Euroopan unionin uuden NIS2-direktiivin velvoitteet tulivat Suomessa voimaan kuluvan vuoden keväänä. Jatkossa teollisuuden kriittisten alojen toimijoilta edellytetään entistä parempaa verkko- ja tietoturvan tasoa sekä tarkkoja raportointikäytäntöjä. Niihin päästään helpoiten esimerkiksi IEC-standardisoinnin avulla.

Kyberhyökkäykset ovat nykyään vakava uhka yrityksille ja organisaatioille toimialasta riippumatta. Euroopan unionin NIS2-direktiivin myötä muun muassa kemianteollisuus, elintarviketuotanto ja monet valmistavan teollisuuden toimijat siirtyivät tarkemman seurannan piiriin.

Schneider Electricin Umberto Cattaneo suosittelee teollisuusyrityksiä tukeutumaan valmiisiin standardeihin, joita noudattamalla on helppoa nostaa oma OT-kyberturvallisuus direktiivin vaatimalle tasolle.

Suomessa NIS2-direktiivi on jo otettu osaksi paikallista lainsäädäntöä, ja Traficom valvoo siihen liittyvää raportointia. NIS2 asettaa kyberturvallisuudelle uuden perusvaatimustason, joka vastaa paremmin moderneihin kyberuhkiin. Aiemman NIS-direktiivin piirissä olleilta toimijoilta esimerkiksi energia-alalla, liikenteessä ja vesihuollossa edellytetään entistä tarkempaa kyberturvan riskienhallintaa, suojautumista, raportointia ja dokumentointia.

Uusi direktiivi velvoittaa keskeisiksi ja tärkeiksi määriteltyjä toimijoita osoittamaan, että ne noudattavat NIS2-vaatimuksia. Perusta rakennetaan hyväksytyn ja dokumentoidun kyberturvallisuusstrategian ja riskienhallintaprosessin päälle. Toimijoilla tulee olla myös valmiit prosessit kyberhyökkäyksistä raportointiin sekä teknistä näyttöä ja dokumentointia siitä, että niiden toiminta on hyväksyttävällä tasolla.

Schneider Electricin Umberto Cattaneo kannustaa toimijoita hyödyntämään olemassa olevia standardeja, joiden avulla on helppoa todistaa kyberturvallisuuden olevan kunnossa. Teollisuuden alalla hyvä lähtökohta on IEC 62443 -standardisarja, jossa määritellään automaation ja ohjausjärjestelmien kyberturvallisuuden hallintamallit, tekniset kontrollit ja riskienhallinnan prosessit.

IEC 62443 -standardi koskee sekä informaatioteknologiaa (IT) että operatiivista teknologiaa (OT). Ennen OT-järjestelmien toiminta oli eriytettyä, mutta raja IT- ja OT-järjestelmien välillä on hämärtynyt huomattavasti viime vuosina. Siksi myös OT-ympäristöjen asianmukainen suojaaminen on entistä tärkeämpää teollisuudessa.

Kyberhyökkäysten torjuntaan tarvitaan kahta asiaa: turvallisuutta ja resilienssiä. Kyberturvallisuus on puolustautumista hyökkäyksiä vastaan, ja menestyksen mittari on tietomurtojen torjunta. Resilienssissä taas on kyse pidemmän aikavälin ajattelusta.

Lisää: Schneider Electricin artikkeli ’’From compliance to competitive edge: How NIS2 is redefining OT security for Europe’s industrial leaders’’ (LINKKI), IEC 62443 (LINKKI) ja Traficomin NIS2-tietoa (LINKKI) ja aiemmat NIS2-uutiset Uusiteknologia.fi:ssä (LINKKI).

Kuvituskuva:  Schneider Electric