Uusilla tur­val­li­suus­mää­räyk­sillä suuret vaikutukset teollisuuden di­gi­ta­li­saa­tioon

Uusia digitaalisia innovaatioita käyttöön ottavien teollisuusyritysten on kiinnitettävä entistä enemmän huomiota viranomaismääräyksiin. Euroopan unioni, Yhdysvallat, kansainväliset toimialajärjestöt ja standardointielimet ovat piakkoin julkaisemassa useita etenkin kyberturvallisuuteen liittyviä määräyksiä. Ne tulevat vaikuttamaan lähes kaikkiin sulautettuja ratkaisuja ja digitaalisia palveluja kehittäviin aloihin. Mitkä määräykset on tunnettava välttyäkseen vaikeuksilta?

Missä tahansa uudessa teollisuuden digitalisaatioprojektissa on yleensäkin tärkeää selvittää määräysten asettamat vaatimukset ja täyttää ne varhaisessa vaiheessa. Kansallisten, alueellisten ja/tai globaalien määräysten rikkomisella voi olla kalliit ja tuhoisat seuraukset. Jos määräystenmukaisuuteen kiinnitetään huomiota vasta jälkeenpäin, voidaan kehitystyössä joutua palaamaan alkuruutuun.

”Yleinen virhe perinteisesti vähemmän säännellyillä laitteiden ja digitaalisten palvelujen aloilla on, että ei huomata, että Euroopan unionissa, Yhdysvalloissa, Kiinassa ja muissa maissa ja muilla alueilla voi olla erilaisia määräyksiä. Jos yritys jossain vaiheessa haluaa viedä tuotteen kaikille markkinoille, on parasta ottaa kaikki vaatimukset huomioon jo heti alussa”, sanoo Etteplanin kyberturvallisuusmääräysten asiantuntija, myyntijohtaja Antti Tolvanen Ohjelmistot ja sulautetut ratkaisut ‑palvelualueelta.
 

Tärkeitä määräyksiä tulossa vuonna 2024

On helppo ymmärtää, miksi operatiivista teknologiaa, kuten teollisia tuotantojärjestelmiä ja ‑ratkaisuja, koskevia uusia kyberturvallisuusmääräyksiä otetaan käyttöön. Operatiivinen teknologia (OT) on elintärkeä osa yhteiskunnan kriittistä infrastruktuuria, ja sitä tarvitaan teollisten prosessien ajamiseen tehtaissa. OT:n toiminnallinen turvallisuus on perinteisesti ollut kunnossa. Tietoteknologiaan (IT) verrattuna OT-ratkaisujen kyberturvallisuuteen on kuitenkin aikaisemmin kiinnitetty vähemmän huomiota.

”OT:hen liittyvät kyberhäiriöt voivat aiheuttaa valtavia taloudellisia tappioita menetetyn tuotannon vuoksi. Lisäksi ne voivat aiheuttaa valtavia turvallisuusriskejä ihmisille, omaisuudelle ja ympäristölle”, Tolvanen sanoo.

Euroopan unionissa uusi NIS2-direktiivi tulee vaikuttamaan joko suoraan tai epäsuorasti lähes jokaiseen yritykseen, sillä se koskee yrityksiä erittäin laajasti. Se on määrä sisällyttää kansallisiin lakeihin vuoden 2024 loppuun mennessä. Operatiivisen teknologian, kuten teollisten laitteistojen, valmistajien on noudatettava direktiiviä.

”NIS2-direktiivissä lähes kaikki sähköisten tuotteiden valmistajat luokitellaan niin kutsutuiksi tärkeiksi toimijoiksi, joiden tulee ottaa käyttöön asianmukainen tietoturvallisuuden hallintajärjestelmä. Asianmukaiset turvalliset kehitysmenettelyt liittyen esimerkiksi laitteisiin ja digitaalisiin palveluihin tulevat pakollisiksi myös suorille toimittajille.”
 

Sääntely parantaa kyberturvallisuusasemaa

Tolvasen mukaan globaali autoteollisuus on hyvä esimerkki siitä, miten NIS2 tulee parantamaan yritysten kyberturvallisuusasemaa:

”Autoteollisuuden OEM-valmistajien ja käytännössä kaikkien niiden tason 1 toimittajien täytyi ottaa käyttöön kyberturvallisuuden hallintajärjestelmä vuonna 2021, sillä siitä tuli yksi uusien autotyyppien tyyppihyväksynnän vaatimuksista heinäkuussa 2022. Autoteollisuudessa osa kyberturvallisuuden hallintajärjestelmiä koskevista vaatimuksista on ulotettu koskemaan myös tasojen 2 ja 3 toimittajia”, Tolvanen sanoo.

Radiolaitedirektiiviä täydentävän delegoidun asetuksen 3 artiklan 3 kohdan d, e ja f alakohdat säätelevät lähes kaikkien EU:ssa myytävien langattomien radiolaitteiden kyberturvallisuutta. Määräysten vastaisten laitteiden myynnistä EU:ssa tulee laitonta 1.8.2024.

Teollisuuden laitteiden tulee muutaman vuoden päästä täyttää laitteen tai digitaalisen ratkaisun käyttötarkoituksen mukaan myös yleisen tuoteturvallisuusasetuksen, tekoälyasetuksen ja koneasetuksen uudet kyberturvallisuusvaatimukset, joita ollaan parhaillaan laatimassa tai päivittämässä. Samoin kuin radiolaitedirektiivi, nämä uudet asetukset tekevät tuotteiden ja digitaalisten palvelujen myynnistä EU:ssa laitonta, elleivät ne täytä uusia kyberturvallisuusvaatimuksia.

Viranomaismääräysten täyttämiseen, tuoteturvallisuuteen ja kyberturvaan panostaminen vaatii merkittävästi osaamista – ja monissa tapauksissa paksua lompakkoa, ainakin jos yritys haluaa hoitaa kaiken itse. Tavanomaisilla T&K-osastoilla ei useinkaan ole kyberturva-asiantuntijoita omasta takaa.

”Nykyään teollista IoT- tai Saas-kehitysprojektia ei kannata aloittaa noudattamatta turvallista tuote- tai sovelluskehitysprosessia alusta asti, sillä muuten on suuri riski, että juridiset vaatimukset jäävät täyttämättä ja tuotteen elinkaari markkinoilla jää lyhyeksi. Lisäksi näkisin, että voimassa olevien kyberturvalakien noudattamatta jättäminen vaikeuttaa myös vakuutuskorvausten saamista kyberhäiriötilanteiden aiheuttamista kustannuksista”, Tolvanen sanoo.