Kybermittari

Kybermittari on organisaatioiden johdolle ja tietoturva-ammattilaisille suunnattu, konkreettinen väline kyberturvallisuuden arviointiin, hallintaan, toimialakohtaiseen vertailuun ja kehityspanostusten ohjaamiseen. Arvionnin tuloksia voidaan käyttää esimerkiksi riskienhallinnan tukena, kun arvioidaan organisaation kyvykkyyttä vastata toimintaympäristössä tunnistettuihin uhkiin.

Kybermittarin tarkoitus

Kybermittari antaa organisaatiolle toimialariippumattoman välineen ja yhteisen kielen systemaattiselle arvioinnille. Sisäänrakennettujen raporttien avulla voidaan seurata valittujen toimenpiteiden vakuttavuutta ja organisaation kyberturvallisuuden kehitystä eri mittauskertojen välillä. Kybermittaria voi käyttää myös rajatummin esimerkiksi RISK-välilehden avulla keskittyä vain riskienhallintaan.

Arvionnin voidaan tehdä itsearviointina tai palveluntarjoaja tukemana prosessina, jossa arvioidaan hyviä käytäntöjä kyberturvallisuuden eri osa-alueilta. Käytännöt on ryhmitelty tavoitteiksi ja tavoitteet on ryhmitelty osioihin. Arvioituasi Kybermittarin sisältämiä käytäntöjä, saat päivittyvät raportit. Listan palveluntarjoajista, jotka ovat ilmoittaneet tarjoavansa arviointipalveluita, löydät tältä sivulta.

Kun kehitysalueita on tunnistettu esimerkiksi riskinhallinnan prosesseissa, kehitettäviä käytäntöjä voi valita esimerkiksi kypsyystasojen ja kehityspolkujen avulla. Arviointia tai arvioinnin osia voi laajentaa kattamaan myös organisaatiolle tärkeitä palveluita tuottavat alihankkijat ja palveluntarjoajat.

Kybermittari pohjautuu pääosin Cybersecurity Capability Maturity Model (C2M2) -viitehykseen, joka on käännetty suomeksi ja ruotsiksi. Alkuperäiset C2M2 materiaalit soveltuvat myös suurelta osin ohjeistukseksi. Kybermittarissa C2M2-viitekehyksen päälle on luotu jonkinverran lisää ohjeistusta, rapotointia ja toiminnallisuutta sekä ristiinviittaukset NIST CSF -viitekehykseen.

Standardien, kyselyiden ja viitekehysten vertailtavuus

Suomessa tehdään kyberturvallisuuteen liittyen erilaisia kyselyitä, haastatteluja ja kartoituksia, joiden tavoite on parantaa ymmärrystä kyberturvallisuuden nykytilasta. Niissä arvioidaan ainakin jotakin kyberturvallisuuden osa-alueen nykytilaa tai kehitystä verrattuna edelliseen arviointikertaan sekä löytämään kehityskohteita. Organisaatiot voivat pyrkiä mm. arvioimaan omaa kyberturvallisuutensa nykytasoa esimerkiksi verrattuna kyberturvallisuuslain vaatimuksiin tai peilaamaan olemassa olevia kyvykkyyksiä toimintaympäristön uhkiin.

Kybermittari tarjoaa esimerkiksi ristiinviittauksia toimenpiteisiin, jotka on sisällytetty Traficomin suositukseen NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä. Ristiinviittauksia käytettäessä on otettava huomioon, että ristiinviitatut kohdat yleensä eroavat jonkin verran toisistaan laajuudeltaan tai sisällöltään.

Huoltovarmuuskeskus on julkaisut Kyberkypsyystoimialoilla 2025 selvityksen julkisen raportin vuoden 2026 alussa. Aineistot-sivulle on lisätty, miten HVK:n Kyberkypsyystoimialoilla 2025 selvityksen havaintoja voi hyödyntää Kybermittaria käytön yhteydessä. Huoltovarmuuskeskus on julkaisut julkisen raportin vuoden 2026 alussa.

DVV:n Kokonaiskuvapalvelun ja Kybermittarin vertailu ja ristiinviittaus on myös saatavilla. Tavoitteena on, että työkaluna avulla voitte hyödyntää Kybermittaria syventämään Kokonaiskuvapalvelun tuloksia tai vastaavasti vastata Kybermittarin tulosten pohjalta Kokonaiskuvapalveluun.

Kybermittari-aineistot

Tutustu työvälineisiin

Kybermittari arviointiprosessin vaiheet

Kybermittari arviointiprosessi - sivulla on lyhyt kuvaus arviointiprosessin eri vaiheista.

Kybermittari arviointiprosessi

Kybermittari työkalut ja muut aineistot

Kybermittari aineistot - sivulle on kerätty palvelun tarjoamat työkalut ja muut aineistot kyberturvallisuuden arviontiin ja kehittämiseen.

Kybermittari aineistot

Materiaalit, muokattavuus ja tukipalvelut

Kybermittari-palvelun tarjoamat aineistot löydät ryhmiteltynä tältä sivustolta.

