Tehokas menetelmä kyberturvallisuusriskien hallintaan teollisuudessa ja teollisuutta palvelevassa liiketoiminnassa Kurssi

Tunnista kriittisimmät uhat ennen kuin ne realisoituvat. Opi analysoimaan riskit ja varautumaan pahimpaan CER-direktiivin ja huoltovarmuuslain vaatimusten mukaisesti.

Perinteiset riskianalyysit ovat melko monimutkaisia ja siksi ne usein järjestelmien rakennusvaiheessa ohitetaan. Tämä altistaa yritykset tunnistamattomille kyberriskeille, joiden korjaaminen jälkikäteen kuluttaa yrityksen resursseja ja kasvattaa kustannuksia. 

Suomalaisen kyberturvalain vaatimukset eivät suoraan sovellu tuotantoympäristöjen erilaisiin monimutkaisiin järjestelmiin, joten niiden käytännön toteuttaminen edellyttää räätälöityä, seuraamusperusteista riskianalyysiä aukkojen minimoimiseksi.

NIS 2 -direktiivin mukaiset velvoitteet tulivat voimaan 8.4.2025. NIS 2 on Euroopan unionin kyberturvallisuusdirektiivi.

HE 205/2024 | Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi | Hallituksen esitykset | Finlex

2.2.5 Kriittisten toimijoiden häiriönsietokyky

CER-direktiivin III luku sääntelee kriittisten toimijoiden riskiarviointia, toimijoiden toimenpiteitä häiriönsietokyvyn varmistamiseksi, taustantarkistuksia, poikkeamista ilmoittamista ja standardeja koskevia suosituksia.

CER-direktiivin III luvun 12 artiklassa säädetään kriittisten toimijoiden suorittamasta riskiarvioinnista. Jäsenvaltioiden on varmistettava, että riskiarvioinnit on suoritettu määräajassa sen jälkeen, kun toimija on vastaanottanut ilmoituksen siitä, että se on määritetty kriittiseksi toimijaksi ja myöhemmin tarvittaessa ja vähintään neljän vuoden määrävälein. Riskiarvioinneissa on otettava huomioon artiklan 2 kohdan mukaan kaikki merkitykselliset luonnon ja ihmisten aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Myös toimialojen ja rajat ylittävät riskit, onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut vihamieliset uhat on otettava huomioon. Riskiarvioinnissa on otettava huomioon se, missä määrin muut CER-direktiivin liitteessä tarkoitettujen toimialojen toimijat ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta. Tämä kattaa myös naapurijäsenvaltiot ja kolmannet maat.

Jos riskiarviointeja tai asiakirjoja on tehty muiden säädösten velvoitteiden perusteella, niitä voidaan käyttää 12 artiklassa säädettyjen vaatimusten täyttämiseen.

CER-direktiivin 13 artikla koskee kriittisten toimijoiden (alla tiivistetty lista) toimenpiteitä häiriönsietokyvyn varmistamiseksi.

Komissio on antanut delegoidun asetuksen (EU) 2023/2450 Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla ei-tyhjentävän luettelon keskeisistä palveluista seuraavasti:

• energia-ala: johon kuuluu 8 alasektoria mm. Sähkön-, kaukolämmön-, öljyn, vedyn jakelu, tuotanto sekä ja varastointi
• elintarvikealan tuotanto, jalostus ja jakelu (elintarvikeyritykset, jotka toimivat yksinomaan logistiikan ja tukkukaupan sekä laajamittaisen teollisen tuotannon ja jalostuksen alalla)
• liikenneala: jossa 3 alasektoria mm. ilma-, raide ja vesiliikenne, lentokentät, satamat ja liikenteenhallinta
• juomavesiala ja jätevesiala mm. jäteveden keruu, käsittely ja poistaminen.
• terveysala: mm terveydenhuoltopalvelujen järjestäminen, lääkinnällisten laitteiden valmistaminen ja lääkkeiden jakelu
• pankki- ja rahoitusala ala
• digitaalisen infrastruktuurin ala, mm pilvipalvelujen ja internetin yhdysliikennepalvelujen tarjoaminen ja hallinnointi
• julkishallinnon ala
• avaruusala.