Organisaation on suoritettava säännöllinen kyberturvallisuuden hallintajärjestelmänsä itsearviointi sen varmistamiseksi, että se on turvallisuusasiakirjojen mukainen ja että kyberturvallisuusriskien hallintatoimenpiteet on toteutettu tehokkaasti. Itsearviointi olisi suoritettava vähintään joka toinen vuosi tai merkittävän turvallisuusvälikohtauksen jälkeen.

Itsearviointiprosessi olisi dokumentoitava toistettavuuden varmistamiseksi, ja siihen olisi sisällyttävä seuraavat seikat:

• Sisäisten turvallisuusasiakirjojen noudattamisen tarkistaminen.
• kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanon ja tehokkuuden arviointi.

Itsearvioinnin tulosten perusteella:

• Jos organisaation todetaan olevan vaatimustenmukainen, on laadittava vaatimustenmukaisuusvakuutus, jossa esitetään yksityiskohtaisesti ne tekijät, jotka mahdollistavat arvioinnin toistettavuuden.
• Jos havaitaan vaatimustenvastaisuuksia, laaditaan vaatimustenvastaisuusilmoitus. Ilmoituksessa on ilmoitettava selkeästi havaitut noudattamatta jättämiset, ehdotetut menetelmät niiden korjaamiseksi ja niiden täytäntöönpanon määräajat.

Itsearviointi voidaan suorittaa osana organisaation sisäistä tarkastusohjelmaa.

Kansalliset kyberturvallisuusviranomaiset ylläpitävät Kyberturvallisuuden tietojärjestelmää, jonka avulla hallitaan velvollisia organisaatioita, vaaratilanteita ja riskinhallintatoimenpiteitä koskevia tietoja. Kyberturvallisuustietojärjestelmää koskevissa säännöksissä määriteltyihin vaatimuksiin perustuvan organisaation on rekisteröidyttävä tähän järjestelmään, ja sillä on oikeus tulla toimittamiensa tietojen käyttäjäksi.

Keskeisiä vaatimuksia ovat mm:

• Rekisteröityminen järjestelmän käyttäjäksi ja keskinäisten tiedonjakosopimusten toteuttaminen, myös ajantasaisten tietojen ylläpitäminen.
• Ilmoittaa kansalliselle kyberturvallisuuskeskukselle keskinäisistä sopimuksista tai irtisanomisista 20 työpäivän kuluessa.
• Ilmoittamaan kyberuhkatilanteista, läheltä piti -tilanteista ja uhkista kyberturvallisuustietojärjestelmään.
• Varmistetaan kansallisten kyberturvallisuuslakien noudattaminen ja vältetään operatiiviset riskit.

Kyberturvallisuuden tietojärjestelmän käytön hyödyt organisaatiolle:

• Pääsy ja käyttö kyberturvallisuustietojärjestelmän tietoihin, jotka liittyvät organisaation hallinnoituun verkkoon ja järjestelmiin
• Yhteistyö kansallisen kyberturvallisuuskeskuksen ja laitosten kanssa äärimmäisissä kyberuhkatilanteissa
• Saada reaaliaikaista tietoa vaaratilanteiden hallinnan ja varautumisen parantamiseksi.
• Vahvistaa organisaation riskienhallintaa järjestelmän tarjoamien työkalujen, palvelujen ja tietojen avulla.

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

• aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
• tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
• tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
• sidosryhmien antama palaute tietoturvasta
• riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.