 2025, officially titled "Measures for a High Common Level of Cybersecurity Across the European Union (Malta) Order, 2025," is a Maltese law that transposes the EU's NIS2 Directive into national law. This legal instrument, also known as Subsidiary Legislation 460.41, broadens the scope of cybersecurity obligations across critical sectors, including energy, transport, health, manufacturing, and digital services.

It establishes a framework for the protection of network and information systems, emphasizing risk management, incident reporting, and governance. The law introduces stringent compliance requirements for essential and important entities, including registration, implementation of cybersecurity measures, and timely notification of cyber incidents. It also establishes a national CSIRT within the CIP Department to monitor cyber threats and vulnerabilities.

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.

Tämä taso sisältää MIL1-vaatimukset sekä muissa vaatimuskehikoissa esiintyvät toimenpiteet, tarjoten arviolta n. 50% kattavuuden koko kehikosta.

CIS18 kriittiset turvallisuusvalvontakeinot kattavat tietoturvan eri osa-alueet, kuten haavoittuvuuksien hallinnan, turvallisen konfiguroinnin, pääsynvalvonnan ja häiriöiden hallinnan. Kyseessä on kattava joukko ohjeita ja toimenpiteitä, jotka The Center for Internet Security on julkaissut. Kontrollit on suunniteltu korjaamaan ja ehkäisemään yleisiä haavoittuvuuksia ja tarjoamaan organisaatioille jäsennellyn tavan vahvistaa tietoturvaansa.

CIS18-kontrollit tunnettiin aiemmin nimellä SANS Critical Security Controls (SANS Top 20), ja nykyinen versio 8.1 on päivitetty vastaamaan kehittyviä alan standardeja ja kyberturvallisuusuhkia. Valvontakeinot ovat ohjeellinen, priorisoitu ja yksinkertaistettu joukko parhaita käytäntöjä, joita mikä tahansa organisaatio voi käyttää tietoturvakäytäntöjensä vahvistamiseen.

The Cyber Resilience Act is an EU regulation for improving cyber security and cyber resilience in the EU. It includes requirements for hardware and software products with digital elements.

The act seeks to make cybersecurity a core feature in the design, development, and maintenance of digital products. Beyond just the initial design, the framework emphasizes the importance of ongoing security measures such as timely updates, vulnerability management, and incident reporting.

Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.

• Tehtäviä ydintiimille liittyen palomuurihallintaan, salasana- ja laitehallinnan käytäntöihin sekä haittaohjelmasuojaukseen ja pääsynhallintaan.
• Ohjeita työntekijöille turvallisista salasanakäytännöistä ja muista tietoturvallisuuden perusteista.
• Dokumentaatiota digiturvan kannalta tärkeimmästä tieto-omaisuudesta (kuten tietojärjestelmistä ja laitteista).

CyberFundamentals vaatimuskehikon on luonut Centre for Cybersecurity Belgium. Se tarjoaa joukon konkreettisia toimenpiteitä, joilla voit suojata tietojasi, vähentää merkittävästi yleisimpien verkkohyökkäysten riskiä ja lisätä organisaatiosi kyberkestävyyttä. Vaatimuskehikko perustuu:

Kyberperusteet on jäsennetty neljään tasoon, joista seuraava taso sisältää joka kerta hieman enemmän toimenpiteitä kuin edellinen. Aloitustaso Small, jota seuraavat Basic, Important ja Essential. Essential-taso sisältää kaikki perustietoturvatoimenpiteet edellisistä tasoista ja esittelee edistyneempiä hallintakeinoja. Essential-taso on NIS2-direktiivin mukainen.

The Cyberbeveiligingswet (Cbw) or Cybersecurity Act is a Dutch law transposing the EU's NIS2 Directive into national law. It aims to strengthen the digital and economic resilience of the Netherlands by imposing cybersecurity obligations on essential and important entities.

These obligations include implementing risk management measures, reporting ICT incidents, and assessing supply chain risks. The law will replace the current Network and Information Systems Security Act (Wbni) once it enters into force.

