NIS2 on nostanut jatkuvan tietoturvan ylläpidon keskeiseksi osaksi organisaatioiden kyberturvallisuutta. Samalla digitaalinen toimintaympäristö muuttuu jatkuvasti. Järjestelmien, pilvipalveluiden ja kumppaniverkostojen määrä kasvaa, mikä korostaa toimintaympäristön tuntemisen merkitystä. Mitä monimuotoisemmaksi digitaalinen toimintaympäristö muuttuu, sitä tärkeämpää on ymmärtää, miten se toimii ja miten sen turvallisuutta ylläpidetään.
Documtec ja PlantSys seuraavat tiiviisti, miten tietoturvaan ja toimintavarmuuteen kohdistuvat vaatimukset kehittyvät. Tässä artikkelissa tarkastelemme, mitä organisaatioiden kannattaa huomioida juuri nyt yhdessä Badrapin asiantuntijan kanssa.
Toimintaympäristö tunnetaan usein vasta silloin, kun jokin häiriintyy
Harva organisaatio pysähtyy pohtimaan digitaalista toimintaympäristöään silloin, kun kaikki toimii normaalisti. Huomio kiinnittyy kokonaisuuteen yleensä vasta siinä vaiheessa, kun tieto ei kulje odotetusti, yhteys katkeaa tai liiketoiminnan kannalta tärkeä järjestelmä ei ole käytettävissä.

Tilanteet ovat tuttuja kriittisen infrastruktuurin organisaatioissa, kuten energia-alalla, vesihuollossa, infra-alalla ja valmistavassa teollisuudessa. Useimmiten taustalla on kokonaisuus, jossa tieto liikkuu useiden järjestelmien, pilvipalveluiden, verkkoyhteyksien ja kumppaniverkostojen välillä.
”NIS2:n myötä olemme arvioineet noin 3 000 asiakkaidemme toimittajaa. Joka seitsemänneltä löytyi internetiin näkyviä haavoittuvia palveluita, joista vain murto-osa oli toimittajan omassa tiedossa ennen kuin raportoimme niistä”, kertoo Badrapin perustaja Jani Kenttälä.
Havainto kertoo, että organisaation oma käsitys toimintaympäristöstään ei aina vastaa todellisuutta. Juuri siksi ympäristöä kannattaa tarkastella myös ulkopuolisesta näkökulmasta.
Digitaalinen toimintaympäristö muuttuu jatkuvasti. Uusia palveluita otetaan käyttöön, integraatioita rakennetaan ja järjestelmiä päivitetään liiketoiminnan tarpeiden mukaan. Muutokset näkyvät usein vasta silloin, kun tieto ei siirry odotetusti tai kriittinen palvelu häiriintyy. Mitä paremmin organisaatio tuntee oman toimintaympäristönsä, sitä nopeammin häiriöiden syyt voidaan tunnistaa ja korjata.
Mitä yrityksen digitaalisesta toimintaympäristöstä voidaan päätellä?
Yrityksen digitaalinen jalanjälki muodostuu internetiin näkyvistä palveluista, verkkotunnuksiin liittyvistä tiedoista, etäkäyttöratkaisuista ja muista teknisistä tunnisteista. Näiden perusteella ulkopuolinen pystyy muodostamaan varsin kattavan kuvan organisaation toimintaympäristöstä.
Julkinen näkyvyys ei ole ongelma itsessään. Monien palveluiden kuuluukin näkyä internetiin. Olennaista on tietää, mitä ympäristöstä näkyy, miksi se näkyy ja vastaako kokonaisuus organisaation tavoitteita.
Hyökkäyksiä tehdään yhä useammin automatisoidusti. Työkalut etsivät internetistä tunnettuja haavoittuvuuksia, avoimia palveluita ja puutteellisesti suojattuja yhteyksiä. Siksi oman digitaalisen toimintaympäristön tunteminen on entistä tärkeämpää.
”Kyberturvallisuudessa ei tarvitse juosta jokaisen uuden ilmiön perässä. Kun perusasiat ovat kunnossa, organisaatio pystyy vastaamaan sekä vanhoihin että uusiin uhkiin”, toteaa Jani.
Toimintavarmuus rakentuu hallitusta toimintaympäristöstä
Järjestelmien välinen tiedonsiirto on nykyisin olennainen osa lähes kaikkea liiketoimintaa. Kun tieto kulkee useiden palveluiden, pilvipalveluiden ja organisaatioiden välillä, myös tietoturvan ja kyberturvallisuuden ylläpidosta tulee jatkuva osa toimintavarmuutta.

