Teollisuuden kyberturvallisuus voidaan jakaa IT- järjestelmiin (Information Technology) ja tuotannon OT- järjestelmiin (Operational Technology). OT- järjestelmät koostuvat erilaisista komponenteista ja softasta, jotka ohjaavat ja valvovat teollisuuslaitosten prosesseja ja toimintaa. Nyt myös OT-järjestelmille on alkanut tulla lainsäädännöllisiä vaateita, jotka koskevat muutakin kuin kriittistä infrastruktuuria. Verrattaessa IT- ja OT- järjestelmiä keskenään voidaan OT-järjestelmiä pitää yleisesti haavoittuvampina johtuen usein siitä, että käytössä olevilla koneilla on tuotantovaateita, jotka saattavat rajoittaa tai viivästyttää koneiden ohjausjärjestelmien päivittämistä. Usein myös tehtaalla olevat laitteistot ja konelinjat voivat koostua useiden eri toimittajien koneista useilta eri aikakausilta. Laitteiston tietoturvan saattaminen ajan tasalle vanhan koneen tapauksessa vois siis vaatia merkittäviä investointeja. Tuotantoa varten laitteet usein tarvitsevat yhteyden toisiinsa kuin myös IT-järjestelmiin.

Koneturvallisuus ja tieto- tai kyberturvallisuus eroavat toisistaan paljon, koneturvallisuuden keskittyessä suojaamaan ihmisiä vaaroilta, tapaturmilta ja odottamattomilta vahingollisilta tilanteilta. Kyberturvallisuus keskittyy suojaamaan uhilta, jotka voivat johtua muun muassa kyberhyökkäyksistä, varkauksilta, vandalismista tai muilta haitallisista teoista. Vaikuttaminen voi tapahtua verkon ylitse tai suoraan koneen välittömästä läheisyydestä. Kyberturvallisuus voi vaikuttaa myös suoraan koneen turvallisuuteen, vaikutettaessa esimerkiksi koneen turvallisuuteen liittyvään ohjausjärjestelmään. Tämän takia digitaalisia komponentteja omaavat laitteet ovat kriittisiä koneen turvallisuuden kuin myös kyberturvallisuuden osalta. Usein henkilöt, jotka eivät ole IT-turvallisuuden asiantuntijoita ovat niitä, jotka kärsivät turvallisuuden vaarantumisesta aiheutuneen mahdollisen seurauksen. Voidaan siis sanoa, että ilman tietoturvaa kone ei ole turvallinen.

Direktiivi velvoittaa

Tällä hetkellä koneita koskeva konedirektiivi 2006/42/EY, on keskittynyt koneiden turvallisuuteen, mutta vaateet koneiden tietoturvalle ja kyberturvallisuudelle eivät kuulu sen soveltamisalan alle.

Uuden koneasetuksen ja kyberkestävyysasetuksen kautta koneille ja niissä käytettäville laitteille tulee uusia kyberturvallisuusvaateita. Uusi koneasetus 2023/1230/EU tulee velvoittavana voimaan tammikuussa 2027. Kyberkestävyysasetus 2024/2847/EU tulee voimaan 2027 joulukuussa. Osa asetuksen vaateista tulee voimaan jo aiemmin.

Koneasetuksen soveltamisalaan kuuluvat perinteisesti koneet, mutta myös esimerkiksi turvakomponentit. Turvakomponenteilla tarkoitetaan uuden koneasetuksen vaateiden mukaisesti fyysistä tai digitaalista komponenttia, myös ohjelmistoa, joka on suunniteltu tai tarkoitettu toimimaan turvatoiminnon toteuttamiseksi. Koneasetuksen julkaisun myötä uudet olennaiset vaateet koneen suojaamiselta tietojen turmeltumista vastaan ja ohjausjärjestelmien turvallisuuden ja toimintavarmuuden osalta tulee täyttää.