The Cybersäkerhetslagen (CSL) is the Swedish implementation of the EU's NIS2 Directive, aimed at enhancing cybersecurity across the European Union. It introduces stricter requirements for risk management, incident reporting, and governance of cybersecurity measures.

The law applies to both public and private entities within essential and important sectors, including energy, transport, health, and digital infrastructure. It broadens the scope compared to the previous NIS Directive, encompassing more sectors and actors.

Compliance includes implementing adequate cybersecurity measures, reporting significant incidents within 24 hours, designating a cybersecurity contact point, and being subject to oversight and potential sanctions for non-compliance. The purpose of CSL is achieving a higher level of cybersecurity and better cooperation among member states.

Yksinkertaistettua tieto- ja viestintätekniikan riskienhallintaa koskevassa DORA RTS:ssä kuvataan keskeiset osatekijät, jotka rahoituslaitoksilla, joihin sovelletaan pienempää mittakaavaa, riskiä, kokoa ja monimutkaisuutta, on oltava käytössä riskienhallintaa varten.

Sidosorganisaatioiden on esimerkiksi ylläpidettävä vankkaa ja dokumentoitua tieto- ja viestintätekniikan riskienhallintakehystä, seurattava jatkuvasti kaikkien tieto- ja viestintätekniikkajärjestelmien turvallisuutta ja toimintaa, yksilöitävä keskeiset riippuvuussuhteet kolmannen osapuolen tieto- ja viestintätekniikkapalvelujen tarjoajiin ja minimoitava tieto- ja viestintätekniikkariskin vaikutus käyttämällä vankkoja, kestäviä ja ajan tasalla olevia suojauksia.

The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.

DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.

Digiturvamalli purkaa tietoturva- ja tietosuojavaatimukset selkeiksi tehtäviksi, jotka voidaan vastuuttaa ja näyttää yksiselitteisesti tehdyiksi.

Digiturvamalliin kerätään "todisteita" tehtävän toteuttamisesta, joka tarkoittaa joko suoraan Digiturvamalliin luotua dokumentaatiota, ohjeistuksia tai raportteja tai vapaita kuvauksia tehtävän toteutuksesta, kun varsinainen toteutus tapahtuu hallintajärjestelmän ulkopuolella.

Tutustu vapaasti Digiturvamallin tehtäväsisältöihin. Tehtävien sivulta löydät sekä tarkemman kuvauksen, liittyvät Digiturvamallin ominaisuudet sekä vaatimukset, joiden täyttämiseen tehtävä liittyy.

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Organisaation tilannetta kartoittava kysely sisältää hallinnollisen digitaalisen turvallisuuden tilaa koskevia väittämiä.

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

• Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
• Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
• Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

Auditoitu tietoturva syventää Ensisijaisen tietoturvan perusteiden sekä Laajennetun tietoturvan hallintakeinojen kokonaisuutta.

ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.

• Pilviympäristöön liittyvät tekniset tehtävät ja jaetut vastuut.
• Edistyksellisiä tehtäviä mm. virtualisoinnista ja pilvipalvelujen valvonnasta

ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.

• Henkilötietojen käsittelyyn liittyvät asiakirjat.
• Tehtävät liittyvät tarkoituksen, tietojen ja säilytyksen minimointiin.
• Tietoturvaan liittyvät edistyneet tehtävät henkilötietojen käsittelyn aikana.

ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27701 on tietosuojalaajennus ISO 27001 -standardiin. Vaatimuskehikon avulla olemassaoleva tietoturvan hallintajärjestelmä (ISMS) laajennetaan henkilötietojen käsittelyä ja suojaamista koskevilla vaatimuksilla tietosuojan hallintajärjestelmäksi (PIMS).

• Dokumentaatiota henkilötietojen käsittelyyn, siirtoihin ja luovutuksiin liittyen.
• Tehtäviä rekisteröityjen oikeuksiin sekä käsittelyn lainmukaisuuden varmistamiseen liittyen.
• Kehittyneitä tietosuojatehtäviä rekisterinpitäjille sekä käsittelijöille mm. oikeaoppisen suostumuksen sekä muiden täsmävaatimusten täyttämiseen liittyen.

