Kyberturvallisuuden velvoittava lainsäädäntö tulee
Ennen ajateltiin, että kaikkien toimijoiden on syytä käsitellä henkilötietoja varoen ja huolellisesti, meidän kaikkien yhteisen hyvän vuoksi. Homma ei kuitenkaan toiminut parhaalla tavalla siihen luottaen, että kaikki toimivat fiksusti, ja tietosuojan osalta luotiinkin velvoittavaa lainsäädäntöä sanktioineen. Tunnemme sen koodinimellä GDPR. Vasta velvoittavan lainsäädännön myötä organisaatiot alkoivat ryhdistäytyä henkilötietojen käsittelyn osalta. Nyt vastaava muutos on tapahtumassa kyberturvallisuuden osalta: velvoittava lainsäädäntö on tulossa voimaan, sanktiot ovat kovat ja riskilähtöistä varautumista vaaditaan. Tässä tapauksessa koodinimi on NIS2. Muutos tehdään, koska tarve on ilmeinen: kyberturvallisuuspoikkeamien määrä on kasvussa ja läpikotaisin digitalisoituneessa maailmassamme uhat ovat aiempaa suurempia. Myös tuulivoimatoimijoiden osalta on jo käynyt niin, että kyberturvallisuuden riskienhallinta ”jos jotakin tapahtuu” muuttui muotoon, ”kun tapahtui” – ja suunta on, että tapahtuu yhä enemmän ja kohdennetummin kokonaisuudessaan energiatoimialalla. Siksi kriittisen infrastruktuurin toimijoina meitä koskevat erityisen tiukat vaatimukset. Joten: NIS2 tulee, oletko sinä valmis?
”Vielä viisi vuotta sitten kyberturvallisuuden osalta sai tehdä valistustyötä, jossa maalattiin uhkakuvaa siitä, mitä tapahtuu, jos yritystä kohtaa kiristyshaittaohjelma tai kohdennettu edistynyt kyberhyökkäys. Valitettavasti nyt joutuu puhumaan, että ”kun joudutte kohdennetun kyberhyökkäyksen kohteeksi ja kuinka hallitsette kyberturvallisuuspoikkeamia osana normaalia toimintaa”. Tässä maailmassa kyse ei ole enää huonosta tuurista, vaan suuresta todennäköisyydestä, jos ja kun kyberuhka realisoituu omalla kohdalla. Silti on vielä paljon organisaatioita, jotka ovat melko suojattomia kyberuhkien osalta ja valitettavasti myös välinpitämättömiä – kunnes osuu tarpeeksi vakavasti tuulettimeen. Siksi on hyvä, että asiaan luodaan velvoittavaa lainsäädäntöä. Tiedosta ja tietoverkoista on tullut erittäin arvokasta pääomaa myös verkkorikollisille. Maailmassa tapahtunut kehitys ei olisi ollut mahdollista ilman digitaalisuutta, mutta samalla on rakennettu järjestelmä, joka on äärettömän haavoittuva. Toiminnan jatkuvuuden turvaaminen ja säännöllisesti testattu kyvykkyys palautua ovat erittäin keskeistä”.
Näin realiteetteja listaa kyberturvallisuuspalveluista vastaava johtaja Ismo Karttunen, Rejlersiin nykyään kuuluvasta Three Kingsistä. NIS2 (Network and information Security Directive) direktiivin säännöksiin perustuva kansallinen lainsäädäntö astuu voimaan 17.10.2024. Hallitus on laatinut esityksen eduskunnalle kyberturvallisuusdirektiivin, eli NIS2-direktiivin, täytäntöönpanemiseksi. Hallituksen esityksessä ehdotetaan säädettäväksi laki kyberturvallisuuden riskienhallinnasta. Suomessa se on vain osa laajempaa kokonaisuutta, mutta ensimmäinen palanen, josta tehdään keskeisiä ja tärkeitä toimijoita velvoittavaa lainsäädäntöä. ”Lisää on tulossa. Kuitenkin esimerkiksi automaatiojärjestelmien kyberturvallisuusstandardi IEC62443 on vielä vapaaehtoinen, vaikka myös se on erittäin hyvä teollisuuden kyberturvallisuutta täydentävä standardi, joka parhaimmillaan auttaa rakentamaan kestävän ja määrämuotoisen pohjan tuulivoimapuistojen verkkoturvallisuudelle. Näen, että sen noudattaminen antaa alan toimijoille merkittävää kilpailuetua, vaikka velvoittavuus sen osalta vielä jääkin puuttumaan”, Karttunen sanoo.