Tietoturva ei rakennu yksittäisillä ratkaisuilla. Käyttöoikeuksien hallinta, järjestelmien väliset yhteydet, tiedon suojaaminen ja jatkuva seuranta muodostavat kokonaisuuden, joka tukee toimintavarmuutta.
”Pilvipalveluun siirtyminen ei poista organisaation vastuuta tietoturvasta. Vastuut muuttuvat, mutta ne eivät häviä mihinkään”, sanoo Jarkko Vepsäläinen, kasvujohtaja, Documtec.
Pilvipalvelu ei siirrä tietoturvavastuuta palveluntarjoajalle. Organisaatio vastaa edelleen esimerkiksi käyttöoikeuksien hallinnasta, tiedon suojaamisesta ja varmistuksista.
”Toimintavarmuus alkaa siitä, että ymmärretään, mitä järjestelmiä käytetään, miten ne liittyvät toisiinsa ja miten tieto liikkuu niiden välillä”, jatkaa Jarkko.
Kun järjestelmien väliset riippuvuudet ja tiedonkulku tunnetaan, myös muutoksia voidaan hallita paremmin. Samalla käyttöoikeuksien, integraatioiden, päivitysten ja järjestelmien elinkaaren hallinta tukevat sekä tietoturvaa että häiriötilanteista palautumista.
”Tietoturva ei pääty organisaation omiin järjestelmiin. Myös kumppaneiden käyttöoikeuksien, tunnistautumisen ja valvonnan on täytettävä samat vaatimukset”, muistuttaa Jarkko.
NIS2 korostaa jatkuvaa kehittämistä
Monessa organisaatiossa ensimmäiset NIS2-toimenpiteet on jo tehty. Seuraava vaihe on varmistaa, että toimintamallit, dokumentaatio ja tekniset ratkaisut pysyvät ajan tasalla toimintaympäristön muuttuessa. NIS2 korostaa jatkuvaa kehittämistä kertaluonteisten projektien sijaan.
NIS2 on tuonut tietoturvan aiempaa vahvemmin myös organisaatioiden johdon agendalle. Kyse ei ole enää pelkästään teknisestä asiasta, vaan myös toimintavarmuuden ja riskienhallinnan johtamisesta osana liiketoimintaa.

”Kyberturvallisuudessa pääsee pitkälle huolehtimalla perusasioista. Henkilöstön osaaminen, järjestelmien ajantasaisuus ja toimittajiin liittyvien kyberriskien hallinta muodostavat perustan, jonka päälle myös uudet vaatimukset rakentuvat”, sanoo Jani.
Jani muistuttaa myös kumppaniverkoston merkityksestä: ”Toimittajien välillä on suuria eroja siinä, kuinka nopeasti tietoturvapoikkeamiin reagoidaan. Siksi myös kumppaneiden tietoturvaa kannattaa seurata jatkuvasti eikä pelkästään sopimusvaiheessa.”
Tule mukaan maksuttomaan asiantuntijawebinaariin
Webinaarissa keskustelemme siitä, miten tietoturvaa ylläpidetään muuttuvassa toimintaympäristössä ja mitä NIS2 tarkoittaa käytännössä organisaatioiden arjessa. Lisäksi tarkastelemme, miksi ajantasainen tilannekuva on tärkeä osa toimintavarmuutta ja miten sitä voidaan ylläpitää pitkäjänteisesti.
Näihin kysymyksiin pureudumme perjantaina 21.8.2026 klo 14.30–15.30 järjestettävässä maksuttomassa Teams-webinaarissa yhdessä Documtecin, PlantSysin ja Badrapin kanssa.
Saat käytännön näkökulmia siihen, miten omaa digitaalista toimintaympäristöä kannattaa arvioida, miten tietoturvaa ylläpidetään pitkäjänteisesti ja mihin kehitystoimiin organisaatioiden kannattaa keskittyä juuri nyt.
Tietoturvan ylläpito ei ole yksittäinen projekti, vaan jatkuva osa organisaation toimintavarmuutta. Mitä paremmin toimintaympäristö tunnetaan, sitä helpompi muutoksiin voidaan reagoida hallitusti.
Ilmoittaudu mukaan ja vie mukanasi käytännön näkökulmia organisaatiosi tietoturvan ja toimintavarmuuden kehittämiseen.
