Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut

ISO 27001
EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut
NIS2
EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut
Artikkelit
EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut

EU:n kyberturvallisuuden sääntely-ympäristö tiukkenee. Useiden uusien ja päivitettyjen vaatimuskehikkojen myötä organisaatioilta odotetaan aiempaa tiukempaa ja kattavampaa vaatimustenmukaisuutta.

Samalla moni organisaatio huomaa joutuvansa noudattamaan useampaa vaatimuskehikkoa yhtä aikaa. Organisaation voi käsitellä henkilötietoja (GDPR), tuottaa digitaalisia palveluita (NIS2), toimia finanssialalla (DORA) ja käyttää kytkettyjä tuotteita (CRA). Tämä tuo mukanaan monimutkaisuutta – erityisesti, kun kehikot limittyvät esimerkiksi riskienhallinnan, poikkeamien käsittelyn tai hallintomallien osalta.

Tässä artikkelissa keskitytään EU:n kannalta keskeisimpiin kyberturvallisuuden vaatimuskehikkoihin: NIS2, DORA, GDPR ja CRA, sekä vapaaehtoiseen mutta suosittuun vaatimuskehikkoon ISO 27001.

Käymme läpi, ketä kukin vaatimuskehikko koskee, mitä ne vaativat, miten ne linkittyvät toisiinsa – ja miten niitä voi hallita tehokkaasti Digiturvamallin avulla.

Jos mietit, mihin keskittyä, mitkä vaatimukset ovat lakisääteisiä ja miten eri kehikot tukevat toisiaan, tämä artikkeli on sinua varten.

EU-alueen keskeiset vaatimuskehikot ja sääntelyt

Alla nopea vertailu keskeisistä kyberturvallisuuden vaatimuskehikoista EU:ssa – mitä ne painottavat, ovatko ne pakollisia ja mitä ne tyypillisesti edellyttävät organisaatioilta.

Vaatimuskehikko Kohde Pakollinen? Vaatimukset
NIS2 Kriittinen infrastruktuuri ja digitaaliset palvelut ✅ Kyllä Riskienhallinta, poikkeamailmoitukset, hallintovastuut
GDPR Kaikki toimialat (henkilötiedot) ✅ Kyllä Tietojen lainmukainen käsittely, tietosuojavastaava, tietoturvaloukkaukset, rekisteröidyn oikeudet
DORA Rahoitusala ✅ Kyllä ICT-riskienhallinta, poikkeamien luokittelu, palautumisen testaus
Cyber Resilience Act Digitaaliset tuotteet, kytketyt laitteet ✅ Kyllä Turvallinen kehitys, haavoittuvuuksien hallinta, elinkaaripäivitykset
ISO 27001 Kaikki toimialat ❌ Ei (vapaaehtoinen) ISMS, riskien käsittely, liitteen A hallintakeinot, jatkuva parantaminen

NIS2 (Network and Information Security Directive 2)

NIS2-direktiivi on EU:n keskeinen kyberturvallisuusvaatimus kriittisille ja tärkeille toimialoille. Se laajentaa merkittävästi alkuperäisen NIS-direktiivin soveltamisalaa, tuoden tiukemmat vaatimukset ja laajemman alan kattavuuden.

Ketä NIS2 koskee?

NIS2 koskee sekä olennaisia että tärkeitä toimijoita esimerkiksi energia-, liikenne-, terveys-, ICT-palvelu-, digitaalisen infrastruktuurin, jätehuollon ja julkishallinnon aloilla.

Yleisesti vaatimus koskee organisaatioita, joilla on yli 50 työntekijää tai yli 10 miljoonan euron liikevaihto. Myös pienemmät toimijat voivat kuulua soveltamisalaan, jos ne tarjoavat yhteiskunnallisesti tai taloudellisesti keskeisiä palveluita.

Täältä voit lukea tarkemman kuvauksen NIS2:n soveltamisalasta.

Mitä NIS2 vaatii?