Kyberkestävyysasetuksen soveltamisalaan kuuluvat digitaalisia elementtejä sisältävät tuotteet, joiden ennakoitavissa tai kohtuudella ennakoitavissa oleva käyttö sisältää suoran tai välillisen loogisen yhteyden tai fyysisen datayhteyden johonkin laitteeseen tai verkkoon.

Koneasetus ja CE-merkintä

Koneasetus ja kyberkestävyysasetus kuuluvat molemmat EU:n tuotteita koskevan lainsäädännön alaisuuteen, jotka velvoittavat CE-merkintään. CE-merkinnän yhteydessä tuotteen valmistajan tulee varmistua tuotteen olevan turvallinen käyttää koko elinkaarensa ajan. Koneen ollessa kyseessä on mahdollista, että molempien lainsäädäntöjen vaateet tulee täyttää.

Suurimmassa osassa niin uuden koneasetuksen kuin myös kyberkestävyys asetuksen soveltamisalaan kuuluvista koneista ja tuotteista voidaan itse CE-merkitä, mutta tämä tulee aina tapauskohtaisesti lainsäädännön mukaisesti arvioida.

Koneasetuksen liite 3 antaa koneelle olennaiset terveys ja turvallisuusvaateet, sovellettavien vaateiden tunnistamiseksi ja niiden vaateiden täyttymiseksi koneille tulee tehdä riskin arviointi, koneasetuksen uudistuksen ja kyberkestävyysasetuksen myötä myös kyberturvallisuuden arviointi tulee toteuttaa koneelle. Kyberkestävyysasetuksen olennaiset vaateet löytyvät liitteestä 1, joiden toteutuminen lainsäädännön osalta tulee myös varmistaa. Koneelle riskin arviointia tehtäessä olisi hyvä huomioida kuinka laitteiston kyberturvallisuuden vaarantuminen voisi vaarantaa henkilöturvallisuuden.

Tuotedirektiivien olennaisten vaatimusten täyttyminen on usein osoitettu käyttämällä lainsäädännön kanssa harmonisoituja standardeja, joilla saavutetaan yhdenmukaisuus olettama eli standardia seuraamalla täytetään lain vaateet siltä osin kuin standardi lainsäädäntöä koskee. Koneasetuksen kyberturvallisuusvaateille ei ole vielä julkaistu harmonisoitua standardia. Uusi standardi EN 50742 on suunnitteilla, joka mahdollisesti harmonisoidaan koneasetuksen kyberturvallisuusvaatimusten kanssa, aika näyttää. Kyberkestävyysasetuksen kanssa harmonisoituja standardeja ei vielä ole saatavilla.

Kun harmonisoituja standardeja ei ole saatavilla vaatimusten täyttämiseksi jää silloin vaihtoehdoksi muiden kuin harmonisoitujen standardien käyttö ja teollisuuden parhaat käytännöt. Onneksi lainsäädännön voimaantuloon on vielä hetki aikaa.

EN 62443- standardisarja käsittelee laajalti teollisuuden tieto-/kyberturvallisuus vaateita, mutta ei ole harmonisoitu koneasetusten vaateiden kanssa. Standardisarja antaa kuitenkin hyvän suunnan, kuinka teollisuuden kyberturvallisuutta tulisi käsitellä.

Koneiden ja tehtaiden kyberturvallisuuden vaateiden kanssa on hyvä huomioida myös NIS2- lainsäädäntö, joka antaa kriittiselle infrastruktuurille ja keskeisille ja tärkeille toimijoille vaateita kyberturvallisuuden osalta. Omalta osalta mielenkiintoa herättää myös kuinka käytössä olevien koneiden ja laitteiden osalta kyberturvallisuus vaateita aletaan tulevaisuudessa soveltamaan, antaahan koneasetus koneille tämän päivän vaadittavan turvallisuuden tason, johon tulisi verrata muutosten ja koneen turvallisuus päivitysten vaadittavaa turvallisuuden tasoa.