Teknologian käytön kasvu on lisännyt kyberuhkia kaikille yrityssektoreille. Erityisen alttiita näille ovat pk-yritykset, joiden kyberturvallisuuden taso on yleisesti heikompaa kuin isommilla organisaatioilla. Pk-yrityksien alhainen kyberturvallisuuden taso voi olla monen asian summa, mutta yhtenä pää pointtina voidaan pitää tietoturvainvestointeja. Tässä kanditutkielmassa selvitetään pk-yrityksien tietoturvainvestointeihin liittyviä johdon sekä organisaation haasteita, jonka jälkeen niihin pyritään löytämään ratkaisua. Ratkaisua haetaan NIST-viitekehyksen avulla, jonka tarkoituksena on arvioida ja edistää organisaation tietoturvan tilaa. Tutkielman tulokseen pääsemiseksi on myös hyödynnetty NIST-viitekehykseen pohjautuvaa arviointityökalua, joka helpot-taa viitekehyksen monimutkaista luonnetta. Tutkielman tuloksena NIST-viitekehykseen pohjautuneen arviointityökalun nähdään parantavan pk-yrityksien tietoturvainvestointeja. Pk-yrityksien tietoturvauhat eivät myöskään välttämättä jää yrityksen omalle tasolle. Haavoittuvuudet pienimissä yrityksissä voivat toimia reitteinä isompiin organisaatioihin. Tutkimuksen tuloksien hyöty ei siis jää vain pk-yrityksille vaan siitä voi olla hyötyä myös isompien organisaatioiden tietoturvaan.