Organisaatioiden on otettava käyttöön riskienhallintaan ja hallintoon liittyviä toimintamalleja kyberuhkien torjumiseksi. Keskeisiä vaatimuksia ovat:

  • Riskienhallintatoimet, kuten politiikat, menettelyt ja tekniset kontrollit
  • Poikkeamailmoitukset 24 tunnin sisällä merkittävästä tapahtumasta
  • Säännölliset auditoinnit ja haavoittuvuusarvioinnit
  • Toimitusketjun riskien hallinta
  • Selkeä vastuunjako: ylimmän johdon on vastattava tietoturvasta

Miksi NIS2 on tärkeä?

NIS2 on EU:n laajuinen ja lakisääteinen vaatimus, joka tuo aiempaa korkeammat odotukset — ja rangaistukset. Vaatimusten laiminlyönti voi johtaa merkittäviin sakkoihin ja jopa henkilökohtaiseen vastuuseen yritysjohdolle.

Direktiivin tavoitteena on yhtenäistää EU-maiden kyberturvallisuusvalmiudet ja vahvistaa viranomaisten välistä yhteistyötä.

Miten NIS2 liittyy muihin kehikkoihin?

Monet NIS2:n vaatimuksista ovat linjassa ISO 27001 -standardin kanssa, erityisesti riskienhallinnan, hallinnon ja poikkeamien käsittelyn osalta. Jos organisaatiosi jo noudattaa ISO 27001:ää, on suuri osa vaatimuksista jo hoidossa – täysi ISO 27001 -yhteensopivuus kattaa noin 80 % NIS2-vaatimuksista.

NIS2 liittyy vahvasti myös DORAan rahoitussektorilla ja GDPR:ään henkilötietojen käsittelyn poikkeamien osalta.

Mitä vastaavia sääntelyjä on EU:n ulkopuolella?

Yhdysvalloissa vastaava kehikko on NIST Cybersecurity Framework ja Isossa-Britanniassa NIS Regulations, joka jatkaa erillistä mutta samansuuntaista linjaa Brexitin jälkeen.

Mikä on NIS2:n aikataulu?

Direktiivi astui voimaan tammikuussa 2023, ja EU-jäsenmaiden on saatettava se osaksi kansallista lainsäädäntöään 17.10.2024 mennessä. Tämän jälkeen organisaatioiden odotetaan olevan välittömästi vaatimusten mukaisia.

Onko NIS2 mukana Digiturvamallissa?

Kyllä. Digiturvamallin ISMS tukee NIS2-vaatimuksia täysin — sisältäen tehtävät, dokumenttipohjat ja auditointivalmiuden. Suuri osa asiakkaistamme toimii NIS2-toimialoilla tai toimittaa palveluita organisaatioille, jotka kuuluvat NIS2:n piiriin. Tämän takia yli 70 % Digiturvamallin käyttäjistä hyödyntää NIS2-kehikkoa.

GDPR (General Data Protection Regulation)

Yleinen tietosuoja-asetus (GDPR) on EU:n keskeinen sääntely henkilötietojen yksityisyyden ja turvallisuuden varmistamiseksi. Se määrittää, miten organisaatioiden on käsiteltävä henkilötietoja — riippumatta siitä, sijaitseeko organisaatio EU:ssa vai käsitteleekö se EU-kansalaisten tietoja.

Ketä GDPR koskee?

GDPR koskee kaikkia organisaatioita – toimialasta tai koosta riippumatta – jotka keräävät tai käsittelevät EU-kansalaisten henkilötietoja. Tämä sisältää myös EU:n ulkopuoliset yritykset, jos ne kohdistavat palvelunsa EU:n alueelle tai seuraavat EU-käyttäjiä (esim. verkkosivustojen, sovellusten tai palveluiden kautta).

Mitä GDPR vaatii?

GDPR määrittää tarkat periaatteet ja rekisteröidyn oikeudet henkilötietojen käsittelyyn liittyen. Keskeisiä vaatimuksia ovat:

  • Laillinen käsittelyperuste henkilötiedoille
  • Rekisteröidyn oikeudet (esim. pääsy, oikaisu, poistaminen)
  • Tietosuojan sisäänrakentaminen ja oletusarvoinen tietosuoja
  • Tietosuojavastaavan (DPO) nimittäminen tarvittaessa
  • Pakollinen tietoturvaloukkausten ilmoittaminen 72 tunnin sisällä
  • Käsittelytoimien kirjaaminen (ROPA)

Miksi GDPR on tärkeä?

