Tässä se on: selkokielinen ohje kyberkriiseihin varautumiseen yrityksen hallitukselle, johdolle ja viestinnälle 

Kaikki hyvin, eikö vain?  Organisaatiosi on NIS2-velvollinen, ISO 9001 -sertifioitu ja kriisinhallintasuunnitelma on tallessa intrassa. Hallitus on hyväksynyt kyberturvastrategian ja listan toimenpiteistä, joilla liiketoiminnan jatkuvuus turvataan.

Kaikki näyttää hyvältä, kunnes koittaa kohtalokas perjantai-iltapäivä. Kiristyshaittaohjelma pysäyttää tuotannon, sitten media tarttuu aiheeseen, seuraavaksi somessa alkaa spekulointi ja ennen pitkää viranomaiset vaativat selvitystä tilanteesta.  

Siinä hetkessä karu todellisuus paljastaa puutteet. NIS2, ISO 9001 ja ISO 22361 ovat olemassa, mutta asiakirjat eivät riitä paikkaamaan kriisijohtamisen ja -viestinnän puutteita.

Ensimmäinen havainto

Ensimmäinen tieto poikkeamasta tulee IT:ltä. Epäselvä lokimerkintä, outo tapahtuma järjestelmässä. Mitä mahtaa olla tapahtunut?

Tämä on hetki, jolloin kriisinhallinnan pitää aktivoitua.  

Kuka nostaa käden ylös? Kenen vastuulla on sanoa ääneen, että käsillä saattaa olla teknisen häiriön sijaan kriisitilanne? Jäädäänkö odottamaan lisätietoa, hiljennetäänkö hälytys vai punnitaanko johdon pöydällä jo skenaariota, jossa ongelma voi vaikuttaa asiakkaisiin, vaatia viranomaisilmoituksia sekä herättää median ja somen kiinnostuksen?

Toiminta tässä hetkessä paljastaa varautumisen todellisen tason. ISO 22361:n kohta kahdeksan puhuu rooleista, periaatteista ja esteistä. Jos rooleja ei ole harjoiteltu, kriisi alkaa käytännössä siitä, että kukaan ei tiedä kenen vastuu on puhua ja mistä.

Hallituksen illuusio

Palataanpa kohtalokkaan perjantai-iltapäivän tapahtumiin.

Hallituksen näkökulmasta tilanne näyttää täysin hallittavalta. Yrityksellä on hyväksytty kyberturvastrategia, lista NIS2-toimenpiteistä ja jatkuvuussuunnitelma. NIS2 ja kyberturvallisuuslaki velvoittavat nimetyt toimijat panostamaan riskienhallintaan, raportointiin ja kyberturvallisuusvalmiuksiin. 

Kaikkihan on kunnossa -illusio perustuu tekniseen tulkintaan velvoitteista, kun taas todellinen haaste on kriisinhallinnan ja johtamisen taidot. 

Kun tiedot kiristyshaittaohjelmasta ja tietovuodosta saapuvat samaan aikaan, kokoushuoneessa tapahtuu usein jotain hyvin inhimillistä. Anelevat katseet kääntyvät asiakirjojen sijaan ihmisiin. Ensin lakimieheen, sitten IT:hen. Lopulta etsimeen löytyy viestintäjohtaja, mikäli hänet on ylipäätään muistettu kutsua mukaan.

Kaikkien katseet kiertävät hetken. Jokainen miettii omaa vastuutaan. Vasta sen jälkeen joku kysyy kysymyksen, jota ISO 22361 edellyttäisi kysyttävän hyvissä ajoin ennakkoon.  

  • Kuka meillä on oikeasti vastuussa kriisiviestinnästä?  
  • Kuka päättää mitä sanotaan ja missä tahdissa?  
  • Kuka kantaa seuraukset, jos viestintä epäonnistuu?


Standardit ohjaavat, mutta lopulta ihmisen vastuu ei toteudu, jos rooleja ei ole nimetty, sisäistetty ja harjoiteltu.

Organisaatio, joka on varautunut, mutta väärään asiaan

Moni organisaatio varautuu siihen, että laatuauditointi menee hyvin. Paperit ovat kunnossa, prosessit on kuvattu ja sertifikaatit voimassa.

