Kyberuhkat eivät ole enää pelkkiä teknisiä häiriöitä. Ne haastavat organisaatioiden toimintakyvyn, maineen ja koko liiketoiminnan jatkuvuuden. Siksi resilienssi, kyky selviytyä kriiseistä ja palautua niistä entistä vahvempana, on noussut yhdeksi keskeisimmistä kilpailutekijöistä. 

Kybertutkan uusimmassa jaksossa isäntänä toimi CGI:n tietoturvavalvomosta tuttu Tomi Hasu, ja vieraana oli Anne Hintzell CGI:n kyberturvallisuuden konsultointipalveluista. 

🎧 Katso tai kuuntele jakso:

Hintzellin mukaan digiresilienssi ei ole pelkästään tekninen kysymys. Se koskettaa koko organisaatiota: sen johtamista, henkilöstöä, toimintamalleja ja kumppaneita.

"Resilienssi ei synny yksittäisestä ohjelmistosta tai laitteesta, vaan siitä, miten yritys kykenee varautumaan kriiseihin ja toimimaan kriisin hetkellä", Hintzell tiivistää.

Resilienssi on toimintakykyä 

Perinteisesti tietoturva on nähty teknisenä suojauksena, mutta nyt painopiste on siirtynyt kohti kykyä toimia poikkeustilanteissa. Tämä tarkoittaa muun muassa: 

  • kriittisten toimintojen tunnistamista ja priorisointia 
  • harjoiteltuja toipumissuunnitelmia 
  • jatkuvaa uhkaympäristön seurantaa 
  • yhteistyötä kumppaneiden ja toimittajien kanssa 
     

Sääntely ohjaa – CRA ja DORA nostavat rimaa 

EU:n uusi sääntely asettaa konkreettisia vaatimuksia, joihin organisaatioiden on vastattava. 

  • Cyber Resilience Act (CRA): koskee kaikkia digitaalisia tuotteita ja ohjelmistoja, jotka ovat liitettävissä verkkoon. Se asettaa minimivaatimukset turvalliselle kehitykselle, haavoittuvuuksien hallinnalle ja ilmoitusvelvollisuudelle. Tuotteilla on oltava CE-merkintä, joka osoittaa vaatimustenmukaisuuden. Vaikka lopullinen määräaika on joulukuussa 2027, ensimmäiset vaatimukset astuvat voimaan jo vuonna 2026. 

  • Digital Operational Resilience Act (DORA): rahoitusalan toimijoita koskeva asetus, joka luo yhtenäiset ja korkeat vaatimukset koko EU:n rahoitussektorille. DORA painottaa erityisesti operatiivisten riskien hallintaa, digitaalisen toimintakyvyn testaamista ja kolmansien osapuolien valvontaa. Vaatimustenmukaisuus on jo nyt ajankohtaista, ja painopiste siirtyy jatkuvaan testaamiseen ja käytännön toteutukseen. 

Hintzell muistuttaa, ettei sääntelyä tule nähdä vain pakkona: 

“Regulaatio voi tuntua velvoitteelta, mutta todellisuudessa se antaa hyvän listan asioista, joihin joka tapauksessa kannattaa panostaa. Ne, jotka tarttuvat tähän mahdollisuutena, voivat kääntää sen kilpailueduksi.” 

CRA ja DORA voivat osoittaa suunnan, johon koko sääntely-ympäristö on menossa: toimintakyvyn ja luottamuksen varmistaminen ei ole enää vapaaehtoista, vaan pakollista. 

Mistä aloittaa oman resilienssin vahvistaminen? 

Moni organisaatio pohtii, mistä liikkeelle. Asiantuntijoiden mukaan tärkeintä on keskittyä perusasioihin: 

  • Tunnista kriittisimmät prosessit ja suojaa ne ensin 
  • Testaa palautumiskyky säännöllisesti eri skenaarioissa 
  • Harjoittele poikkeustilanteita yhdessä kumppaneiden kanssa 
  • Huolehdi, että johto tietää roolinsa kriisitilanteessa 
  • Varmista, että resilienssi ei jää yhteen projektiin, vaan on osa arjen toimintaa 
     

Hintzell painottaa, että suunnitelmat eivät yksin riitä: 

“Sääntely edellyttää, että tilanteisiin on valmistauduttu. Mutta pelkkä suunnitelma ei riitä – niitä pitää myös harjoitella. Vasta silloin tiedetään, kuka tekee mitäkin kriisin hetkellä.” 

Resilienssi ei ole vain velvoite – se voi olla myös erottautumisen keino. Ne organisaatiot, jotka ottavat kyberkestävyyden tosissaan ja ylittävät minimitason, voivat tarjota asiakkailleen luottamusta, jota kilpailijoilla ei ole. “Kysymys ei ole vain sääntelyn täyttämisestä, vaan toimintakyvyn ja maineen suojaamisesta”, Hasu kiteyttää. 

Hintzell tiivistää kilpailuedun näkökulman näin: 

“Kun minimivaatimukset nousevat, todellinen kysymys on, miten erottautua. Voiko oma turvallisuus olla kilpailuetu? Ne, jotka panostavat enemmän kuin laki vaatii, voivat tarjota asiakkailleen luottamusta, jota muut eivät pysty.” 

Näin CGI voi tukea organisaatiosi digiresilienssiä 

Hintzell muistuttaa, että resilienssi on myös fiksuja valintoja: 

“Kaikkea ei tarvitse saattaa täydelliseen toimintavarmuuteen. Pitää uskaltaa priorisoida ja suojata ne toiminnot, jotka ovat liiketoiminnan ja yhteiskunnan kannalta kriittisimpiä. Niihin kannattaa keskittää panostukset ja osaaminen.” 

CGI tarjoaa laaja-alaista osaamista resilienssin vahvistamiseen eri toimialoilla. Tukea on saatavilla niin tekniseen valvontaan ja poikkeamien hallintaan kuin strategiseen johtamiseen ja sääntelyn täyttämiseen. Konkreettisia tukimuotoja ovat esimerkiksi: 

  • Resilienssikartoitukset ja riskianalyysit 
  • Tietoturvan hallintajärjestelmien rakentaminen (esim. ISO/IEC 27001, IEC 62443) 
  • Harjoitukset ja simulaatiot, joilla testataan palautumiskykyä todentuntuisissa tilanteissa 
  • Konsultointi CRA- ja DORA-vaatimusten käytännön toteutukseen 
     

Yhdessä voimme varmistaa, että organisaatiosi ei ainoastaan täytä lakisääteisiä velvoitteita, vaan pystyy kääntämään resilienssin myös kilpailueduksi.