Kyberturvallisuusdirektiivi NIS2 velvoittaa myös elintarvikealaa 

Lokakuussa voimaan tullut direktiivi velvoittaa yritystä selvittämään myös toimitusketjunsa riskienhallintaa riittävällä tasolla.

NIS2-direktiivin tavoitteena on vahvistaa EU:n ja sen jäsenvaltioiden kyberturvallisuutta, ja se sisältää vähimmäistason velvollisuudet yrityksen riskienhallinnasta ja riskienhallinnan toimenpiteistä. 

Direktiivi korvasi aiemman NIS-direktiivin, joka ei vielä velvoittanut elintarvikealan toimijoita ja jonka vaatimustasoa on uudessa direktiivissä hieman tiukennettu. Uudessa direktiivissä elintarvikeala on luokitettu tärkeäksi, mutta ei keskeiseksi toimijaksi.  

Ero keskeisen ja tärkeän välillä on siinä, millaista valvontaa yrityksiin sovelletaan ja millaisia sanktioita rikkomuksista seuraa. 

– Uusi direktiivi sisältää raportointivelvollisuuden, eli yritysten tulee raportoida viranomaisille kohtaamistaan merkittävistä poikkeamista tietyn ajan kuluessa. Suomessa elintarvikealaa valvova viranomainen on Ruokavirasto, kertoo Tiina Kairenius, joka työskentelee Atrian tietohallinnossa IT-järjestelmäasiantuntijana.  

Kairenius käsitteli diplomityössään NIS2-direktiivin soveltamista elintarvikealalla ja on nyt työskennellyt Atrialla NIS2-direktiivin velvoitteiden parissa. 

Direktiivin soveltamisalaan kuuluvat sellaiset elintarvikealan yritykset, joissa on yli 250 työntekijää tai joiden liikevaihto on yli 50 miljoonaa euroa. Hallituksen lakiesitykseen kuuluvan selvityksen mukaan Suomessa on noin 160 tällaista elintarvikealan yritystä, joista 46 on keskeisiä.  

Yrityksen on itse tunnistettava, kuuluuko se soveltamisalaan, ja ilmoittauduttava valvovalle viranomaiselle. Tässä toimitaan eri tavoin kuin huoltovarmuuteen liittyvässä, niin ikään vasta voimaan astunut huoltovarmuuteen liittyvä CER-direktiivi, jonka soveltamisalaan kuuluville saattaa tulla sisäministeriöstä kirje aiheesta.  

Direktiivit kytkeytyvät toisiinsa siten, että CER-direktiivin mukaan kriittisiksi arvioidut toimijat kuuluvat myös NIS2-direktiivin soveltamisalaan. 

NIS2:n kansallisen toimeenpanon eli uuden kyberturvallisuuslain käsittely on vielä kesken, mutta Kaireniuksen mukaan hallituksen esitykseen ei ole odotettavissa suuria muutoksia. 

Kaikki riskit otettava huomioon 

NIS2-direktiivi edellyttää, että yritys selvittää kaikki mahdolliset tieto- ja viestintäverkkoihin liittyvät riskitekijät, tietoturvatekijöiden lisäksi esimerkiksi henkilöstöriskit ja toimitusketjuriskit. 

Suurimmalla osalla soveltamisalaan kuuluvista yrityksistä on todennäköisesti jo riskienhallintasuunnitelma, johon nämä tekijät tai osa niistä on sisällytetty. Yrityksen on kuitenkin tarkistettava, että suunnitelma vastaa NIS2-direktiivin ja tulevan kyberturvallisuuslain yhdeksännen pykälän minimitoimenpiteiden vaatimusta. 

Traficom on jo julkaissut valvoville viranomaisille suunnatun auditointiohjeen, jota voi soveltaa myös yritysten ohjekirjana vähimmäisvaatimuksiin. Yrityksillä on oltava esimerkiksi dokumentoitu ohje siitä, miten riskejä hallitaan ja raportoidaan ja millaisia toimia siihen vuosittain liittyy, kenen vastuulla asia yrityksessä on ja miten tietoa riskeistä kerätään.  

Tietoturvan hallintatoimenpiteissä on otettava huomioon ja pidettävä yllä ajantasaisesti koko organisaation näkökulmaa, aina tuotannon työntekijöihin saakka. Läpileikkaavuus on eräs direktiivin keskeisistä periaatteista.  

Prioriteetit kuntoon 

Ilmeisten tietoturvariskien kuten ransomware- tai phishing-hyökkäysten lisäksi myös fyysisen ympäristön riskeihin tulee varautua. Mitä toiminnalle seuraa, jos verkkokaapelit katkeavat viereisen työmaan kaivauksissa? Jos toimitiloissa sattuu tulipalo, palavatko olennaiset tiedot samalla?  

Koska riskejä on pitkä lista, analysointi ja priorisointi on tärkeä työvaihe. Yrityksen on tunnistettava oman toimintansa kannalta kriittiset järjestelmät ja turvattava niiden toiminnan jatkuvuus mahdollisten varasuunnitelmien avulla. Tästä voidaan edetä asteittain pienempiin ja epätodennäköisempiin riskeihin päin. 