GDPR on pakollinen koko EU:ssa ja toimii kansainvälisesti yksityisyydensuojan mittapuuna. Rikkomuksista voidaan määrätä jopa 20 miljoonan euron sakot tai 4 % maailmanlaajuisesta liikevaihdosta — riippuen siitä, kumpi on suurempi.

GDPR:n noudattaminen parantaa myös asiakas- ja kumppanuussuhteita läpinäkyvän tietokäytännön kautta.

Miten GDPR liittyy muihin kehikkoihin?

GDPR limittyy NIS2-direktiivin kanssa, kun henkilötietoja on osallisena tietoturvaloukkauksessa. Se on myös linjassa ISO 27001 -standardin kanssa esimerkiksi käyttöoikeuksien hallinnan, riskien arvioinnin ja poikkeamien käsittelyn osalta.

DORAa, CRA:ta tai muita kehikkoja noudattavat organisaatiot kohtaavat usein samankaltaisia vaatimuksia tietoturvahallinnassa ja poikkeamailmoituksissa.

Mitä vastaavia sääntelyjä on EU:n ulkopuolella?

Useat maat ovat säätäneet GDPR:n kaltaisia lakeja, kuten:

  • CCPA/CPRA (Kalifornia, USA)
  • LGPD (Brasilia)
  • PIPEDA (Kanada)

Näissä on samankaltaisia periaatteita, kuten rekisteröidyn oikeudet ja läpinäkyvyys, mutta ne ovat usein lievempiä kuin GDPR.

Mikä on GDPR:n aikataulu?

GDPR tuli voimaan 25.5.2018. Vaatimustenmukaisuus on jatkuvaa ja odotetaan alkavan heti, kun organisaatio alkaa käsitellä EU-kansalaisten henkilötietoja.

Onko GDPR mukana Digiturvamallissa?

Kyllä. Digiturvamalli tukee GDPR:n vaatimuksia täysin – valmiiden tehtävien, dokumenttipohjien ja riskikartoitusten avulla. GDPR on toiseksi yleisin kehikko Digiturvamallin asiakkailla: yli 75 % käyttää sitä.

Se koskee käytännössä kaikkia, ja monet hyödyntävät sitä muiden kehikkojen rinnalla – mikä selittää sen laajan käytön, vaikka se harvoin toimii yksinään päätason kehikkona.

DORA (Digital Operational Resilience Act)

DORA on EU:n kyberturvallisuussääntely, joka on suunnattu nimenomaan finanssisektorille. Sen tavoitteena on varmistaa, että rahoitusalan toimijat kestävät ja toipuvat toiminnan häiriöistä – erityisesti ICT-riskeistä johtuvista.

Ketä DORA koskee?

DORA koskee lähes kaikkia EU:ssa toimivia finanssialan organisaatioita, mukaan lukien:

  • Pankit ja luottolaitokset
  • Vakuutus- ja jälleenvakuutusyhtiöt
  • Sijoitusyhtiöt ja varainhoitajat
  • Kryptopalveluntarjoajat
  • Maksulaitokset ja sähköisen rahan tarjoajat
  • Keskeiset kolmannet osapuolet ICT-palveluissa (esim. pilvipalveluntarjoajat)

Jos organisaatiosi kuuluu finanssiekosysteemiin, DORA koskee todennäköisesti teitä.

Mitä DORA vaatii?

DORA määrittelee selkeät säännöt ICT-riskien hallintaan. Keskeiset vaatimukset ovat:

  • Vahva ICT-riskienhallinnan viitekehys
  • ICT-häiriöiden luokittelu ja raportointi
  • Jatkuva digitaalisen toimintakyvyn testaaminen
  • Kolmansien osapuolien riskienhallinta ICT-palveluissa
  • Johdon selkeät vastuut ja roolit

Miksi DORA on tärkeä?