Harvempi varautuu siihen, että kriisin keskellä akuutein kysymys ei olekaan se, että onko vaatimukset täytetty vaan se, osataanko organisaatiossa johtaa ihmisiä ja rakentaa luottamusta juuri sillä hetkellä.

Olen nähnyt kriisejä, joissa tekninen reagointi on erinomaista, mutta viestintä jää kolmen inhimillisen ansan satimeen.

Ensimmäinen ansa on luulla, että vastuun jopa koko liiketoimintaa uhkaavasta kyberkriisistä kantaa IT, jonka tulee täten myös hoitaa viestintä. Siksi syvällinen tekninen selitys tapahtuneesta riittää myös henkilöstölle, asiakkaille, medialle, somelle ja viranomaisille. Se ei riitä.

Toinen ansa on kuvitella, että kriisi on ohi, kun järjestelmä on saatu takaisin pystyyn. Samaan aikaan kuitenkin sidosryhmien luottamus jatkaa rapautumistaan. Kukaan ei avannut tilannetta ymmärrettävästi niille, joiden arkea kriisi oikeasti kosketti ja jotka mahdollisesti kärsivät sen vaikutuksista vielä vuosia.

Kolmas ansa on vähätellä riskejä, joita ei ymmärretä. Hankala kyberkriisi ei osu meille, koska olemme liian epäkiinnostava organisaatio hyökkääjille. Huolettomuus perustuu tietämättömyyteen oman organisaation IT-järjestelmistä. Nehän ovat jonkun muun vastuulla. Hankalat asiat taputellaan pois agendalta serteillä ja uskolla, että IT hoitaa. Tämä ansa tuhoaa liiketoiminnan kyvyn varautua vakavaan ja yhä todennäköisempään riskiin, josta vastuun kantavat oikeat nimetyt ihmiset hallituksessa ja johdossa.

Suomi – varautumisen mallimaa, jossa yritystä ei puolusteta yhdessä

Suomi on maa, jossa ymmärretään harjoitusten merkitys maanpuolustuksessa. Yhteiskunnan tasolla, kurkkusalaatit päällä, osaamme harjoitella vakavia hyökkäysskenaarioita maalta, mereltä ja ilmasta. Se on vahvuus, jota ei kannata vähätellä.

Samaan aikaan yhteiskunnnan kriittisistäkin toiminnoista vastaavien yritysten varautuminen liiketoimintaan kohdistuviin kyberuhkiin jää abstraktiksi listaksi dokumentaatiota.  

Kyllä, riskit on listattu. Kyllä, suunnitelmat on hyväksytty. Mutta hyökkäyksen kohteeksi joutuvan yrityksen puolustamista ei ole harjoiteltu.

Harva organisaatio edes ymmärtää miten johtaa poikkeustilannetta, jossa kiristyshaittaohjelma, hybridivaikuttaminen ja julkinen mainekriisi osuvat samalle kalenteriviikolle. Yrityksen puolustamista pitää harjoitella. Vasta silloin paljastuu miten hallitus, johto, viestintä, IT ja juridiikka pelaavat yhteen paineen alla.

Miksi varautumisen mallimaassa yritysjohto ei aktiivisesti harjoittele oman liiketoiminnan puolustamista hyökkäyksiltä?

Mikäli vastaus on se, ettei tiedä mistä aloittaa, ei hätää: me autamme.

Kuva Euroopan lentoturvallisuusviranomaisen kyberkriisiharjoituksissa Brysselissä vuodelta 2024, jossa Christina piti keynote-puheenvuoron, seurasi simulaatiota ja arvioi sen onnistumista.

Lue myös

Netprofilen blogi | 26.06.2026

Mitä YouTube-algoritmi tietää tiedeviestinnästä, mutta tutkijat eivät?

Netprofilen blogi | 23.06.2026

Media-analyysi on liiketoimintajohtajan strategisen ajattelun työkalu 

Netprofilen blogi | 17.06.2026

Hyvin hoidettu kriisi vahvistaa luottamusta