Organisaation on luokiteltava sähköiset tietojärjestelmänsä perusluokkaan, merkittävään tai korkeaan turvallisuusluokkaan. Luokituksen on perustuttava järjestelmän eheyteen ja käytettävyyteen sekä sen käsittelemien tietojen luottamuksellisuus-, eheys- ja käytettävyysriskeihin.

Kullekin sähköiselle tietojärjestelmälle määritetyn turvallisuusluokan perusteella organisaation olisi määriteltävä ja toteutettava erityiset suojatoimenpiteet.

Organisaation olisi kirjattava sähköisen tietojärjestelmän turvallisuusluokituksen tulokset omaan rekisteriinsä tai sisäisiin sääntöihinsä. Organisaation johtaja on vastuussa siitä, että kirjatut tiedot ovat vaatimusten mukaisia, täydellisiä ja ajantasaisia.

Organisaation olisi tarkistettava sähköisten tietojärjestelmiensä turvallisuusluokitus dokumentoidusti vähintään joka toinen vuosi. Tarkastus on tehtävä välittömästi, jos sähköisen järjestelmän turvallisuuteen vaikuttava muutos tapahtuu.

The head of the organization is responsible for establishing a comprehensive information security management framework. This includes the mandatory registration of the organization with the cybersecurity authority (SZTFH), the classification of all electronic information systems into security levels (Basic, Significant, or High) and the formal appointment of a qualified Information Security Officer (ISO).

The organization's leadership should ensure security measures are proportionate to the identified risks and that an official Information Security Policy is issued and reviewed at least every two years. Management should also ensure at least 5% of IT development expenditure is dedicated to cybersecurity enhancements (where applicable) and that all staff, including leadership, undergo regular cybersecurity training to maintain organizational resilience.

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation olisi nimitettävä kyberturvallisuuspäällikkö, jonka rooli on riippumaton tietotekniikkatoimintojen ja -kehityksen hallintorakenteesta. Kyberturvallisuuspäällikön vastuualueet, valtuudet ja raportointilinjat olisi dokumentoitava virallisesti. Näin varmistetaan, että tietoturvapäätökset ovat puolueettomia eivätkä operatiiviset tai kehityspaineet vaaranna niitä.

Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.

Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.