DORA on pakollinen kaikille soveltamisalaan kuuluville finanssitoimijoille ja nostaa merkittävästi vaatimustasoa. Se tukee EU:n tavoitetta vahvistaa rahoitusjärjestelmän kykyä ehkäistä ja käsitellä kyberhäiriöitä. Vaatimustenmukaisuus on edellytys toimiluvan säilyttämiselle ja sakkojen välttämiselle.

Miten DORA liittyy muihin kehikkoihin?

DORA limittyy NIS2:n kanssa kriittisen ICT-infrastruktuurin ja poikkeamien käsittelyn osalta. Se jakaa myös paljon yhteistä ISO 27001:n kanssa riskienhallinnan pohjarakenteissa. Jos organisaatiossasi noudatetaan jo ISO- tai NIS2-vaatimuksia, moni perusasia on jo kunnossa. GDPR liittyy mukaan tilanteissa, joissa poikkeamat koskettavat henkilötietoja.

Mitä vastaavia sääntelyjä on EU:n ulkopuolella?

Lähin vastaava sääntely on Yhdysvaltojen SEC Cybersecurity Rule finanssialalle. DORA muistuttaa myös New Yorkin NYDFS Cybersecurity Regulation -vaatimuksia sekä nousevia vaatimuksia Aasiassa ja Isossa-Britanniassa.

Mikä on DORA:n aikataulu?

DORA tuli voimaan tammikuussa 2023. Kaikkien finanssialan toimijoiden on oltava täysin vaatimusten mukaisia 17.1.2025 mennessä. Käyttöönotto kannattaa olla jo käynnissä.

Onko DORA mukana Digiturvamallissa?

Kyllä. DORA on saatavilla omana vaatimuskehikkonaan Digiturvamallissa — sisältäen tehtävät, politiikkapohjat ja dokumentointityökalut rahoitusalan vaatimusten täyttämiseen. Finanssisektorin toimijat ja heidän ICT-palveluntarjoajansa muodostavat merkittävän asiakaskunnan Digiturvamallissa, ja noin 20 % asiakkaista käyttää DORA-kehikkoa.

Cyber Resilience Act (CRA)

Cyber Resilience Act on EU:n sääntely, joka keskittyy digitaalisten tuotteiden kyberturvallisuuden parantamiseen. Sen tavoitteena on varmistaa, että EU-markkinoille tulevat laitteet ja ohjelmistot sisältävät sisäänrakennettuja tietoturvaominaisuuksia ja että niiden turvallisuudesta huolehditaan koko elinkaaren ajan.

Ketä CRA koskee?

CRA koskee valmistajia, maahantuojia ja jakelijoita, jotka tuovat markkinoille digitaalisia elementtejä sisältäviä tuotteita, kuten:

  • Ohjelmistosovellukset
  • Kytketyt laitteet (IoT)
  • Käyttöjärjestelmät
  • Teollisuuden ohjausjärjestelmät
  • Sulautettu ohjelmisto laitteissa

Tuotteet, joita jo säännellään muilla EU-laeilla (esim. lääkinnälliset laitteet, ajoneuvot, ilmailulaitteet), eivät kuulu CRA:n piiriin. Jos organisaatiosi kehittää, myy tai jakelee digitaalisia tuotteita EU:ssa, CRA koskee todennäköisesti teitä.

Mitä CRA vaatii?

CRA asettaa kyberturvallisuusvelvoitteita koko tuotteen elinkaaren ajalle. Keskeisiä vaatimuksia ovat:

  • Turvallinen kehitys ja oletusarvoinen tietoturva ("secure by design and default")
  • Dokumentoitu haavoittuvuuksien hallintaprosessi
  • Poikkeamailmoitukset, kun haavoittuvuutta hyödynnetään aktiivisesti
  • Jatkuvat tietoturvapäivitykset ja tuotetuki
  • Tekninen dokumentaatio, joka osoittaa vaatimustenmukaisuuden

Tietyt "kriittiset" tuoteryhmät on arvioitava kolmannen osapuolen toimesta, kun taas muut tuotteet voidaan ilmoittaa vaatimustenmukaisiksi itse.

