Kybermittari-aineistot

Lyhyt yhteenveto

Arvioinnin toteutuksen muistilistasta sekä listaus Kybermittari-palvelun käyttöön kuuluvasta aineistosta, joka on saatavilla tällä sivustolla, sekä linkityksiä ulkoisiin lähteisiin, jos tarvitset lisää esimerkiksi englanninkielisiä materiaaleja. 

Kybermittarin käyttöehdot ja palvelunkuvaus

Koulutusmateriaalissa on pyritty antamaan ohjeita myös arvioinnin eri vaiheisiin. Alussa on yleistä kypsyysmalleista ja yleistietoa Kybermittarista. 

Kybermittari-työkalu on arviointityön perustyökalu, jota käyttäjä voi muokata omiin tarpeisiinsa. 

Kybermittari-esimerkkitäyttö auttaa ymmärtämään raportoinnin toimintaa. 

Satakunnan ammattikorkeakoulu (SAMK) on osana Kytee-hanketta toteuttanut selainpohjaisia versioita Kybermittarista. Kyberturvaa Satakunnan teollisuuteen (Kytee) -hankkeen tavoitteena on levittää kyberturvallisuuteen ja EU-direktiiveihin (erityisesti NIS2) liittyvää tietoutta, tehdä kyberturvakartoituspilotteja, luoda SAMKiin kyberturvaharjoitusympäristö ja olla mukana valtakunnallisessa yhteistyöverkostossa. Selainpohjaiseen versioon voi tutustua SAMKin sivustolla. 

Käytäntöjen tulkinta ja kieliversiot

Riskienhallinnan keskeinen lähtökohta on ymmärtää, mitä ollaan suojaamassa ja miksi. Huoltovarmuuskeskuksen Kyber-Terveys-hankkeessa laadittiin sitä varten ohje sosiaali- ja terveydenhuoltoalan organisaation toimintojen ja tietojärjestelmien kriittisyyden luokittelusta.

Alla on alkuperäisen version käyttöohjeet. Esittelyversiossa on ominaisuuksista kerrottu laajemmin. 

Kybermittarissa käytännöistä suuri osa on ryhmitelty toimintoihin, jotka on merkitty kehityspolkuina välilehdille sekä niitä voi tarkastella omilla välilehdillään. Samaan toimintaan liittyvät käytännöt muodostavat kehityspolun, johon kuuluu käytäntöjä alkaen perustasolta kohti täydellisempiä tai kehittyneempiä toteutuksia. Esimerkiksi IT- ja OT-omaisuuden rekisteri -toiminnan alle kuuluvat käytännöt ASSET-1a, ASSET-1b, ASSET-1f, ASSET-1g. Arvionnissa saattaa olla luontevampaa käydä yksi kehityspolku kerrallaan kuin käytäntö kerrallaan järjestyksessä ylhäältä alas.

Kybermittari-työkaluun voi tuoda tietoja Import-välilehden sekä NIS2_Valinta ja Oma raportti -välilehtien kautta tukemaan arviointia ja analyysiä. 
Tässä tiedostossa on muutamia ristiinviittauspohjia sekä esimerkkejä raportointia tukevista tiedoista. 

Alla olevalla taulukolla voi luoda raportit tuomalla pelkät numeroarvot Import-välilehdelle. Soveltuu esimerkiksi tilanteisiin, joissa on laskettu useamman arvionnin tuloksista keskiarvo ja halutaan keskiarvoista tuottaa raportti.

Tältä osin kannattaa katsoa oma osioinsa koulutus materiaalista ja tutkia, miten oma-raportointi ominaisuutta voi esimerkiksi hyödyntää kehityskohteiden valintaan ja seurantaan.

Kybermittari tukee erilaisia tapoja viedä arvionnilla tuotettua tietoa, jota voidaan käyttää esimerkiksi seuraavien arviointien rikastamiseksi tai jaettavaksi Kyberturvallisuuskeskukselle. Tuontiominaisuuksilla voi rikastaa saatuja tuloksia, tuoda aiemmat tulokset uuden arvionnin pohjaksi tai oheen, lisätä viittauksia standardeihin, sääntelyyn tai vertailutietoa toisiin organisaatioihin.

