Häiriönsietokyvyn parantamiseen tähtäävä CER-direktiivi tulee sanoista Critical Entities Resilience Directive. Se koskee yhteiskunnan toiminnan kannalta samoja kriittisiä toimijoita kuten NIS2-kyberturvallisuusdirektiivikin.
Siinä missä NIS2-direktiivi keskittyy kyberturvallisuuteen, vuonna 2023 voimaan astunut CER-direktiivi asettaa organisaatioille vaatimuksia uhka- ja häiriötilanteiden ennakointiin. CER-direktiivin kansallinen lainsäädäntö on valmisteilla ja keväällä 2025 valiokuntakäsittelyssä. Eduskuntaan esitys etenee todennäköisesti syksyn 2025 aikana.
“Fyysistä ja digitaalista turvallisuutta kannattaa käsitellä yhdessä, koska näin saavutetaan riskienhallinnassa ja jatkuvuuden hallinnassa selkeitä synergiahyötyjä”, Loihteen tietoturvakonsultti Juha Pennanen sanoo.
CER:n edellyttämät toimenpiteet voivat olla sekä teknisiä että organisatorisia ja niiden tulee olla suhteessa riskiarviointiin. Yksi turvallisuus -ajattelu sekä säästää resursseja että tuottaa paremman tuloksen.
”Nykymaailmassa toimii heikosti se, että IT-porukka vastaa kyberturvasta ja fyysinen turvallisuus on hajautettu jopa useammalle toimijalle. Turvallisuuden tehokas toteutus ja hallinta vaatii läpinäkyvyyttä ja kaikkien osallistujien saumatonta yhteistyötä.”
Varautumissuunnitelmat konkreettisemmiksi
Suomessa Huoltovarmuuskeskus on jo aiemminkin vaatinut kriittisiltä toimijoilta varautumissuunnitelman tekemistä. Suomalaisille organisaatioille CER-direktiivi merkitsee Pennasen mukaan aiempiin vaatimuksiin nähden ainakin suunnitelmien konkretisoimista.
”Suomessa huoltovarmuutta on jo hoidettu yleisesti ottaen kohtuullisesti ja direktiivissä onkin hyödynnetty suomalaista toimintamallia.”
Pennanen jatkaa, että CER-direktiivin kautta vahvennetaan EU:n yhtä yhteistä toimintamallia ja terävöitetään tekemistä muun muassa dokumentoinnin osalta.
”Jos organisaatiossa on jo huolella tehty varautumissuunnitelma, CER vaatii lähinnä tarkennuksia ja täsmennyksiä aiempaan. Monissa yrityksissä suunnitelmat ovat kuitenkin liian ylätasolla CER-direktiivin vaatimuksiin nähden”, hän arvioi.
Pennasen mukaan yhteiskunnan kannalta kriittisten toimijoiden uhkakuvissa on myös tapahtunut viime vuosina muutoksia, jotka edellyttävät varautumissuunnitelmien uudelleenarviointia.
”Organisaation tulee tehdä riskienhallintasuunnitelma, joka pohjautuu kansalliseen riskienhallintasuunnitelmaan. Kriittisen toimijan riskiarvioinnissa on otettava huomioon kaikki sellaiset merkitykselliset luonnon ja ihmisen aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Tällöin otetaan huomioon esimerkiksi onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut mahdolliset uhat.”
Mitä kannattaa tehdä nyt?
Tälle ajalle tyypillisiä turvallisuushaasteita ovat Pennasen mukaan muun muassa ilmastoon liittyvät tekijät, kansainvälinen poliittinen tilanne sekä teknisen kehityksen tuomat uudet haasteet, kuten tekoälyyn liittyvät riskit ja esimerkiksi droonit eli miehittämättömät ilmailualukset.
”Monien mielikuvissa droonit mielletään laitteiksi, joilla voidaan vain kuvata kohteita. Nykyaikaiset droonit kykenevät paljon muuhunkin, esim. ne ovat hyvin käyttökelpoisia signaalitiedusteluun. Nämä seikat on hyvä huomioida riskiarvioinneissa.”
Hybridivaikuttaminen on vahvasti tässä ajassa esillä oleva ilmiö. Monenlainen haitanteko ja tiedusteluun liittyvät riskit ovat kasvaneet.
”Käytännössä CER-direktiivi edellyttää sekä uhkakuvien tunnistamista että niihin varautumista eli suunnitelmaa jatkuvuudesta erilaisten häiriötilanteiden varalle.”
Pennasen mukaan fyysisten ympäristöjen turvaamisen ja henkilöturvallisuuden merkitys tulee jatkossa korostumaan.
”Hyvin usein kriittisiin ympäristöihin pääsyä ei valvota riittävällä tasolla vaan turvaudutaan suurpiirteiseen automatiikkaan. Yksi esimerkki tästä on se, että kulku alueelle sallitaan ajoneuvon rekisterinumeron perusteella, jolloin alueelle saapuvista henkilöistä ei ole mitään tietoa. Tällöin automatiikka tunnistaa tietyn rekisterinumeron, mutta autossahan voi periaatteessa matkustaa kuka tai keitä tahansa, mikä muodostaa turvallisuusriskin.”
Muistilista: Organisaatioiden tulee…
- Laatia riskienhallintasuunnitelma
- Varmistaa oma häiriönsietokyky ja tuottaa teknisiä ja organisatorisia toimenpiteitä kyvykkyyden varmistamiseksi ja parantamiseksi
- Kuvata oma häiriönsietokyky (suunnitelma), jossa on otettu kantaa mm. poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi, toimenpiteistä poikkeamista palautumiseksi
- Huolehtia henkilöstöturvallisuuden varmistamisesta (luotettavuus, fyysinen pääsynhallinta)
Blogiin haastateltu asiantuntija
Juha Pennanen
Tietoturvakonsultti