Miksi CRA on tärkeä?

CRA on pakollinen ja tuo mukanaan oikeudellisen vastuun epävarmoista tuotteista. Se siirtää kyberturvallisuusvastuun tuottajille — jo kehityksen alusta alkaen. Tavoitteena on vähentää heikosti suojattujen digitaalisten työkalujen EU-laajuista riskiä ja luoda markkinapaine turvallisempaan innovointiin.

Miten CRA liittyy muihin kehikkoihin?

CRA jakaa vaatimuksia ISO 27001:n kanssa turvallisen kehityksen, haavoittuvuuksien hallinnan ja poikkeamien käsittelyn osalta. Se liittyy myös NIS2-direktiiviin, jos digitaaliset tuotteet kuuluvat kriittiseen infrastruktuuriin, sekä DORAan rahoitussektorilla.

GDPR:n tapaan CRA edellyttää poikkeamailmoituksia – mutta tuoteturvallisuuden näkökulmasta.

Mitä vastaavia sääntelyjä on EU:n ulkopuolella?

  • US IoT Cybersecurity Improvement Act (julkishallinnon hankinnat)
  • UK PSTI Act (Product Security and Telecommunications Infrastructure Act)
  • Erilaiset kansainväliset standardit turvallisesta ohjelmistokehityksestä ja tuotelabelöinnistä

Mikä on CRA:n aikataulu?

CRA astui voimaan 10.12.2024. Suurin osa velvoitteista tulee voimaan 11.12.2027. Valmistajien ja jakelijoiden kannattaa jo nyt arvioida, mitä tuotteita sääntely koskee ja valmistella tarvittava tekninen dokumentaatio ajoissa.

Onko CRA mukana Digiturvamallissa?

Ei vielä – mutta tulossa pian. Digiturvamalliin on rakenteilla täysi tuki CRA:lle. Tämä sisältää tehtävät ja kontrollit haavoittuvuuksien hallintaan, poikkeamailmoituksiin, turvallisiin kehityskäytäntöihin ja tekniseen dokumentointiin. Vaatimuskehikko julkaistaan ennen velvoitteiden voimaantuloa, jotta organisaatiot ehtivät valmistautua hyvissä ajoin ennen vuoden 2027 määräaikaa.

ISO 27001 (Tietoturvallisuuden hallintajärjestelmä)

ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmille (ISMS). Toisin kuin EU-sääntelyt, se ei ole pakollinen, mutta sitä käytetään laajasti eri toimialoilla osoittamaan vahvaa tietoturvatoimintaa ja tukemaan muiden sääntelyvaatimusten täyttämistä.

Ketä ISO 27001 koskee?

ISO 27001 on vapaaehtoinen, mutta hyödyllinen kaikille organisaatioille – pienistä suuriin – jotka haluavat hallita tietoturvaa systemaattisesti. Se on erityisen hyödyllinen organisaatioille, joiden pitää osoittaa tietoturva-asiat asiakkaille tai kumppaneille.

Mitä ISO 27001 vaatii?

Standardi määrittelee rakenteellisen lähestymistavan tietoturvariskien tunnistamiseen, hallintaan ja vähentämiseen. Keskeisiä vaatimuksia ovat:

  • Muodollinen tietoturvallisuuden hallintajärjestelmä (ISMS)
  • Riskien arviointi ja käsittelysuunnitelma
  • Selkeät tietoturvatavoitteet ja -politiikat
  • Roolien ja vastuiden määrittely
  • Liitteen A (päivitetty vuonna 2022) kontrollien käyttöönotto
  • Sisäiset auditoinnit ja jatkuva parantaminen

Organisaatio voi sertifioitua ISO 27001 -standardin mukaiseksi läpäisemällä virallisen auditoinnin.

Miksi ISO 27001 on tärkeä?

Vaikka se ei ole lakisääteinen, ISO 27001 on usein tietoturvan "kultainen standardi". Sitä arvostetaan maailmanlaajuisesti ja se on usein vaatimuksena B2B-kaupoissa, hankintaprosesseissa ja toimittaja-arvioinneissa.