Ylin johto vastuuseen
NIS2-direktiivin ja sen implementoinnin myötä yrityksen johto on yksiselitteisesti vastuussa kyberturvallisuudesta. Jokaisen yrityksen johdon vastuulla on varmistaa, että henkilöstöllä on riittävä osaaminen ja ymmärrys kyberturvallisuudesta sekä järjestää riittävä koulutus ja varmistaa kokonaisturvallisuuden toteutuminen.
”Johtoportaan on luonnollisesti kouluttauduttava myös itse, jotta on edellytyksiä ymmärtää toimintaan liittyvät riskit. Osaamisen kehittämisen on oltava jatkuvaa, sillä myös kyberturvallisuusuhat muuttuvat alati. NIS2:n taustalla oleva ajattelu on hyvin riskilähtöistä. On oltava kyky ajatella, mitkä riskit uhkaavat toimintaa ja miten ne realisoituvat”, Karttunen kuvaa tulevaa sääntelyä.
”Minusta oikeastaan parasta NIS2:ssa on se, että kyberturvallisuus on jatkossa nimenomaan ylimmän johdon vastuulla. Epämiellyttäviä uhkia ja riskejä ei voi enää sälyttää organisaatiossa muille, jotka niitä sitten parhaansa mukaan yrittävät nostaa esiin johdon tärkeiden asioiden agendalla.
Moni yritys onkin nyt heräämässä uuteen ajattelutapaan, ja briiffaan yrityksiä viikoittain tästä aiheesta”, Karttunen sanoo. Energiatoimijat luetaan kriittisen tärkeiksi NIS2 jakaa toimijat kahteen ryhmään: kriittisiin eli keskeisiin toimijoihin ja tärkeisiin toimijoihin. Ensimmäiseen keskeisten toimijoiden joukkoon kuuluvat muun muassa energia-, vesi- ja terveydenhuolto, liikenne-, pankki- ja finanssimarkkinan toimijat. Tärkeiden toimijoiden ryhmään kuuluvat muun muassa kemikaalialan toimijat, digitaalisten palveluiden tuottajat ja elintarvikealan toimijoita. NIS2:N velvoittavuus tarkoittaa, että tietoturvahallinnan perusperiaatteet pitää olla toteutettuina. Varmistettavien asioiden lista on pitkä: suunnitelmat tietoturvan ylläpitämiseksi ja turvaamiseksi tulee olla luotuina, käytänteet tietoturvapoikkeaminen havaitsemiseksi ja hallinnoimiseksi tulee olla selkeinä, pitää varmistaa kyvykkyys reagoida ja raportoida tietoturvapoikkeamien kohdatessa yritystä. Eikä siinä vielä kaikki: haavoittuvat laitteet tulee hallita ja turvata, pitää luoda suunnitelmat toiminnan jatkuvuuden varmistamiksi tietoturvapoikkeaman jälkeen, fyysinen toimintaympäristö on turvattava mielekkäällä tavalla ja tietoturvapoikkeamista on ilmoitusvelvollisuus viranomaisille.
Erityisen haastavaksi vaatimuslistan tekee se, että edellä listatut asiat on hallittava paitsi oman organisaation, myös toimitusketjun alihankkijoiden ja toimittajien osalta. Yrityksen on jollakin tavalla kartoitettava myös toimittajan toimintaympäristöä uhkaavat tietoturvariskit ja varmistuttava, että varautuminen on tehty NIS2:n edellyttämällä tavalla. Tämäkin kirjaus tulee lainsäädäntöön syystä: on lukuisia esimerkkejä siitä, että yritykseen on murtauduttu luotetun kumppanin tietojärjestelmien kautta. ”Tämä kohta vaatii paljon sopimustekniikalta, kykyä tarkistaa ja valvoa yrityksen toimintakenttää omaa konttoria laajemmin”, Karttunen sanoo.
Yhtenä erityispiirteenä uudesta sääntelystä Karttunen nostaa esiin ilmoitusvelvollisuuden viranomaisille. Asian tärkeyttä ja johdon merkittävää vastuuta alleviivataan sanktioilla, jotka ovat merkittävät: keskeisillä toimijoilla 10 miljoonaa euroa tai 2 prosenttia koko yrityksen liikevaihdosta ja tärkeäksi luokitelluilla toimijoilla 7 miljoonaa euroa tai 1,4 prosenttia yrityksen edellisen tilikauden kokonaisliikevaihdosta. ”Tämä on raju mutta tarpeellinen muutos”, Karttunen summaa.