Uusi kyberturvalaki tuo mukanaan vaatimuksia, jotka koskevat kaikkia toimialoja Suomessa. Mutta miten näitä vaatimuksia sovelletaan käytännössä tuotantoympäristöissä, joissa koneet ja järjestelmät pyörivät?  

Haaste ei ole vaatimusten olemassaolo – vaan se, että laki on kirjoitettu yleisellä tasolla, eikä se kerro, miten vaatimukset viedään käytäntöön tuotantojärjestelmissä. 

Mitä kyberturvalaki oikeasti vaatii? 

Kyberturvalakiin sisällytetyn NIS2-direktiivin keskeinen vaatimus (artikla 21, kohta 2) edellyttää, että yrityksillä on riskienhallintaprosessit ja kyvykkyys osoittaa niiden toimivuus. Käytännössä tämä tarkoittaa muun muassa turvallisuuspolitiikkoja, teknisiä toiminnallisuuksia, toimintamalleja poikkeamiin ja jatkuvuuden varmistamista. 

Vaatimukset ovat kuitenkin luonteeltaan geneerisiä. Ne tarkastelevat yhtiötasoa: onko prosesseja, onko kyvykkyyksiä, onko dokumentaatiota. Konkreettisia ohjeita siitä, miten vaatimukset toteutetaan tuotantokoneilla ja -linjoilla, ei laista löydy. 

Tämä jättää tuotantopuolelle merkittävän tulkinta- ja toteutusaukon. 

Tuotanto ja IT eivät ole sama asia 

Laki koskee sekä IT- että tuotantoympäristöjä, mutta niiden erilaisuus tekee yhtenäisen toteutuksen haastavaksi. Yritysten pitää pohtia: suojataanko tuotanto osana IT-arkkitehtuuria samoin kontrollein, vai käsitelläänkö sitä omana kokonaisuutenaan? 

Tuotantojärjestelmät eroavat IT-järjestelmistä monin tavoin: 

– Elinikä: Tuotantokoneet voivat olla käytössä kymmeniä vuosia. Niitä ei päivitetä samaan tahtiin kuin IT-järjestelmiä, eikä se usein ole edes mahdollista. 

– Tekniset rajoitteet: Monet tuotantokoneet eivät tue moderneja IT-suojaustoimia. Esimerkiksi käyttäjäkohtaista tunnistautumista tai lokitusta ei välttämättä pysty toteuttamaan suoraan laitteessa. 

– Käytettävyysvaatimukset: Tuotantolinja ei saa pysähtyä. Kyberturvatoimenpiteet eivät voi vaarantaa tuotannon jatkuvuutta, muuten itse suojauksesta tulee riski. 

Jos IT:n ”kilpi” kopioidaan sellaisenaan tuotantoon, törmätään nopeasti teknisiin mahdottomuuksiin – ja aukot jäävät tukkimatta. 

Standardit antavat suunnan, mutta eivät riitä yksin 

Eurooppalainen standardi IEC 62443 tarjoaa ohjenuoran teollisuusympäristöjen kyberturvallisuuteen. Se on hyvä lähtökohta, mutta perustuu uhkalähtöiseen arviointiin – ja tässä piilee sudenkuoppa. 

Tyypillinen kuvio etenee näin: 

1. Valitaan uhkataso koneelle tai laitokselle. 

2. Käydään läpi suojaustason vaatimukset. 

3. Huomataan, että vanhasta laitteesta puuttuu tarvittavia ominaisuuksia. 

4. Vaatimukset ohitetaan merkitään ”hyväksytyiksi riskeiksi”. 

Lopputuloksena on lista poikkeuksia – ja suojaukseen jää reikiä, jotka eivät katoa vain siksi, että ne on kirjattu hyväksytyiksi. 

Lähtökohdaksi liiketoiminnan riskit ja seuraamukset 

Ratkaisu löytyy lähestymistavan muutoksesta. Sen sijaan, että edetään uhkatasoista käsin, kannattaa kysyä ensin: mitä liiketoiminnalle tapahtuu pahimmillaan, jos jokin menee pieleen? 

Tämä on seuraamusperusteisen riskianalyysin ydin. Ylätasolla tarkoitus on tunnistaa ne merkittävät riskit, jotka vaikuttavat liiketoimintaan. Liiketoimintavaikutukset voivat olla esimerkiksi: 

– Henkilöturvallisuus; Voiko kyberuhka vaarantaa työntekijöiden tai ympäristön turvallisuuden? 

– Tuotteen laatu; Voiko ulkopuolinen taho vaikuttaa tuotantoprosessiin niin, että laatu kärsii? 

– Käytettävyys; Voiko tuotanto pysähtyä tai toimituskyky heikentyä olennaisesti? 

– IPR-suoja; Voiko arkaluonteinen tuotantotieto tai osaaminen vuotaa? 

Kun nämä liiketoimintavaikutukset on tunnistettu ylätasolla, syntyy pohja järjestelmäkohtaisille, tarkemmille, analyyseille. Tiedetään, mitä oikeasti pitää suojata – ja miksi. Tämä tekee seuraavista vaiheista huomattavasti hallitumpia ja kohdennettuja. 

Mikä vie takaisin vaatimusten mukaisuuteen 

Kun lähtökohtana ovat liiketoiminnan kannalta merkittävät vaikutukset, toimenpiteet voidaan perustella ja mitoittaa oikeasuhtaisesti. Tämä on myös NIS2:n hengen mukaista: laki ei vaadi kaikkea kaikkialle, vaan ”oikeasuhtaista riskienhallintaa” sekä oman ympäristön merkittäviin riskiehin varautumista. 

Seuraamusperusteinen lähestymistapa tuottaa: 

– selkeän perustelun sille, mitä suojataan ja miksi, 

– realistisen pohjan järjestelmäkohtaiselle jatkotarkastelulle, 

– ja dokumentoitavan näytön siitä, että riskienhallinta on tehty harkitusti. 

Näin kyberturvalain vaatimukset eivät jää pelkäksi IT-tason politiikaksi, vaan ne saavat jalansijan myös tuotannossa – siellä missä liiketoiminta oikeasti tapahtuu.