Lisäksi ISO 27001 auttaa valmistautumaan lakisääteisiin vaatimuksiin, kuten NIS2, DORA ja GDPR, sillä se kattaa monia samoja valvonta-alueita.

Miten ISO 27001 liittyy muihin kehikkoihin?

ISO 27001 tarjoaa rakenteen tietoturvan hallintaan, joten sen kanssa on paljon päällekkäisyyksiä:

  • NIS2 – riskienhallinta, hallinto, poikkeamien käsittely
  • DORA – ICT-riskit ja operatiivinen palautumiskyky
  • GDPR – käyttöoikeuksien hallinta, tietoturvaloukkaukset
  • CRA – turvallinen kehitys, haavoittuvuuksien hallinta

ISO 27001:n käyttöönotto helpottaa monen kehikon yhtäaikaista hallintaa.

Mitä vastaavia sääntelyjä on EU:n ulkopuolella?

ISO 27001 on kansainvälinen standardi, joten suoraa vastinetta ei ole. Se kuitenkin vastaa hyvin esimerkiksi:

  • NIST Cybersecurity Framework (USA)
  • SOC 2 (palveluntarjoajille USA:ssa)

Mikä on ISO 27001:n aikataulu?

Standardi ei ole sidottu määräaikaan — organisaatio voi ottaa sen käyttöön ja sertifioitua omaan tahtiin. Kuitenkin organisaatioiden, jotka käyttävät vielä vuoden 2013 versiota, on siirryttävä vuoden 2022 versioon lokakuuhun 2025 mennessä, jotta sertifiointi pysyy voimassa.

Onko ISO 27001 mukana Digiturvamallissa?

Kyllä. Digiturvamalli tukee koko ISO 27001:2022 -standardia — mukaan lukien päivitetyt liitteen A kontrollit, tarvittavat dokumentaatiot ja sisäisen auditoinnin seurannan. Yli 600 organisaatiota käyttää ISO 27001 -kehikkoa Digiturvamallissa, tehden siitä suosituimman vaatimuskehikon palvelussa.

Muita merkittäviä sääntelyjä EU:ssa

Seuraavat sääntelyt eivät ole tämän artikkelin pääkohteita, mutta ne liittyvät kyberturvallisuuteen ja voivat vaikuttaa organisaation vaatimuksiin.

EU AI Act

EU:n tekoälyasetus (AI Act) säätelee tekoälyjärjestelmien kehittämistä ja käyttöä riskiperusteisesti. Vaikka kyseessä ei ole varsinainen kyberturvallisuuslaki, se sisältää turvallisuusvaatimuksia – erityisesti korkean riskin järjestelmille.

Relevantti, jos organisaatiosi:

  • Kehittää tai käyttää tekoälyä säännellyillä aloilla
  • Käsittelee arkaluontoisia tietoja tekoälyn avulla
  • Käyttää tekoälyä päätöksenteossa (esim. rekrytointi, luottoluokitus)

Keskeiset linkit kyberturvallisuuteen:

  • Mallien luotettavuus ja tarkkuus
  • Riskien ja turvallisuuden arviointi
  • Poikkeamien käsittely, jos AI aiheuttaa vahinkoa tai virheitä

Jos käytät tekoälyä, AI Actin etenemistä ja aikatauluja kannattaa seurata.

Cyber Solidarity Act (CSA)

Cyber Solidarity Act ei ole vaatimuskehikko, jota organisaatioiden tulisi itse noudattaa. Kyseessä on EU:n tasoinen aloite, jonka tavoitteena on parantaa kyberuhkien tunnistamista, reagointia ja kriisinhallintaa jäsenvaltioiden välillä.

Se sisältää esimerkiksi:

  • EU:n kyberturvavarantoreservin perustaminen
  • European Cyber Shield (turvatoimintakeskusten verkosto)
  • Rahoitus ja koordinointituki suurissa kyberhäiriöissä

Vaikka CSA ei vaadi toimenpiteitä sisäisesti, se voi vaikuttaa siihen, miten organisaatiosi tekee yhteistyötä viranomaisten kanssa tai saa tukea suurissa poikkeamissa.