Kybermittari pohjautuu hyvin pitkälti C2M2-viitekehyksen versioon 2.1, joten monet englanninkieliset materiaalit ovat sovellettavissa myös Kybermittarin ohjeituksena. Lisäksi työkaluihin on sisäänrakennettu ristiinviittaus NIST CSF V1.1:een ja 2.0:aan. 

NIS 2 -direktiivin tavoitteena on kehittää kyberturvallisuusvalmiuksia kaikkialla unionissa, lieventää keskeisten palvelujen tarjoamiseen keskeisillä aloilla käytettäviin verkko- ja tietojärjestelmiin kohdistuvia uhkia ja varmistaa tällaisten palvelujen jatkuvuus poikkeamatilanteissa sekä tukea näin unionin turvallisuutta ja sen talouden ja yhteiskunnan tehokasta toimintaa. 

Kybermittarilla voi arvioida organisaation kyberturvallisuuskyvykkyyksiä ja parantaa sitä kautta ymmärrystä organisaation vaatimuksenmukaisuudesta. Traficomin suositus NIS-valvoville viranomaisille sekä Enisan NIS2 Technical Implementation Guidance sisältävät ristiinviittauksia eri viitekehyksiin mukaanlukien Kybermittariin. Arviointityökaluun on rakennettu sisälle muokattavissa olevaa raportointia ja listauksia liittyen kyberturvallisuuslain vaatimuksiin että ns. perustason tietoturvakäytäntöihin.

Lisätietoa NIS 2 -direktiivistä ja kyberturvallisuuslain vaatimuksista löytyy alla olevista linkeistä.

Import-työkalu on excel-tiedosto, johon on kerätty yhteen paikkaan ristiinviittaukset mm. NIS2-suositukseen, standardeihin ja kriteeristöihin. Kybermittari-työkalussa, dokumentaatiossa ja tietojen tuontiin luodussa Import-työkalussa tarjottavat ristiinviittaukset suositukseen, standardeihin ja kriteeristöihin ovat ohjeellisia. Keskenään ristiinviitatut kohdat voivat erota esimerkiksi laajuudeltaan, joten ne eivät välttämättä ole keskenään samansisältöisiä.

Linkki Import työkaluun

Suomessa tehdään kyberturvallisuuteen liittyen erilaisia kyselyitä, haastatteluja ja kartoituksia, joiden tavoite on usein yhteinen. Ne jollain tavoin pyrkivät arvioimaan ainakin jotakin kyberturvallisuuden osa-alueen nykytilaa tai kehitystä verrattuna edelliseen arviointikertaan sekä löytämään kehityskohteita. Alla olevien yhteenvetojen ja välineiden tavoite on edistää ymmärrystä kolmesta välineestä, joiden sisältö ja ominaisuudet ovat erilaiset, sekä vähentää päällekkäistä työtä.   

Kokonaiskuvapalvelun ja Kybermittarin vertailu ja yhteensovittaminen sisältää myös välineen tulosten siirrolle tai vertailulle. Ristiinviittaus ei ole täydellinen ja sitä voidaan korjata palautteen perusteella.

Kybermittari ja HVK Digipoolin toimialaselvitys 2025 tarjoaa vastaavan yhteenvedon kuin 2022. Se esittelee kuinka arviointiasteikot sekä kysymykset vastaavat toisiaan ja miten asiakas voi esimerkiksi tarkastella Kybermittarin avulla selvityksessä suositeltuja kehityskohteita omassa organisaatiossa. 

Kun organisaatio sitoutuu markkinointiehtoihin ja tarjoaa Kybermittari-arviointia tai arviointiin tukea palveluna, niin Kybermittari-sivuille voidaan organisaation niin halutessa myös lisätä linkki palvelun sivuille.

Esittelymateriaali

Raportointi ja ryhmä