Organisaatio voi hankkia sertifioinnin ISO 27701:n mukaiselle hallintajärjestelmälle. Koska vaatimuskehikko laajentaa ISO 27001 -standardia, sertifiointia tavoittelevalla organisaatiolla on oltava myös ISO 27001 -sertifikaatti.

Kyberturvallisuuslaki Decreto legislativo n. 138 toimeenpanee Euroopan unionin NIS2-direktiivin Italiassa. Siinä asetetaan vaatimuksia eri organisaatioille tietoturvariskien hallinnan vahvistamiseksi.

Laissa määritellään tietoturvan periaatteet sen soveltamisalaan kuuluville laitoksille ja säädetään lisävaatimuksista kansallisille ja kunnallisille toimijoille. Lisäksi säädetään erilaisista turvatoimista, lain vaatimusten noudattamisen valvonnasta ja täytäntöönpanotoimista.

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi kaikki turvallisuusluokitellun tiedon (TL IV, TL III, TL II tai TL I) erityiskriteerit.

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

• Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
• Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
• Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

• Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
• Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
• Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.

Kyberturvalaki eli Kibernetinio Saugumo Įstatymas toimeenpanee Euroopan unionin NIS2-lain Liettuassa. Siinä asetetaan erilaisille organisaatioille vaatimuksia, niiden kyberturvallisuusriskien hallinnan vahvistamiseksi.

Laissa perustetaan kyberturvallisuuden periaatteet soveltamisalaan kuuluville laitoksille ja asetetaan lisävaatimuksia kansallisille ja kunnallisille toimijoille. Lisäksi asetetaan organisaatioille velvoitteita koskien tietoturvatoimenpiteitä, lain vaatimustenmukaisuutta, sekä täytäntöönpanotoimia

Euroopan unionin NIS2-direktiivi on saatettu Belgiassa osaksi kansallista lainsäädäntöä NIS2-lain muodossa. Laki vastaa läheisesti EU:n NIS2-direktiiviä, ja siinä on vain pieniä kansallisia eroja. Se julkaistiin lakina, jolla luodaan puitteet yleisen edun mukaisten verkkojen ja tietojärjestelmien kyberturvallisuudelle yleisen turvallisuuden kannalta. Se velvoittaa ja määrittelee kyberturvallisuussäännöt Belgiassa rekisteröidyille yrityksille, jotka toimivat kriittisellä sektorilla.

Lain tavoitteena on vahvistaa tietoturvatoimenpiteitä, häiriötilanteiden hallintaa ja sellaisten organisaatioiden valvontaa, jotka tarjoavat palveluja, jotka ovat välttämättömiä kriittisten yhteiskunnallisten tai taloudellisten toimintojen ylläpitämiseksi. Lailla pyritään myös parantamaan julkisten politiikkojen koordinointia kyberturvallisuuden alalla. Belgian kyberturvallisuuskeskus (Centre for Cyber Security Belgium, CCB) on tarjonnut lisäksi CyberFundamentals-vaatimuskehikon, joka on yhdenmukainen NIS2-lain kanssa.

Ley de Coordinación y Gobernanza de la Ciberseguridad (Law on Cybersecurity Coordination and Governance) is a Spanish law designed to strengthen the protection of networks and information systems against cyber threats. It aims to transpose the NIS2 Directive into Spanish law, establishing a National Cybersecurity Center to coordinate cybersecurity activities and serve as the primary point of contact with the EU.

The law affects both public and private entities with tax residence in Spain or operating within the country, particularly those in critical sectors such as energy, transport, finance, health, and digital infrastructure. It mandates risk assessments, implementation of security measures, incident reporting, and the designation of an information security officer.

The Belgian Law of 1 July 2011 on the security and protection of critical infrastructures provides a preventive framework under which entities considered critical infrastructure are required to take protective measures to prevent damage. It partially transposes Directive 2008/114/EC concerning the identification and designation of European critical infrastructures and the assessment of the need to improve their protection.

