NIS2-kyberturvallisuusdirektiivin velvoitteet elintarvikealan näkökulmasta – kybertuvallisuuden hallinta haastaa älytehtaassa

Teknologian lisääntymisen varjopuolena on se, että teollisuuden on varauduttava enenevissä määrin kyberhäiriöiden riskeihin. Useimmissa elintarvikealan yrityksissä on käytössä tuotannon ohjaamisen kannalta tärkeitä verkottuneita tietojärjestelmiä sekä henkilö- ja maksutietojen hallintajärjestelmiä, jotka ovat alttiita kyberhyökkäyksille. Raporttien mukaan vuoden 2022 ensimmäisellä neljänneksellä toteutettiin 12 merkittävää kyberhyökkäystä elintarviketeollisuuteen Euroopassa. Hyökkäysten kohteeksi joutuivat muun muassa meijeri, valmisruoka- ja suklaatehdas. Kyberhyökkäyksistä johtuvat häiriöt ovat aiheuttaneet yrityksille ongelmia tuotteiden toimituksessa ja valmistuksessa, sekä taloudellisia tappioita ja mainehaittaa.

Mistä NIS2-direktiivissä on kyse?

EU:ssa julkaistiin vuonna 2020 kyberturvallisuusstrategia, jonka tarkoituksena on vahvistaa sietokykyä kyberuhkia vastaan ja varmistaa, että Euroopassa voidaan hyötyä luotettavista palveluista ja digitaalisista välineistä. Kyberturvallisuusstrategiaa tukemaan julkaistiin NIS2-kyberturvallisuusdirektiivi (2022/2555), joka tuli voimaan 16.1.2023. Direktiivillä pyritään yhtenäistämään kriittisten sektoreiden vähimmäistason kyberturvallisuusriskienhallinta- ja raportointivelvoitteita. NIS2-direktiiviä sovelletaan yhteiskunnan kannalta merkityksellisiin toimijoihin, jotka jaotellaan direktiivissä keskeisiin ja tärkeisiin toimijoihin. Keskeisiä toimijoita ovat esimerkkisi talousvesilaitokset, kun taas tärkeisiin toimijoihin luetaan keskisuuret ja suuret elintarvikeyritykset, jotka harjoittavat tukkukauppaa sekä teollista tuotantoa ja jalostusta.

Direktiivin velvoitteet

NIS2-direktiivin uudet tärkeimmät vaatimukset voidaan jaotella seuraavasti:

1. Toimijan kyberturvallisuusriskienhallinta pitää olla kunnossa. Toimijan on varmistettava riskipohjainen, kokonaisvaltainen tarkastelu sisäisten kuin ulkoisten (jakeluketju yms.) kyberuhkien varalle.
2. Uusi velvoite toimijan raportointivelvollisuudesta toimivaltaiselle viranomaiselle merkittävistä kyberturvallisuuteen liittyvistä poikkeamista.

Direktiivi myös määrittää erilaisia valvontatoimenpiteitä valvovan viranomaisen toimesta, joka myös voi jatkossa asettaa sanktioita kyberturvallisuuden laiminlyömisestä.

Toimijoiden tulee hallita riskejä ja minimoida mahdolliset häiriöt tai vaikutukset palvelujen vastaanottajiin ja muihin palveluihin. Näitä varmistetaan kyberturvallisuusriskien hallintatoimenpiteillä, joiden tulee sisältää seuraavat:

• riskianalyysit
• tietojärjestelmien turvallisuuspolitiikat
• poikkeamien käsittely
• toiminnan jatkuvuuden hallinta sekä kriisihallinta
• toimintaketjun turvallisuus
• verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
• toimintaperiaatteet ja menettelyt koskien
  • kyberturvallisuusriskien hallintatoimenpiteiden tehokkuuden arviointia, sekä
  • kryptografiaa ja salausten käyttöä
• kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
• henkilöstöturvallisuus
• pääsynhallintaperiaatteet
• omaisuudenhallinta

Toimijoiden tulee ilmoittaa toimivaltaiselle viranomaiselle merkittävistä kyberturvallisuuden poikkeamista ilman aiheetonta viivytystä. Poikkeamaa pidetään merkittävänä, jos se on johtanut tai voi johtaa vakavaan häiriötilanteeseen palvelujen toiminnassa tai aiheuttanut taloudellisia tappioita asianomaiselle toimijalle, tai jos poikkeama on vaikuttanut tai voisi vaikuttaa muihin ihmisiin tai yrityksiin aiheuttaen merkittävää aineellista tai aineetonta vahinkoa.

Viranomaisvalvonnan toimenpiteet riippuvat siitä, luokitellaanko toimijat keskeisiksi vai tärkeiksi toimijoiksi. Molemmille toimijoille suoritetaan säännölliset ja kohdennetut turvallisuusauditoinnit. Lisäksi keskeisille toimijoille voidaan suorittaa satunnaistarkistuksia. NIS2-direktiivin rikkomisesta toimijalle voidaan määrätä erilaisia sanktioita, muun muassa varoituksia tai sakkoja. Keskeisillä toimijoilla on korkeammat sanktiot verrattuna tärkeisiin toimijoihin.