Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

The organization should create and maintain a five-year planning cycle for conducting cyber security exercises. The plan ensures that incident response and continuity capabilities are regularly tested. It should be updated at least annually or following significant changes.

The plan should specify the schedule, types of exercises (e.g., tabletop, functional), scope, objectives, and participants for each exercise to ensure comprehensive testing over the five-year period. The exercises should cover at least the following key themes:

• Crisis management & coordination:
  • Testing the company's crisis management team.
  • Practicing procedures for coordinated preparedness.
  • Involving suppliers (especially those for critical IT systems) in incident handling.
• Operational & supply chain resilience:
  • Ensuring the continuation of operations.
  • Restoring supplies after a disruption.
  • Mobilizing extra resources and materials.
• Communication:
  • Managing internal and external communication.
  • Providing information to consumers.
  • Using alternative communication methods if primary channels fail.
• IT & cyber security:
  • Handling cyber threats and vulnerabilities.
  • Activating IT security services.
  • Practicing emergency procedures for isolating critical IT systems and switching to redundant systems.
  • Restoring systems from backups, including source code and data for custom software.
• Inter-organizational actions:
  • Acknowledging and confirming notifications about changes in the sector's emergency preparedness level.
  • Implementing emergency measures based on the preparedness level.
• Recovery:
  • Practicing the normalization process after emergency operations have concluded.

The organization should also prepare a formal exercise evaluation report for these exercises. This report must describe the trained exercise elements, the course of the exercise, lessons learned, relevant learning points, and planned follow-up actions with a timetable and internal responsibility allocation.

Organisaation olisi otettava toimittajat ja muut asiaankuuluvat kolmannet osapuolet mukaan häiriöiden hallintaprosessiin ja -suunnitteluun esimerkiksi seuraavin keinoin:

• Määritellään ja otetaan käyttöön säännöt, roolit ja protokollat, jotka koskevat häiriötilanteisiin reagoimista ja niistä toipumista koskevien toimien raportointia organisaation ja sen toimittajien välillä.
• Kriittisten toimittajien ottaminen mukaan säännöllisiin häiriötilanteiden torjuntaharjoituksiin ja simulaatioihin.
• Luodaan ja koordinoidaan kriisiviestintämenetelmät ja -käytännöt organisaation ja sen kriittisten toimittajien välille.
• Järjestetään kriittisten toimittajien kanssa yhteisiä oppimistilaisuuksia vaaratilanteiden jälkeen, jotta voidaan parantaa yhteisiä reagointivalmiuksia ja tarkentaa prosesseja tulevia vaaratilanteita varten.

Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:

• ihmishenkien ja terveyden suojelu
• keskeisimpien liiketoimintaprosessien turvaaminen
• asianmukaisen tietoturvan varmistaminen

kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.

On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.

Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.

Relevant persons are sufficiently familiar with the continuity plans related to their own activities and their more detailed contents, and are able to act accordingly.