Asiantuntija: ”Teollisuuden on helpompi vastata NIS2-direktiivin vaatimuksiin IEC-standardisoinnin avulla”

Kyberhyökkäykset ovat nykyään vakava uhka yrityksille ja organisaatioille toimialasta riippumatta. Euroopan unionin NIS2-direktiivin myötä muun muassa kemianteollisuus, elintarviketuotanto ja monet valmistavan teollisuuden toimijat siirtyivät tarkemman seurannan piiriin.

Lisäksi aiemman NIS-direktiivin piirissä olleilta toimijoilta esimerkiksi energia-alalla, liikenteessä ja vesihuollossa edellytetään entistä tarkempaa kyberturvan riskienhallintaa, suojautumista, raportointia ja dokumentointia.

Suomessa NIS2-direktiivi on jo otettu osaksi paikallista lainsäädäntöä, ja Traficom valvoo siihen liittyvää raportointia. NIS2 asettaa kyberturvallisuudelle uuden perusvaatimustason, joka vastaa paremmin moderneihin kyberuhkiin.

– NIS2-direktiivin myötä keskeisiksi ja tärkeiksi määritellyiltä toimijoilta vaaditaan laajasti uusia toimintatapoja esimerkiksi kyberturvallisuuden riskianalyysiin, henkilökunnan kouluttamiseen sekä järjestelmien kehittämiseen ja ylläpitoon, kertoo Umberto Cattaneo, EURA Regional Cybersecurity Business Consultant Lead Schneider Electriciltä.

– Olennainen uusi velvollisuus on merkittävien vaaratilanteiden raportointivelvollisuus kansalliselle viranomaiselle. Lisäksi toimijoiden on huomioitava oman toimitusketjunsa palveluntarjoajien häiriönsietokyky ja kyberturvallisuuskäytännöt.

Teollisuuden standardi auttaa varmistamaan NIS2-mukaisuuden

Direktiivi velvoittaa keskeisiksi ja tärkeiksi määriteltyjä toimijoita osoittamaan, että ne noudattavat NIS2-vaatimuksia. Perusta rakennetaan hyväksytyn ja dokumentoidun kyberturvallisuusstrategian ja riskienhallintaprosessin päälle. Toimijoilla tulee olla myös valmiit prosessit kyberhyökkäyksistä raportointiin sekä teknistä näyttöä ja dokumentointia siitä, että niiden toiminta on hyväksyttävällä tasolla.

Cattaneo kannustaa toimijoita hyödyntämään olemassa olevia standardeja, joiden avulla on helppoa todistaa kyberturvallisuuden olevan kunnossa. Teollisuuden alalla hyvä lähtökohta on IEC 62443 -standardisarja, jossa määritellään automaation ja ohjausjärjestelmien kyberturvallisuuden hallintamallit, tekniset kontrollit ja riskienhallinnan prosessit.

– IEC 62443 tarjoaa yksityiskohtaisia toimenpiteitä, jotka auttavat täyttämään NIS2:n yleiset kyberturvallisuusvaatimukset. Teollisuuden toimija pystyy standardia noudattamalla helposti näyttämään, että riskien tunnistaminen ja hallinta ovat korkealla tasolla. Samalla kertyy dokumentaatiota, jolla toimija voi osoittaa viranomaisille ja asiakkaille noudattavansa NIS2-vaatimuksia.

IEC 62443 -standardi koskee sekä informaatioteknologiaa (IT) että operatiivista teknologiaa (OT). Ennen OT-järjestelmien toiminta oli eriytettyä, mutta raja IT- ja OT-järjestelmien välillä on hämärtynyt huomattavasti viime vuosina. Siksi myös OT-ympäristöjen asianmukainen suojaaminen on entistä tärkeämpää teollisuudessa.

Turvaa ja resilienssiä

Kyberhyökkäysten torjuntaan tarvitaan kahta asiaa: turvallisuutta ja resilienssiä. Kyberturvallisuus on puolustautumista hyökkäyksiä vastaan, ja menestyksen mittari on tietomurtojen torjunta. Resilienssissä taas on kyse pidemmän aikavälin ajattelusta.

– NIS2-direktiivi on laadittu turvaamaan kriittisten toimijoiden työtä ja olennaisia tietoja. Siksi se ohjaa luomaan pitkän aikavälin strategioita, ennakoivia toimenpiteitä ja toimintasuunnitelmia erilaisiin skenaarioihin, Cattaneo kuvailee.

– Vaikka paine kehittää omaa toimintaa tulee lainsäädännöstä, hyötyy jokainen toimija hyvästä resilienssistä. Huolellinen valmistautuminen lyhentää kyberhyökkäyksestä toipumiseen kuluvaa aikaa ja tuotannon keskeytyksiä.

Lue aiheesta lisää englanniksi: From compliance to competitive edge: How NIS2 is redefining OT security for Europe’s industrial leaders

Lisätietoja:

Susanna Niemelä, Brand, PR and Communication Manager, Schneider Electric Finland 

050 3545 666, susanna.niemela@se.com