Kyberturvallisuusdirektiivi tulee – ”Euroopan komission pyrkimys kyberuhkien torjuntaan on hatunnostonarvoinen teko”
Kyberturvallisuus- eli NIS2-direktiivin kansallinen lainsäädäntö tulee voimaan lokakuussa. NIS2 korvaa verkko- ja tietoturvadirektiivin (NIS1-direktiivi). Verkko- ja tietoturvaa käsittelevä EU-tason direktiivi tuo uusia vastuita myös talotekniikkaan.
Kuva: Shutterstock
NIS2-direktiivissä ei puututa painokkaasti fyysisen ympäristön turvallisuuteen, mutta kansallisen tason lakiehdotuksessa asian tärkeys korostuu. Jatkossa organisaatioiden on huomioitava ja suojattava myös järjestelmien fyysisiä resursseja ja infrastruktuuria.
Suomalaisen säännöksen valmistelutekstissä fyysisen ympäristön turvallisuudesta ja välttämättömien resurssien turvaamisesta teksti on painokkaampi, jotta direktiivissä tavoiteltu ”all-hazard approach” eli kaikki riskit kattava lähestymistapa toteutuisi. Näin toteaa RT Rakennuspoolin rakennetun ympäristön digitaalisen turvallisuuden projektipäällikkö Ari Järvinen.
– Omassa lausunnossamme toiveemme oli, että aihetta perustelumuistion osalta terävöitettäisiin edelleen, Järvinen sanoo.
Järvinen kiinnittää huomiota siihen, ettei rakennusautomaation digiturvallisuuteen juurikaan liity standardeja.
Operatiivisen- ja informaatioteknologian yhdistymiseen liittyy omat haasteensa.
– Mutterit ja pultit kierteineen on helppo standardoida. Mutta rakennusautomaation puolella toteutuksia on hirveän paljon ja lisää tulee koko ajan. Kybertoimintaympäristössä se, mitä sanot tänään, on kuukauden päästä jo vanhentunutta asiaa.
Eurooppa tiivistää rivejään
Ensimmäinen NIS1-direktiivi (Directive on Security of Network and Information Systems) laadittiin jo vuonna 2016. Verkko- ja tietoturvadirektiivi kohdennettiin eritoten yhteiskunnan kriittisimmille toimialoille, kuten energia- ja vesihuoltoon sekä olennaisten digitaalisten palvelujen tuottajiin. Sittemmin kyberhyökkäyspinta-ala on kasvanut. Uhkakertoimia ovat tuoreeltaan kasvattaneet koronapandemia ja Venäjän hyökkäyssota. Samaan aikaan digitalisoituminen on yhteiskuntia läpileikkaava trendi, joka jo sellaisenaan korostaa kyberturvallisuuteen panostamisen tärkeyttä.
NIS2-direktiivillä halutaan nyt ottaa härkää sarvista: lisätä koulutuksella henkilöstön kybertietoisuutta, terävöittää ennakointia ja riskienhallintaa sekä korostaa raportoinnin ja tiedonvaihdon merkitystä. Direktiivin vaatimukset kattavat muun muassa reagointisuunnitelman ja jatkuvuuden varmistamisen, toimitusketjujen turvallisuuden, poikkeamahallintamenetelmän sekä salauksen ja haavoittuvuuksien paljastamisen.
– Euroopan komission pyrkimys kyberuhkien torjuntaan on hatunnostonarvoinen teko. Isoja asioita on viety läpi suht nopeassa ajassa. Puutteitakin varmasti ilmenee, mutta ne voi aina korjata, Järvinen luonnehtii.
Keitä direktiivi koskee?
NIS2-direktiivin piiriin kuuluvien toimialojen ja yritysten määrä kasvaa. Direktiiviä sovelletaan lähtökohtaisesti organisaatioihin, jotka toimivat direktiivissä määritellyillä kriittisillä toimialoilla ja ovat kooltaan vähintään keskisuuria. Työntekijämääräksi on mainittu 50 työntekijää ja liikevaihdon tai taseen loppusummaksi yli 10 miljoonaa euroa.
Julkisten organisaatioiden lisäksi yli 250 henkilöä työllistävät yritykset kuuluvat automaattisesti NIS2:n piiriin.
– Mikäli yritys tarjoaa kriittistä palvelua, voidaan pienikin yritys velvoittaa täyttämään direktiivin vaatimukset. Omassa lausunnossamme kiinnitimme huomiota myös siihen, että toimitilojen ja laitteiden omistamisen tuomaa toimijoiden vastuuta tulisi laajentaa kattamaan myös hallussa olevat vuokra- ja leasing-tilat sekä välineet.
Järvinen on eri yhteyksissä toistuvasti kiinnittänyt huomiota kyberturvaosaamiseen.
– Eri ammattitalojen opetuksessa ei oikein oteta kyberturvallisuusaiheesta kiinni. Se ei paljoa insinööriopiskelijan työnantajaa lämmitä, jos osaamisen tavoitteet ovat samat kuin sotealan tehtävissä – vaikka soteala onkin terävöittämässä aiheen opetusta. On niin pieni joukko heitä, joilla on valmiuksia tehdä muutakin kuin panna töpseli seinään.
Osaamistason nostamista ja jatkuvaa kehittämistä vaaditaan myös NIS2-direktiiviin pohjaavan lainsäädännön valvojilta. Järvinen kantaa huolta siitä, mistä valvovat viranomaiset ”haalivat porukkaa omaan piiriinsä” kysynnän kyllästämiltä markkinoilta.
– Henkilöstöä pitää kouluttaa, ja koulutuksen ja osaamisen tarkkailun pitää olla jatkuvaa. Valvovan viranomaisen kyvykkyys punnitaan siinä, pystyykö viranomainen ottamaan kantaa ja puntaroimaan, onko jokin kyberturvallisuuteen liittyvä asia hoidettu asianmukaisesti vai näennäisesti.
Rakennusteollisuus RT on omassa lakilausunnossaan ehdottanut muun muassa sitä, että fyysisen turvallisuuden ja välttämättömien resurssien kyberturvallisuuteen liittyvät asiat voisi keskittää yhdelle valvovalle viranomaiselle toimijasektorista riippumatta.
– Se olisi hyvä keino yhdenmukaistaa sinällään suhteellisen selväpiirteisen asian valvontaa ja samalla myös tehostaa resurssin hyödyntämistä.
Bisnesmahdollisuus
Järvinen tarkastelee NIS2-direktiiviä bisnesetuna. Mieleen sopii palauttaa Euroopan parlamentin jäsenen ja kyberturvallisuuden puolestapuhujan Bart Groothuisin taannoinen toteamus: ”Jos meitä (Eurooppaa) vastaan hyökätään teollisessa mittakaavassa, meidän on reagoitava teollisessa mittakaavassa”.
– Turvataan yritys, turvataan henkilöstö ja tulevaisuus sen sijaan, että hakataan päätä seinään miettien, että miten tämän voisi kiertää.
Yritysten valmiudet siirtyä NIS2-aikaan ovat erilaisia; joku on ehtinyt hamuta jo paniikkinappulaakin. Järvinen rauhoittelee:
– Malttia hosumisen sijasta. Lain voimaantulon jälkeen kannattaa odottaa ihan rauhassa hyvinkin puoli vuotta tai vuosi. Yrityksissä tarvittavaa toimenpidesuunnitelmaa kannattaa laatia rauhassa, ja sen jälkeen määrätietoisesti toteuttaa.
