Uhkaympäristö on laajentunut, koska yritykset hyödyntävät tuotantoympäristöissään enenevissä määrin digitalisaation mahdollistamia ratkaisuja. Niitä tarvitaan, jotta yritykset voivat kehittää omaa liiketoimintaansa sekä varmistaa kilpailukykynsä. Kyberuhkien odotetaan yhä lisääntyvän, kun levottomuudet ympäri maailmaa houkuttelevat rikollisia ja valtioiden hakkereita.

NIS2, CER, CRA ja DORA ovat tulossa olevia direktiivejä ja asetuksia, joiden avulla pyritään vastaamaan näihin haasteisiin sekä parantamaan Euroopassa yhtenäistä että kansallisen valmiuden tasoa kybervaikuttamista vastaan. NIS2-direktiivin osalta toimeenpanon määräaika on jo lokakuussa 2024. NIS2:n alaisten yritysten kyberturva on osa huoltovarmuutta ja kansallista kyberturvallisuuta, mikä korostaa direktiivin keskeistä roolia yhteiskunnan toimivuuden turvaamisessa. NIS2:n osalta vaatimuksena on prosessien ja käytänteiden varmistaminen, mikä toteutuessaan lisää yritysten välistä luottamusta EU:n sisämarkkinoilla. Yhtenä varmistuskohtana on muun muassa toimittajaketjun kyberturvatason valvominen. Tämän vaatimuksen kautta toimijat ja toimittajat tullaan validoimaan, ja heille esitetään vaatimuksia kyberosaamisen osalta.

Edellä mainitun akkualan yhtiön kohtaamat riskit olisivat olleet hallittavissa. Keinoja ovat riskianalyysit ja tietojärjestelmien turvallisuutta koskevat käytännöt, poikkeamien käsittely ja toiminnan jatkuvuudenhallinta sekä tietoturvakoulutukset. Myös NIS2-direktiivissä riskienhallinta ja raportointi merkittävistä poikkeamista ovat keskeisessä asemassa.

Direktiivin toteutuminen vaatii yritysten johdolta panostamista kyberturvaan ja riskien minimoimiseen. Yritysten tulee perustaa kyberturvakulttuuri ja omaksua se osaksi omia prosesseja. Vastuuta yritykset eivät voi siirtää, mutta osatoimintojen suorittamisen ulkoistaminen on mahdollista. Nyt on aika toimia – ei pelkästään direktiivin mukana tulevien sanktioiden vaan liiketoiminnan varmistamiseksi.

Miikka Pönniö on Digital Industries -yksikön teknologiajohtaja Siemens Osakeyhtiössä.