Toimialakohtaiset sääntelyt

Toimialasta riippuen seuraavat kehikot voivat myös olla sovellettavissa — joko lainsäädännön tai alan käytäntöjen perusteella:

  • PSD2 (EU): Maksupalveluiden sääntely, jossa painopisteenä vahva tunnistaminen ja petosten ehkäisy
  • PCI DSS (Globaali): Koskee kaikkia, jotka käsittelevät tai säilyttävät maksukorttitietoja
  • EU MDR (EU): Lääkinnällisten laitteiden kyberturvallisuusvaatimukset
  • TISAX (EU): Autoteollisuuden yleisesti käytetty tietoturva-arviointistandardi

Nämä ovat erikoistuneita, mutta kulkevat usein rinnalla muiden kehikkojen (kuten NIS2 tai ISO 27001) kanssa.

Tee vaatimustenmukaisuuden hallinnasta helpompaa Digiturvamallilla

Usean vaatimuskehikon noudattaminen ei tarkoita päällekkäistä työtä. Digiturvamalli on rakennettu tukemaan keskitettyä ja tehokasta kyberturvallisuuden hallintaa.

Kaikki tämän artikkelin keskeiset kehikot – NIS2, GDPR, DORA, CRA (tulossa), ISO 27001 – ovat saatavilla Digiturvamallissa valmiina rakenteina tehtävineen, dokumenttipohjineen, politiikkasisällöin ja auditointityökaluin.

Digiturvamalli tunnistaa automaattisesti kehikkojen väliset päällekkäisyydet ja antaa sinun hallita yhteiset vaatimukset yhdestä paikasta.

Päällekkäisyys = ajansäästöä

Käytännössä tämä tarkoittaa esimerkiksi:

  • Jos toteutat NIS2:n kattavasti, sinulla on jo tehtynä:
    • ~40 % ISO 27001:n tehtävistä
    • ~45 % GDPR:n tehtävistä
    • ~45 % DORA:n tehtävistä

Tämä antaa merkittävän etumatkan organisaatioille, joilla on useita sääntelytarpeita – ja on hyvä syy olla käsittelemättä jokaista kehikkoa erillisenä.

Yksi ympäristö, monta kehikkoa

Digiturvamalli tarjoaa tiimillesi:

  • Selkeän tehtävälistan jokaiselle aktivoidulle kehikolle
  • Automaattisen vaatimusten kartoituksen eri kehikkojen välillä
  • Yhden näkymän dokumentaatioon ja auditointivalmiuteen
  • Sisäänrakennetun ohjauksen lainsäädännön muutosten varalta

Olitpa liikkeellä GDPR:stä tai laajentamassa NIS2:n ja DORA:n suuntaan, Digiturvamalli auttaa pysymään vaatimustenmukaisena ilman, että jokainen kehikko rakennetaan alusta asti uudelleen.

Kokeile maksutta jo tänään.

Kirjoittanut
Tuomas Pitkänen
11.4.2025
@
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut

Keskeisten kyberturvallisuuden vaatimuskehikkojen vertailu EU:ssa – NIS2, GDPR, DORA, CRA ja ISO 27001. Katso, ketä ne koskevat ja mitä ne edellyttävät.
11.4.2025

ISMS:n toteuttaminen: dokumenttien, wikien, ISMS-työkalujen ja GRC:n vertailu.

ISMS:n rakentamiseen on muutamia erilaisia lähestymistapoja. Tässä artikkelissa vertailemme näitä eri menetelmiä ja autamme sinua ymmärtämään, mikä niistä sopii parhaiten organisaatiosi tarpeisiin.
10.4.2025

Kyberturvallisuuslaki (NIS2) on astunut voimaan 8.4.2025

Päivitetty 10.4.25. Kyberturvallisuuslaki tulee voimaan 8.huhtikuuta 2025. Lailla pannaan toimeen EU:n kyberturvallisuusdirektiivi, jonka tavoitteena on parantaa EU:n ja jäsenvaltioiden kriittisten toimialojen kyberturvallisuutta.
4.4.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin