Mitä vaatimuksia NIS2-direktiivi tuo energia-alan kyberturvalle?
Kyberturvallisuus on investointi, joka suojaa koko yhteiskuntaa. Maailmantilanteen epävarmuuden vuoksi kyberturva on noussut yhdeksi keskeisimmistä teemoista myös energia-alalla, erityisesti digitalisaation ja hajautettujen järjestelmien lisääntyessä.
EU:n NIS2-direktiivi (Network and Information Security Directive 2) tuo merkittäviä muutoksia energia-alan toimijoille, asettaen tiukempia kyberturvallisuusvaatimuksia sekä laajentaen sääntelyn kattavuutta.
IT- ja OT-verkkojen rajat hämärtyvät
Perinteisesti IT- (Information Technology) ja OT-verkot (Operational Technology) ovat olleet erillisiä, mutta nykyään niiden välinen raja on hämärtynyt. Täysin eristetyt OT-verkot ovat nykyään harvinaisia, mikä tekee niistä entistä haavoittuvampia kyberuhille. Tämä lisää tarvetta hyvin suunnitelluille tietoliikenneverkoille ja tietoturvakäytännöille, järjestelmien jatkuvalle seurannalle sekä mahdollisten uhkavektoreiden tunnistamiselle.
Energiasektorilla on laaja kirjo laitevalmistajia ja -malleja, mikä vaikeuttaa yhtenäisen tietoturvapäivityskäytännön ylläpitoa. Organisaatioiden on huolehdittava, että kaikissa verkon laitteissa on ajantasaiset ohjelmistoversiot, ja että kyberturvallisuusilmoitusten perusteella saatavat päivitykset toteutetaan viiveettä. Myös näkyvyys verkossa tapahtuvaan liikenteeseen tulee olemaan keskeinen asia erityisesti itä-länsi suuntaisen liikenteen osalta.
Alihankintaketjujen haasteet ja vastuut
Traficomin mukaan ”hankintojen osalta uusi NIS2-direktiivi korostaa tuotteen tai palvelun kyberturvallisuuden huomioimista koko elinkaaren ajalta”. Nykyään suuri osa energia-alan yritysten toiminnoista on ulkoistettu alihankkijoille, koskien myös kriittisiä järjestelmiä. Asennukset, valvonta ja järjestelmien sekä tietoliikenneverkon ylläpito voivat olla täysin ulkopuolisten toimijoiden vastuulla.
”Kysymys kuuluukin: miten voidaan varmistaa, että alihankkijat noudattavat kyberturvallisuusvaatimuksia?”
NIS2-direktiivi laajentaa kyberturvallisuusvaatimukset myös alihankintaketjuihin, mikä luo tarpeen varmistaa, että kaikki osapuolet täyttävät vaaditut standardit. Kysymys kuuluukin: miten voidaan varmistaa, että alihankkijat noudattavat kyberturvallisuusvaatimuksia?
Vaikka asiantuntijapalveluita voi hankkia talon ulkopuolelta, vastuu säilyy aina organisaatiolla. Yritysten tuleekin jatkossa panostaa entistä enemmän esimerkiksi riskienhallinnan tehostamiseen ja valvontamekanismien kehittämiseen koko toimitusketjussa.
NIS2-direktiivin laajennettu soveltamisala
NIS1-direktiivi koski Suomessa sähköverkonhaltijoita ja maakaasun siirtoverkonhaltijoita, mutta NIS2 laajentaa vaatimuksia useisiin uusiin toimijatyyppeihin:
- Sähköntuottajat ja -toimittajat
- Kaukolämmitys- ja jäähdytysyhtiöt
- Öljyn ja kaasun jakelijat
- Vedyn tuotanto ja varastointi
- Sähköautojen latauspisteiden operaattorit
- Aggregointipalvelujen ja energian varastoinnin tarjoajat
NIS2-direktiivin mukaan keskisuuret ja suuret yritykset kuuluvat automaattisesti sääntelyn piiriin, mikä tarkoittaa entistä laajempaa yritysjoukkoa.
Yhteenveto
NIS2-direktiivi vahvistaa energia-alan kyberturvallisuutta asettamalla tiukemmat vaatimukset riskienhallinnalle, raportoinnille ja valvonnalle. Tämä lisää alan resilienssiä kyberuhkia vastaan, mutta myös kasvattaa yritysten vastuita ja investointitarpeita.
Koska vastuuta tietoturvasta tai tietoliikenneverkon ja järjestelmien toimivuudesta ei voida ulkoistaa, energia-alan toimijoiden on varmistuttava siitä, että sekä omat että alihankkijoiden järjestelmät täyttävät uuden lainsäädännön vaatimukset.
Seuraamalla Energiaviraston ohjeistuksia ja päivittämällä kyberturvallisuusstrategiat vastaamaan NIS2-vaatimuksia, yritykset voivat varautua tulevaisuuden haasteisiin ja suojata kriittistä infrastruktuuria entistä paremmin.
Nodeon on kokenut kriittisen infran teknologia-asiantuntija
Jos tarvitset apua turvallisten tietoliikenneverkkojen suunnitteluun ja järjestelmäintegraatioihin, NIS 2 -direktiivin aiheuttamien vaatimusten selvitykseen tai koko infrastruktuurin reaaliaikaiseen valvontaan ja ylläpitoon, juttelemme mielellämme lisää.
Haluatko kuulla lisää?
Asiantuntijamme juttelevat mielellään lisää tarpeistanne. Ota yhteyttä!
Juha Teräslahti
+358 40 621 0403
juha.teraslahti@nodeon.com
Tuoreimmat uutiset
Mitä vaatimuksia NIS2-direktiivi tuo energia-alan kyberturvalle?
Lue lisää
Kyberharjoituksella varmuutta kriisitilanteisiin
Lue lisää
NIS 2 ja muuttuva turvallisuusympäristö vaativat turvaa tietoliikenneverkoilta
Lue lisää
Tulevaisuuden tarpeet on huomioitava passiiviverkon suunnittelussa
Lue lisää
KVT-verkot ovat haastavia toimintaympäristöjä
Lue lisää
Nodeonille merkittävä jatkosopimus Tampereen kaupungin kanssa
Lue lisää