Kybermittari aineistot

Kybermittarin ehdot:

”Kybermittari” on Kyberturvallisuuskeskuksen omistama tavaramerkki (sanamerkki) (PRH, Rno: 279095)
Kybermittariin liittyvä materiaali on julkaistu Creative Commons Nimeä 4.0 -lisenssillä (CC BY 4.0).
Se tarkoittaa, että saat käyttää listaa mihin tarkoitukseen haluat, muokata sitä niin kuin haluat ja jakaa sitä eteenpäin niin kuin haluat, seuraavilla ehdoilla:
- Nimeä - Sinun on mainittava lähde asianmukaisesti, tarjottava linkki lisenssiin sekä merkittävä, mikäli olet tehnyt muutoksia. Voit tehdä yllä olevan millä tahansa kohtuullisella tavalla, mutta et siten, että annat ymmärtää lisenssinantajan suosittelevan sinua tai teoksen käyttöäsi.
- Ei muita rajoituksia - Et voi asettaa sellaisia oikeudellisia ehtoja tai teknisiä estoja, jotka estävät oikeudellisesti muita tekemästä mitään sellaista, minkä lisenssi sallii

Cybersecurity Capability Maturity Model (C2M2) ehdot:

© 2022 Carnegie Mellon University. This version of C2M2 is being released and maintained by the U.S. Department of Energy (DOE). The U.S. Government has, at minimum, unlimited rights to use, modify, reproduce, release, perform, display, or disclose this version the C2M2 or corresponding tools provided by DOE, as well as the right to authorize others, and hereby authorizes others, to do the same.

During the creation of the original C2M2, Capability Maturity Model® and CMM® were registered trademarks of Carnegie Mellon University. Information Systems Audit and Control Association, Inc. (ISACA) is the current owner of these marks but did not participate in the creation of C2M2.

Mikäli yrityksesi palveluvalikoimaan kuuluu Kybermittariin pohjautuvia arviointi- tai kehittämispalveluita ja haluat olla mukana Kyberturvallisuuskeskuksen yhteistyökumppanina parantamassa huoltovarmuuskriittisten organisaatioiden kyberresilienssiä, ota meihin yhteyttä.

Kyberturvallisuuskeskus toivoo, että organisaatiot jakavat Kybermittarin avulla saamansa mittaustulokset luottamuksellisesti Kyberturvallisuuskeskuksen kanssa. Kyberturvallisuuskeskus pseudonymisointi arviointitulokset analysointia varten. Analyysin tuotetaan tietoa eri käyttötarkoituksiin, mm. parannetaan kansallisen kyberturvallisuuden tilannekuvaa. Lisäksi se voi laatia näiden tulosten pohjalta anonymisoituja vertailu- ja suositustasoja, joita se voi tarjota organisaatioille tukemaan Kybermittarin käyttöä ja kyberturvallisuuden kehitystä. Vertailu- ja suositustasot laaditaan siten, että niiden perusteella ei voida tunnistaa yksittäistä organisaatiota eikä osallistuvien organisaatioiden nimiä julkaista.

Mittaustulosten jakaminen tapahtuu seuraavasti:

Täytä Kybermittari-arviointi ja tallenna
Jaettavat tiedot on koottu Export_KTK-sivulle, josta löytyy ohjeet mittaustulosten vientiin erilliseen tiedostoon
Lähetä tiedosto uuden kautta tai käytä turvapostia
Voit lisätä viestiin pyynnön vertailutiedosta
Traficom anonymisoi tulokset sekä tuottaa tulosten pohjalta vertailutietoa ja suosituksia

Lisätietoa arviointitulosten käytöstä ja jakamisesta löytyy ja laatikosta "Tulosten jako Kyberturvallisuuskeskukselle sekä tiedon vienti ja tuonti -ominaisuudet". Jos viestintään käytetään Traficomin turvapostia, sen käyttöönottaminen vaatii rekisteröitymislinkin ja puhelinnumeron varmistusviestejä varten. Lähetä turvapostirekisteröitymispyyntö ja puhelinnumero osoitteeseen kybermittari@traficom.fi. Ohje rekisteröityä Traficomin turvasähköpostin vastaanottajaksi löytyy .

Lisätietoja

Ota yhteyttä

Voit ottaa meihin yhteyttä asiointilomakkeella tai lähettää sähköpostia osoitteeseen kybermittari@traficom.fi

Kybermittarin sähköinen asiointi

Sähköinen asiointi|Maksuton

2NS – Second Nature Security Oy	ICT Elmo Oy
Accenture Oy	Inclus Oy
Atea Finland Oy	Insta Group Oyj
Braveson Oy	KPMG Oy Ab
CGI Suomi Oy	Monti Oy
Cinia Oy	Netum Oy
Codeo Oy	Ramboll Finland Oy
Cyber Audit Company Oy	Sitowise Oy
Deloitte Finland	Sweco Finland Oy
Digia Oyj	Tikkasec Oy
DNV Cyber	WithSecure Oyj
EY Advisory Oy	WSP Finland Oy
Fraktal Oy