Vuoden 2025 ensimmäisen ja toisen kvartaalin taite on ollut vauhdikasta ja jopa historiallista aikaa. Kauan odotettu kyberturvallisuuslaki astui voimaan 8.4. tarkoittaen, että viimeistenkin lakia odottaneiden NIS2 -alaisten toimijoiden on käärittävä hihat ja laitettava asiat kuntoon.
Lakihan ei vaadi keneltäkään ihan mahdottomia. Dokumentoinnit ja prosessit kuntoon, riskit haltuun ja johto ymmärtämään oma vastuunsa, niin ollaan jo aika pitkällä. Toki muutama teknologian kautta tuleva toiminnallisuuskin vaaditaan, mutta useimmilla tarvittavat työkalut saattaa jo löytyä ennestään, niitä ei vain välttämättä ole otettu riittävässä laajuudessa käyttöön. Toki tällainen tekeminen voi olla monelle ihan uutta ja ihmeellistä asiaa, jos ei ole aiemmin joutunut tekemisiin kyberturvallisuuden kanssa, mutta se on vähän kuin uuden kielen opettelua. Aluksi olet ihan kuutamolla etkä ymmärrä mitään, mutta pikkuhiljaa alkaa sanat ja termit jäämään mieleen, samoin niiden merkitys, ja hups, alatkin puhumaan kyberiä. Et ehkä heti ihan natiivipuhujan tasolla, mutta niin että pärjäät perusasioiden kanssa. Sillä pääsee jo pitkälle. Suomi on myös täynnä hyviä konsultteja auttamaan kyberasioiden kanssa, joten yksin ei tarvitse kybersuossa tarpoa.
NIS2 aiheisia toimeksiantoja onkin alkuvuoden aikana tehty laidasta laitaan. Osalle asiakkaista riittää pieni sparraus, esimerkiksi johdon kouluttamisen merkeissä tai tiettyjen dokumenttien ja prosessien hiomisessa, mutta osa kaipaa täyttä kartoitusta missä kaivellaan pohjamutia myöten asiat mitkä uusi laki vaatii ja raportoidaan löydökset yksilöidyn to do listan kanssa. On ollut hienoa huomata, kuinka halukkaita yritykset ovat laittamaan asiat kuntoon, ja kuinka paljon lain avaaminen käytännön tekemiseksi auttaa heitä viemään asioita eteenpäin. Pienikin NIS2 projekti antaa hyvän ymmärryksen omasta toiminnasta kun joutuu miettimään, että mitä meillä muuten oikeasti on mikä on meille tärkeää ja miten me sitä turvataan? Mitä jos jokin oleellinen juttu ei huomenna olekaan enää olemassa, jatkuuko liiketoiminta? Oman toiminnan rehellinen pohdinta minkä tahansa viitekehyksen kautta tai vaikka ilmankin on aina silmiä avaavaa. Vaikka NIS2 mahdollistaakin suuret sanktiot, niin sakkopelko ei ole hyvä motivaattori mihinkään, mutta aito halu olla turvallisempi toimija vie pitkälle.
Alkuvuoden aikana on tullut myös osallistuttua puhujana jos jonkinlaiseen koulutushenkiseen webinaariin. Yhdessäkin puristin runsaalle osallistujajoukolle viiteentoista minuuttiin noin tunnin verran asiaa vuoden 2025 tietosuojakuulumisista. Siinä meinasi jo vähän happi loppua. Pääsin myös puhumaan meidän Pilvirakettiasiakkaille joille kerroin lyhyen, rautalankaversion NIS2:sta. Ihan sen perusvaatimukset, mutta tärkeimpänä viestinä se, että se työ kannattaa tehdä olit sitten NIS2 alainen toimija tai et. Huhtikuussa on luvassa lisää koulutusta kansalle, kun joka vuotinen Ihana TuottavuusWappu päivä pidetään 29.4. Silloin onkin luvassa koko päivän pläjäys tuhtia tuottavuus asiaa kaikille. Minäkin olen siellä mukana kertomassa tietosuojan linkittämisestä tuottavuuteen ja saattaapa pari NIS2 ajatustakin livahtaa mukaan. Kaikki kuulolle, hinta ei päätä huimaa ja yhden hengen hinnalla mukaan pääsee koko teidän organisaatio.
Tietosuojan osalta maailma ei ihan hirveästi ole muuttunut vuoden vaihteen jälkeen, mutta kyllähän kaikenlaista muhii. Tietosuojaihmisenä vähän hirvittää miten käy tietojen siirron Yhdysvaltoihin, jossa uusi hallinto on jo onnistunut hieman heikentämään siellä päässä tapahtuvaa valvontaa joka on yksi tärkeä EU:n ja Yhdysvaltojen välisen tietosuojakehyksen mahdollistaja. Onneksi siitä on vielä pitkä matka siihen, että tietosuojakehys invalidoitaisiin kuten kaksi edeltäjäänsä. Eihän se mikään maailman paras ja luotettavin sopimus ole ollut tähänkään asti, mutta silti laillinen siirrot mahdollistava menetelmä, jota ilman moni taho on pulassa tai hukkuu paperitöihin vakiolausekesoppareita päivitellessään. No, been there done that, got the t-shirt, eli siitäkin selvitään (taas) jos siihen mennään. Pidetään peukut pystyssä ja toivotaan, että systeemi ei kaadu ainakaan USA:n sisäpoliittisista syistä.
Ai niin, kaikkialla pitää muistaa nykyään puhua tekoälystä että on trendikäs. Tekoälyasetuksen (AI Act) ensimmäinen vaihe on jo voimassa vaikka kansallinen laki on odotettavissa vasta elokuussa. Kiellettyjä käyttötapauksia koskevien sääntöjen soveltaminen ja tekoälyä käyttävien yritysten henkilökunnan tekoälyn lukutaidon koulutusvaatimukset tulivat voimaan helmikuussa, seuraava etappi on elokuussa jolloin mm. yleiskäyttöisten mallien velvoitteita aletaan soveltamaan. Tekoälyä alkaa olla aika monessa paikassa, joten kannattaa selvitellä millaista tekoälyä siellä omissa nurkissa oikein pyörii ja mitä sillä tehdään. Käyttäkää ihmeessä AI:ta, niin minäkin käytän, mutta pitäkää puurot ja vellit erillään, eli henkilötiedot poissa tekoälyn dataämpäristä ja ihmisjärki mukana tuotosten arvioinnissa. Sillä pääsee jo pitkälle.
Kevät etenee, kyberaurinko paistaa ja vaikka maailma onkin muuttunut paikoitellen aika ikäväksi paikaksi, niin pysytellään me valon puolella missä ihmisiä kohdellaan nätisti, vastuuta ei paeta ja kaverista pidetään huolta.
Marita Harju
Senior Consultant, Security & Modern Work
