Uusi kyberturvallisuusdirektiivi on jatkoa aiemmalle NIS-direktiiville, mutta NIS2 on huomattavasti tiukempi ja laajempi: se koskee nyt useampia toimialoja ja yrityksiä, ja se asettaa tarkempia velvoitteita riskienhallinnasta, häiriöiden ilmoittamisesta ja toimitusketjun turvallisuudesta.

Direktiivin ydinajatus on turvata yhteiskunnan elintärkeiden palveluiden – kuten sähkönjakelun, sairaaloiden, liikenteen ja digitaalisten järjestelmien – häiriötön toiminta myös kyberuhkien keskellä. Direktiivi edellyttää näillä aloilla toimivia organisaatioita suhtautumaan kyberuhkiin vakavasti, kehittämään järjestelmällisiä riskienhallintakäytäntöjä sekä ilmoittamaan vakavista tietoturvaloukkauksista viranomaisille.

Tavoitteena on havaita uhkatilanteet ajoissa ja vastata niihin tehokkaasti, mikä vahvistaa koko yhteiskunnan kriisinkestävyyttä.

Markku Loponen

Suomessa direktiivi on toimeenpantu kansallisella tasolla uuden kyberturvallisuuslain muodossa. Laki tuli voimaan 8. huhtikuuta 2025. Lain myötä useiden julkisten ja yksityisten toimijoiden on rekisteröidyttävä viranomaisille ja otettava käyttöön selkeät kyberturvallisuustoimet. Näihin kuuluu muun muassa määräajassa laadittavat riskienhallintasuunnitelmat sekä velvollisuus ilmoittaa merkittävistä kyberpoikkeamista 24 tunnin kuluessa ja toimittaa lisätietoja 72 tunnin sisällä.

Myös uhkakuvat kehittyvät vauhdilla: Kuka videolla oikein puhuu?

Toimintaympäristö ei muutu ainoastaan sääntelyn seurauksena – myös uhkakuvat kehittyvät vauhdilla. Kiristyshaittaohjelmien määrä on kasvanut, ja järjestäytyneet rikollisverkostot hyödyntävät yhä useammin kyberhyökkäyksiä toimintansa välineinä. Lisäksi tekoälyyn perustuvat työkalut mahdollistavat realististen väärennösvideoiden ja -äänitteiden käytön huijauksissa ja informaatiovaikuttamisessa. Näitä teknologioita voidaan valjastaa käyttöön myös energiasektorilla, esimerkiksi esiintymällä toimitusjohtajana tai asiakkaana tarkoituksenaan vaikuttaa maksuihin, päätöksentekoon tai saada pääsy järjestelmiin.

Energiayhtiölle tämä tarkoittaa, että tekninen suojaus ei yksin riitä. Kyberturvallisuus on otettava huomioon koko organisaation tasolla – hallinnossa, prosesseissa, toimitusketjuissa ja erityisesti operatiivisissa (OT) järjestelmissä. Verkkojen erottelu, pääsynhallinta ja Zero Trust -periaatteet ovat keskeisiä suojatoimia, mutta myös henkilöstön valmiudet ja tietoturvatietoisuus ovat olennaisia riskienhallinnassa.

Suomessa kyberturvallisuutta on rakennettu kokonaisturvallisuuden mallin mukaisesti, missä viranomaiset, yritykset ja kolmas sektori tekevät tiivistä yhteistyötä. NIS2-direktiivi ja kansallinen lainsäädäntö vahvistavat tätä mallia ja siirtävät vastuuta yhä enemmän organisaatioiden sisälle. Kyse ei ole vain teknisestä valmiudesta, vaan kokonaisvaltaisesta toimintakyvystä ennen, aikana ja jälkeen mahdollisen kyberhäiriön.

Tietoturvatyö on olennainen osa KSS Energian vastuullisuutta

KSS Energialla on rakennettu ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä, joka toimii perustana tietoturvatyön systemaattiselle johtamiselle. Osana jatkuvan parantamisen mallia yhtiössä on toteutettu myös sisäisiä ja ulkoisia auditointeja, joilla on varmistettu, että toimenpiteet ovat ajan tasalla ja täyttävät sekä standardin että kyberturvallisuuslain vaatimukset.

Kyberturvallisuus ei ole pelkkä lainsäädännöllinen velvoite. Se on investointi toimintavarmuuteen, asiakasluottamukseen ja yhteiskunnan kriittisten toimintojen turvaamiseen. Energiayhtiöt, jotka tunnistavat tämän muutoksen ja toimivat ennakoivasti, ovat entistä vahvemmassa asemassa tulevaisuuden uhkakuvien edessä.

Blogin kirjoittaja Markku Loponen on KSS Energian ICT- ja tietoturvajohtaja.