Kyberturvallisuusdirektiivin piiriin kuuluvat kaikki keskisuuret ja suuret yritykset, jotka toimivat kriittisillä toimialoilla. Lisäksi koosta riippumatta NIS2-direktiivi koskee kaikkia organisaatioita, jotka on määritelty kansallisesti kriittisiksi toimijoiksi. Lokakuussa 2024 voimaan astuva kyberturvallisuusdirektiivi NIS2 vaikuttaa moneen toimialaan, joista yksi keskeisiä on energia-ala.
NIS2:n piiriin kuuluvat toimialat jaotellaan keskeisiin ja tärkeisiin. Energia-ala lukeutuu näistä ensimmäiseen ryhmään – onhan se koko infran toiminnan ydintä. Yhteiskunnan kannalta niin lämmön kuin sähkönkin tuotanto ja jakelu ovat erityisen keskeisessä asemassa.
Mutta onko energia-alalla joitakin erityistä huomioon otettavaa NIS2:n kannalta? Loihteen tietoturvakonsultti Juha Pennanen toteaa, että energia-alalla on etenkin yksi piirre, jolla se erottuu monista muista toimialoista.
”Arvioisin, että energia-alan yrityksissä toiminta on ulkoistettu jopa 80 prosenttisesti alihankkijoille. Esimerkiksi kriittiset järjestelmät ovat usein ulkopuolisten toimittajien ylläpidossa. Lisäksi muun muassa asennus tai vaikkapa valvonta voi olla täysin alihankkijoiden kontolla”, hän kuvailee.
Kun tekemisessä korostuu alihankkijoiden rooli, riskinä on Pennasen mukaan se, että omasta osaamisesta ei pidetä riittävästi kiinni.
”Tekemistä voi ostaa, mutta vastuuta ei silti voi ulkoistaa. Viime kädessä yritys kantaa aina vastuun omasta toiminnastaan. Vaikka kumppani hoitaa jotain asiaa, on tärkeää tietää ja ymmärtää käytännössä mitä tapahtuu”, Pennanen vahvistaa.
OT- ja IT-verkot eivät ole koskaan täysin erillisiä
Toinen energia-alan erityispiirre liittyy OT- ja IT-verkkoihin, joista usein vastaavat eri henkilöt. Tämä on tietoturvan kannalta haasteellista, sillä turvallisuus on kuitenkin yksi ja sama kokonaisuus. Eri verkkoja ei voi erottaa toisistaan, vaan OT on myös IT:tä.
Täysin suljettuja OT-verkkoja ei käytännössä Pennasen mukaan enää ole, sillä aina on tarvetta tiedonsiirtoon esimerkiksi raportoinnin, valvonnan tai huollon takia. Oman haasteensa tietoturvalliselle tiedonsiirrolle tuo OT-verkkojen usein varsin kirjava ja iäkäskin laitekanta.
”Energiayhtiöissäkään vaikkapa sähköverkkoihin ja jakeluun sekä valvontaan liittyvät OT-verkot eivät ole täysin irrallaan toimisto-IT:stä. Oleellista onkin, että organisaatiossa on käsitys verkkojensa kokonaisuudesta. Tietotekninen kokonaisymmärrys ja osaaminen on entistä tärkeämpää”, Pennanen kuittaa.
Pennasen mukaan NIS2 pakottaa hoitamaan tietoturvaa kokonaisuutena eikä erillisille toimintatavoille ole enää sijaa.
”Siiloja on edelleen paljon – etenkin monilla pitkät perinteet omaavilla toimialoilla kuten energia-alalla. Tietoturva on kuitenkin kokonaisuus ja kyberturvallisuusdirektiiviä ajatellen raportointi onnistuu vain, kun organisaatiossa tiedetään ja osataan kokonaisuus. Hajautunut tekeminen on tietoturvariski.”
Dokumentaatiossa on yleensä aina kehitettävää
Pennanen on ollut konsultoimassa monen energia-alankin toimijan NIS2-vaatimustenmukaisuutta. Hän arvioi, että erityisesti dokumentaatiossa on monilla yrityksillä kehitettävää.
”Dokumentaatiolla tietoturvatyö tulee läpinäkyväksi. On tärkeää dokumentoida esimerkiksi verkon kokonaisuus ja miten sitä ylläpidetään. Myös vaikkapa koulutukset sekä tehtävät tarkastukset on hyvä kirjata. Mitään ei ole tehty, ellei sitä ole dokumentoitu.”
Pienet, positiivisetkin havainnot on syytä dokumentoida.
”Aina, vaikka mitään ei korjattavaa ilmennytkään. Sekin on tärkeä tieto, että on tehty tarkastus. Näin voidaan tarvittaessa osoittaa, että jotakin asiaa on seurattu säännöllisesti.”
NIS1 on jo tullut energia-alalle tutuksi, mutta NIS2 tuo tullessaan mahdolliset sanktiot. Tämä on saanut organisaatioihin enemmän liikettä asioiden kuntoon saattamiseksi. NIS2 kannattaa kuitenkin Pennasen mielestä nähdä nimenomaan mahdollisuutena oman toiminnan kehittämiseen.
”Yleisesti ottaen tähän suhtaudutaankin niin energia-alalla kuin muillakin aloilla myönteisesti. Joissain yrityksissä esimerkiksi dokumentaatiota olisi haluttu laittaa jo aiemmin parempaan kuntoon, mutta NIS2 tarjosi lopulta riittävän sysäyksen.”
Konsultointeja Pennanen on tehnyt monen kokoisiin organisaatioihin. Vaikka erityisesti suurissa yrityksissä on usein osaamista ja resursseja myös NIS2:n vaatimustenmukaisuuden toteuttamiseen, kartoitus tarjoaa ulkopuolisen näkökulman siihen, mitä kannattaisi tehdä juuri nyt.
”Arvioinnissa usein nousee esiin juurikin se, että asiat toimivat teknisesti hyvin, mutta hallinnollinen puoli vaatii kehittämistä. Esimerkiksi tietoturvapolitiikka voi olla tehtynä, mutta se on vanhentunut tai vaikkapa riskienhallinnan perusperiaatteet ovat kirjaamatta. Riskejä täytyy seurata säännöllisesti. Tietoturvadokumentaatio elää joka päivä.”
Tutustu myös aiemmin julkaistuihin NIS2-artikkeleihimme:
Verkko-ja tietoturvadirektiivi koskettaa pian yhä useampaa
Vastuu NIS2-direktiivin noudattamisesta on yritysten johdolla