The law designates the Centre de Crise as the national contact point for the protection of European critical infrastructures. Sectoral authorities are responsible for identifying critical infrastructure and determining internal security measures. The law applies to various sectors, including transportation, energy and finance.

The NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) is the German implementation law for the EU's NIS2 Directive. It aims to transpose the requirements of the NIS2 Directive into German national law, enhancing cybersecurity standards for a broader range of entities than previous regulations.

The law enforces stricter cybersecurity rules on operators of critical infrastructure, essential entities, and important entities. It also grants extended powers to national authorities for on-site inspections and data requests, and strengthens cooperation between member states on cybersecurity issues.

The National Institute of Standards and Technology (NIST) on uudistanut laajalti käytetyn kyberturvallisuuden vaatimuskehikkonsa (CSF). Uusi 2.0-versio on suunniteltu auttamaan kaikentyyppisiä organisaatioita saavuttamaan kyberturvallisuustavoitteensa, ja siinä painotetaan entistä enemmän hallintoa sekä toimitusketjuja. Päivitetyssä vaatimuskehikossa huomioidaan, että organisaatiot tulevat sen pariin erilaisin tarpein ja kokemuksin kyberturvallisuusvälineiden käyttöönotosta.

Päivitetty versio 2.0 on organisaation ensimmäinen merkittävä päivitys sen laajalti käytettyyn kyberturvallisuuden vaatimuskehikkoon sen julkaisemisen jälkeen. Tämä uudistus on monivuotisten keskusteluprosessien ja julkisten kommentien tulos, joiden tarkoituksena on tehdä kehyksestä tehokkaampi ja sopivampi kaikille yleisöille, toimialoille ja organisaatiotyypeille, kun taas alkuperäisessä CSF: ssä keskityttiin suoraan kriittiseen sektoriin. Vaatimuskehikon ydin on nyt järjestetty kuuden avaintoiminnon ympärille: Tunnistaminen, suojaaminen, havaitseminen, reagointi ja toipuminen sekä CSF 2.0: aan hiljattain lisätty Hallinto-toiminto. Yhdessä tarkasteltuna nämä toiminnot tarjoavat kattavan kuvan kyberturvallisuusriskien hallinnan koko elinkaaresta.

NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.

Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.

• Edistyneitä tehtäviä esim. riskien hallintaan ja häiriöiden havaitsemiseen, vastaamiseen ja palautumiseen.
• Edistynyttä dokumentaatiota tietoturvariskeistä
• Yleisiä tietoturvaohjeita työntekijöille, pääkäyttäjille, johdolle sekä muille sidosryhmille.

NCM ICT Security Principles on Norjan kansallisen turvallisuusviranomaisen (NSM) julkaisema ja ylläpitämä tieto- ja viestintätekniikan tietoturvaa koskeva kehys. Turvallisuusperiaatteissa neuvotaan yrityksiä ja organisaatioita, miten ne voivat suojata tietojärjestelmiään luvattomalta käytöltä, vahingoittumiselta tai väärinkäytöltä.

Periaatteissa keskitytään teknisiin ja organisatorisiin toimenpiteisiin. Fyysistä turvallisuutta ja inhimillistä näkökulmaa koskevia toimenpiteitä ei yleensä käsitellä. Toimenpiteitä sovelletaan sekä tahattomiin että tahallisiin tekoihin, vaikka pääpaino onkin tahallisissa teoissa.

Näissä puitteissa on 21 turvallisuusperiaatetta, joihin sisältyy yhteensä 118 turvatoimenpidettä, jotka jakautuvat neljään luokkaan: i) tunnistaminen, ii) suojaaminen ja ylläpito, iii) havaitseminen ja iv) reagointi ja palautus.

