Rakennusautomaation ja turvallisuusjärjestelmien päivitysten laiminlyönti sekä lisääntyvät integraatiot voivat altistaa Schneider Electricin mukaan älykiinteistöt kyberhyökkäyksille. Tilanteen parantamiseksi järjestelmille tarvitaan selkeitä vähimmäisvaatimuksia sekä viranomainen, joka seuraa ja ohjaa kokonaisuutta.

Rakennusten automaatio- ja turvallisuusjärjestelmät otetaan käyttöön aina voimassa olevien standardien mukaisesti. Niihin tarjotaan jatkuvasti päivityksiä, jotka pitävät muun muassa kyberturvallisuuden ajan tasalla ja uusien standardien ja vaatimusten mukaisena. Käytännössä nämä päivitykset jäävät usein tekemättä, sillä lainsäädäntö ei niitä edellytä.

’’Suomessa vain paloilmoitinjärjestelmiä koskee lakiin perustuva velvollisuus ylläpitää ja päivittää niitä säännöllisesti. Monien muiden järjestelmien kuten LVI-automaation ja kulunvalvonnan päivitykset jäävät rakennuksen omistajan vastuulle ilman selkeää ohjeistusta’’, sanoo Schneider Electric Suomen Digital Energy -liiketoiminnan johtaja Sampsa Niemelä.

Kääntöpuolena ovat lisääntyneet kyberturvallisuusriskit: tietoturvakatkot tai -hyökkäykset voivat aiheuttaa vakavia ongelmia esimerkiksi sairaaloissa, energiantuotantolaitoksissa, datakeskuksissa ja muissa yhteiskunnan kannalta kriittisissä kohteissa.  Kun lisäksi yhä useammat järjestelmät ovat nykyisin yhteydessä pilvipalveluihin ja toisiinsa, syntyy uusia haavoittuvuuksia ja mahdollisia hyökkäysreittejä.

Kääntöpuolena ovat myös lisääntyneet kyberturvallisuusriskit. Esimerkiksi tietoturvakatkot tai -hyökkäykset voivat aiheuttaa vakavia ongelmia esimerkiksi sairaaloissa, energiantuotantolaitoksissa, datakeskuksissa ja muissa yhteiskunnan kannalta kriittisissä kohteissa. Kun lisäksi yhä useammat järjestelmät ovat nykyisin yhteydessä pilvipalveluihin ja toisiinsa, syntyy uusia haavoittuvuuksia ja mahdollisia hyökkäysreittejä. Vakavia haavoittuvuuksia syntyy myös eri järjestelmien integraatiosta.

’’Rakennuksiin asennetaan useiden eri valmistajien tuotteita, joiden yhdistäminen voi synnyttää uusia haavoittuvuuksia. Tällä hetkellä Suomessa ei ole viranomaisohjausta, joka selkeästi opastaisi rakennusten omistajia hallitsemaan tätä riskiä’’, Niemelä kertoo.

Suomessa rakennusten digitaalisen turvallisuuden ohjeistuksia on jo laadittu useita, mutta niiden noudattaminen perustuu tällä hetkellä vapaaehtoisuuteen. Rakennustietosäätiön (RT 103206–103208) ja Sähköinfon (ST 70.40, ST 70.41 ja ST 95.12) ohjeet tarjoavat perustan rakennusten digiturvallisuuden kehittämiselle, mutta ne eivät ole sitovia eikä niiden noudattamista valvota viranomaistasolla.

Viranomaisvalvonta on vasta kehittymässä. Uudet EU-säädökset – kuten CER-asetus, NIS2-direktiivi, Cyber Resilience Act (CRA), Data Act (DA) ja rakennusten energiatehokkuusdirektiivi EPBD – tuovat nyt ensimmäistä kertaa konkreettisia velvoitteita digitaalisen turvallisuuden ja tiedonvaihdon varmistamiseksi. Nykyisin kyberturvaa ohjaavat lisäksi tietosuojalaki ja uusi tietoturvalaki.

Alan toimijan mukaan on kuitenkin epäselvää, miten nämä säädökset vaikuttavat käytännössä rakennusten automaatio- ja turvallisuusjärjestelmien ylläpitoon ja päivittämiseen. Tilanne viranomaisvalvonnassa on vielä kehittymässä, eikä ole selkeää yksittäistä valvojaelintä, joka kattaisi rakennusten digiturvallisuuden kokonaisuutena. Traficom ja sen alainen Kyberturvallisuuskeskus julkaisevat ohjeita, mutta niiden rooli ei ulotu rakennustason järjestelmien aktiiviseen valvontaan.

Automaatiosuunnittelijoille ei myöskään ole asetettu pätevyysvaatimuksia, jotka sisältäisivät digiturvallisuuden osaamista – mikä muodostaa merkittävän aukon alan osaamisessa ja riskienhallinnassa.  Julkisen ja yksityisen sektorin yhteistyö suositeltavaa Niemelän mielestä.

Suomeen pitäisi hänen mukaansa luoda vähimmäisvaatimukset järjestelmien tietoturvapäivityksille erityisesti kriittisissä rakennuksissa kuten sairaaloissa, datakeskuksissa ja logistiikkakeskuksissa. Lisäksi tarvitaan viranomaisen antamaa selkeää ohjeistusta ja aktiivista yhteistyötä alan asiantuntijoiden kanssa eli julkisen ja yksityisen sektorin yhteistyötä.

Kuvituskuva: Schneider Electric

Päivitetty 14.11.2025