– Ensisijaisesti varmistetaan oman toiminnan jatkuvuus ja riskinsietokyky. Samalla tulee tuotetuksi myös auditoijan edellyttämä dokumentaatio, Kairenius sanoo.  

Kyberturva ei tule koskaan valmiiksi ja parhaat riskinhallintakäytänteet kehittyvät, joten uudelleenarviointi on hyvä ottaa yrityksen vuosikelloon mukaan. Jos tiettyä riskiä ei voi poistaa, sitä on pienennettävä, kunnes se on hyväksyttävä. 

Direktiivin mukaan organisaation velvollisuus on varmistua, että toiminnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuustaso ja riskinhallinnan taso ovat riittävät ja oikeassa suhteessa riskeihin ja järjestelmien merkitykseen. Velvoite on luonteeltaan jatkuva. 

Hankinnat riskikohtana 

Eräs tietoturvan tärkeä nivelkohta on uuden järjestelmän hankinta. Esimerkiksi toiminnanohjausjärjestelmät ovat isoja kokonaisuuksia, joiden osia on ollut rakentamassa monta toimittajaa. Taustalta voi löytyä myös tietyn ohjelmointikielen avoimen lähdekoodin kirjasto.  

– Jokainen palanen sisältää periaatteessa oman riskinsä. Yritys ostaa koko toimitusketjun riskiportfolion samalla kertaa, Kairenius kuvailee. 

Toimitusketjussa on monessa eri vaiheessa mahdollista, että järjestelmään ujutetaan takaovi, jonka kautta hyökkäyksen voi myöhemmin toteuttaa. Tällaisia tapauksia tunnetaan.  

Direktiivi velvoittaa, että soveltamisalaan kuuluvalla yrityksellä on ajantasainen turvallisuustieto kaikista toimittajista ja palveluntarjoajista, jotka välittömästi yhteydessä, ”lähin ympyrä”. Lain perusteella sitä kauemmas ei tarvi auditoida. 

Hankintaketjut ovat pitkiä, joten alihankkijoiden alihankkijoiden auditointi olisi raskas taakka toimijalle. Toki laki sallii myös pitemmälle menevän auditoinnin.  

Hankinnassa tulee kysyä, millaisia turvallisuuskäytäntöjä toimittajalla on.  Laki ei juuri ota kantaa siihen, miten toimittajien auditointi tulisi tehdä, vaan tämä jää organisaation omien toimintaperiaatteiden ja riskinhallinnan varaan.  

Mitä yritykset voivat käytännössä tehdä turvallisen hankinnan varmistamiseksi? Organisaation hankintaohjeissa ja sopimuspohjissa voi jo olla turvallisuusnäkökulmia. Jos yritys kuuluu NIS2-soveltamisalaan, tämä kannattaa tuoda esiin jo hankintaa tehdessä ja kysyä, kuinka toimittaja tai palveluntarjoaja pystyy vastaamaan näihin ehtoihin. 

Myös yleisesti tunnettuun sertifikaattiin viittaaminen voi olla helppo tapa löytää hankintavaiheessa yhteisymmärrys vaatimuksista. 

Yritys valvoo toimitusketjuaan 

Valvonta on kaksiportaista. Valvontaviranomaiset valvovat soveltamisalaan kuuluvia yrityksiä, ja yrityksillä taas on velvollisuus valvoa, että omaan toimintaan liittyvät tekijät ovat kunnossa myös yrityksen toimitusketjussa. 

Myös toimitusketjussa ilmenevät riskit voivat olla riski yrityksen toimintakyvylle. Siksi esimerkiksi alihankkijoiden kyberturvallisuuden tason tulee tukea soveltamisalaan kuuluvan yrityksen kyberturvallisuuden tasoa.  

Jos yrityksen kyberturvallisuusasioissa esiintyy räikeitä ja toistuvia riskien laiminlyöntejä, Suomessa organisaation johdon henkilökohtainen sanktio olisi yrityksen johdossa toimimisen kielto. Yritys taas voi saada sakkorangaistuksen, joka kyberturvallisuuslakiesityksen mukaan on keskeiselle toimijalle suurimmillaan kymmenen miljoonaa euroa tai kaksi prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi määrä on suurempi. 

Muulle kuin keskeiselle toimijalle seuraamusmaksun enimmäismäärä on seitsemän miljoonaa euroa tai 1,4 prosenttia edellisen tilikauden liikevaihdosta. Lisäksi valvova viranomainen voi asettaa päätöksensä tehosteeksi uhkasakon, teettämisuhan tai keskeyttämisuhan. 


Huomioitavaa toimitusketjujen riskinhallinnassa NIS2-direktiivin mukaan: 

Välittömille toimittajille ja palveluntarjoajille ominaiset riskit 

Toimijan käyttämien tuotteiden yleinen laatu ja häiriönsietokyky 

Tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet 

Toimittajien ja palveluntuottajien kyberturvallisuuskäytännöt (varmista ainakin yleinen kyberturvataso) esimerkiksi sopimusjärjestelyin – auditointi on jätetty yrityksen omaan harkintaan