Euroopan unionin NIS2-direktiivi on toimeenpantu Latviassa "kansalliseksi kyberturvallisuuslaiksi". Sen tavoitteena on parantaa tieto- ja viestintätekniikan turvallisuutta, mukaan lukien olennaisten palvelujen ja tärkeiden palvelujen tarjoamista ja vastaanottamista sekä tieto- ja viestintätekniikan käyttöä koskevien vaatimusten asettaminen.

Laissa määritellään menettelyt kyberturvallisuuden varmistamiseksi, säädetään kansallisen kyberturvallisuuskeskuksen vastuunjaosta ja toimivallasta, yhteistyöpuitteista ja kyberturvallisuuden edistämistehtävistä. Tavoitteena on myös edistää tietoturvastoimenpiteiden toteuttamista siten, että tietoturvauhkia kyetään ennakoimaan ja ehkäisemään ajoissa sekä voittamaan kyberuhat ja poistamaan niiden seuraukset siten, että palvelujen luottamuksellisuuden, eheyden ja saatavuuden jatkuvuus varmistetaan mahdollisuuksien mukaan.

The Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) is the Austrian implementation of the EU's NIS2 Directive.

Ordonanța de Urgență a Guvernului nr. 155/2024 (OUG 155/2024) is a Romanian law that transposes the NIS2 Directive into national legislation. It establishes a legal and institutional framework for the cybersecurity of networks and information systems in the national civil cyberspace.

OUG 155/2024 aims to enhance Romania's resilience against cyber threats by implementing the NIS2 Directive, ensuring improved protection of critical infrastructure sectors. The ordinance applies to both public and private entities considered essential or important for national infrastructure, and it enforces measures for risk management, incident reporting, and security audits. It also mandates professional training for management bodies and outlines penalties for non-compliance.

Projet de loi n° 8364 is a Luxembourgish bill aimed at ensuring a high level of cybersecurity and implementing the NIS2 Directive. It revises the existing NIS1 law and expands the scope to include more entities, categorizing them as either 'essential' or 'important' based on their criticality and size.

The bill introduces updated standards for risk management and incident response, requiring covered businesses to implement measures to secure their supply chains, register with supervisory authorities (ILR or CSF), and provide cybersecurity training to their staff.

SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).

SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.

TISAX (Trusted Information Security Assessment Exchange) on yritysten tietoturvan arviointi- ja vaihtomekanismi, joka mahdollistaa arviointitulosten vertaamisen osallistujien kesken.

Tämä kehys sisältää TISAXin tietoturvavaatimukset, jotka ovat pakollisia kaikille TISAXin osallistujille. Kehystä voidaan laajentaa edelleen prototyyppisuojaus- ja tietosuojavaatimuksilla, jotka löytyvät laajennuskehikkoina.

The National Cyber Security Bill 2024 is an Irish bill that aims to transpose the EU's NIS2 Directive into Irish law. It establishes cybersecurity requirements for essential and important entities, designates competent authorities for supervision and enforcement, and puts the National Cyber Security Centre (NCSC) on a statutory footing.

The bill mandates robust risk management, incident reporting, and defines penalties for non-compliance, including potential suspension of business licenses and restrictions on management positions.

Tiedonhallintalautakunnan suositus, joka opastaa tiedonhallintalain asettamien tietoturvallisuuden vähimmäisvaatimusten täyttämisessä, jotka kaikkien julkishallinnon organisaatioiden tulee vähintään täyttää. Vähimmäisvaatimusten osana organisaatioiden tulee tunnistaa ja arvioida tietojenkäsittelyyn liittyvät riskit sekä toteuttaa toimenpiteet riskien pienentämiseksi hyväksyttävälle tasolle.

Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.

• Tiedonhallinnan ohjeet eri yksikköjen työntekijöille
• Tehtäviä liittyen tiedonhallinnan vastuuttamiseen, tiedonhallintamallin julkaisuun, muuhun raportointiin, arkistointiin sekä rajanpintojen hallintaan
• Dokumentaatiota toimintaprosesseista, tietojärjestelmistä, tietovarannoista, tietojen käsittelystä sekä näihin liittyvistä riskeistä

Voimassa olevan asiakastietolain mukaisesti kaikkien sosiaali- ja terveydenhuollon palvelunantajien on laadittava tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelma.

THL julkaisi vuonna 2020 uuden mallin tietoturvallisuuden ja tietosuojan omavalvontasuunnitelmasta. Omavalvontasuunnitelma tukee sote-palveluntuottajia tietoturvallisuuden ja tietosuojan suunnittelussa.

Palveluntuottaja pystyy suunnitelman avulla huomioimaan ja suunnittelemaan olennaiset tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön asiat.

Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.

• tietojärjestelmien käyttäjillä on oltava tarvittava koulutus
• tietojärejstelmien ylläpitoa toteuttaa vain henkilö, jolla on riittävä ammattitaitojärjestelmien käyttöohjeet on saatavilla
• tietojärjestelmät täyttävät tarkoituksen mukaiset olennaiset vaatimuksettietojärjestelmän tietoturva ja tietosuoja on varmistettava

Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.

• Tietosuojan ja henkilötietojen käsittelyn ohjeistukset henkilöstölle
• Informointiin, käsittelijöihin sekä loukkasten hallintaan liittyvät tehtävät
• Käsittelyprosessien, tietojen siirron ja vaikutusten arviointien dokumentointi

Kroatian NIS2-toimeenpano nimeltään Kyberturvallisuuslaki (Zakon o kibernetičkoj sigurnosti NN 14/2024) tuli voimaan helmikuussa 2024. Siinä määritellään kroatialaisia yrityksiä koskevat kyberturvallisuussäännöt samoin perustein kuin NIS2:ssa muutamin poikkeuksin. Sen on laatinut tietojärjestelmien turvallisuutta käsittelevä instituutti (ZSIS).

Lain tavoitteena on vahvistaa kyberturvallisuustoimenpiteitä, häiriötilanteiden hallintaa ja sellaisten yksiköiden valvontaa, jotka tarjoavat palveluja, jotka ovat välttämättömiä kriittisten yhteiskunnallisten tai taloudellisten toimintojen ylläpitämiseksi. Lailla pyritään myös parantamaan julkisten politiikkojen koordinointia kyberturvallisuuden alalla.

Η Ελλάδα έχει εφαρμόσει την οδηγία NIS2 της Ευρωπαϊκής Ένωσης με σκοπό την επίτευξη υψηλού επιπέδου ασφάλειας στον κυβερνοχώρο με τα ειδικά μέτρα ασφάλειας στον κυβερνοχώρο.

Με την εφαρμογή της οδηγίας NIS2, η Ελλάδα ενισχύει την ανθεκτικότητα της ψηφιακής της υποδομής και διασφαλίζει την ασφάλεια των πολιτών και των επιχειρήσεων στον κυβερνοχώρο.

The Cybersecurity Law of 2024 (N. 22(I)/2024), is the national law transposing both the EU NIS2 Directive (Directive (EU) 2022/2555) and the Critical Entities Resilience (CER) Directive (Directive (EU) 2022/2557) into Cypriot legislation.

This law aims to establish a high common level of cybersecurity and resilience for the nation. It significantly broadens the scope of regulated organizations compared to the original NIS directive, categorizing them as essential entities (EE) and important entities (IE) across various critical sectors.

The law includes comprehensive requirements for governance, cybersecurity risk management, and incident reporting. It also establishes the Digital Security Authority (DSA) as the national competent authority to supervise and enforce these regulations.

The Law for the Implementation of NIS2 in Bulgaria aims to transpose the EU's NIS2 Directive into national law. The NIS2 Directive (Directive (EU) 2022/2555) aims to harmonize cybersecurity standards across EU member states, introducing stricter requirements, expanding the scope of affected sectors, and imposing more serious sanctions for non-compliance.

The Bulgarian law will amend and supplement the existing Cybersecurity Act to align with NIS2. It introduces two categories of entities: 'essential' and 'important,' based on size and sectoral importance, covering a wider range of organizations than the original NIS directive. The law includes enhanced risk management obligations and stricter incident reporting duties.