Tällainen skenaario ei ole enää pelkkää jännityskirjallisuutta. Kyberhyökkäykset muuttavat prosessiturvallisuuden dynamiikkaa, ja juuri siksi EU:n NIS2 direktiivi astuu kuvaan. Yksi sen tavoitteista on, että yritykset eivät tarkastele riskejä vain sähkökatkojen, putkirikkojen ja tulipalojen kautta, vaan myös tietoturvauhkat huomioiden.

NIS2 pähkinänkuoressa

Euroopan unionin NIS2 kyberturvallisuusdirektiivin (Direktiivi (EU) 2022/2555) mukaiset velvoitteet tulivat Suomessa voimaan 8.4.2025 Kyberturvallisuuslain myötä. Sen tarkoituksena on varmistaa korkea ja yhtenäinen kyberturvallisuuden taso koko Euroopan Unionissa. Käytännössä se velvoittaa kriittisten alojen yrityksiä, kuten energia-, kemian- ja vesihuoltoalan toimijoita, tekemään säännöllisiä riskienhallintatoimenpiteitä ja raportoimaan merkittävistä poikkeamista viranomaisille.

Direktiivin ydin on selkeä: riskit on hallittava kokonaisuutena. Kyse ei ole pelkästään palomuurien tai virustorjunnan asentamisesta, vaan siitä, että yritykset ymmärtävät miten kyberuhat voivat vaikuttaa heidän ydintoimintoihinsa. Teollisuuslaitoksissa nämä ydintoiminnot sisältävät varsinaisen tuotantoprosessin, joten riskit kohdistuvat myös muihin järjestelmiin kuin sähköpostiin ja toiminnanohjausjärjestelmään. Direktiivin myötä moni teollisuusyritys joutuukin päivittämään riskienhallintamallinsa.

Automaatioympäristöjen todellisuus

Prosessiteollisuudessa ohjausjärjestelmät muodostavat laitoksen hermokeskuksen. Ne pitävät huolen siitä, että paineet pysyvät sallituissa rajoissa, venttiilit avautuvat ja sulkeutuvat ajallaan ja että kokonaisuus toimii juuri niin kuin pitääkin.

Käytännössä kaikki nämä järjestelmät eivät ole kestäneet aikaa. Monet käytössä olevista automaatiojärjestelmistä on rakennettu aikana, jolloin kyberturvallisuus ei ollut edes suunnittelupöydällä. Niitä ei voi päivittää samalla tahdilla kuin tavallisia tietokoneita, ja usein ne toimivat vielä käyttöjärjestelmillä, joille ei enää ole edes valmistajan tukea.

Kun nämä järjestelmät liitetään yrityksen verkkoon vaikkapa etähuollon mahdollistamiseksi, niistä tulee myös alttiita kyberhyökkäyksille. Tämä yhdistelmä, jossa pitkä elinkaari, päivityshaasteet ja kasvava verkottuminen kohtaavat, tekee operatiivisen teknologian (OT) ympäristöistä riskienhallinnan kannalta erityisen mielenkiintoisia.

Riskienhallinnan uusi ulottuvuus

NIS2 pakottaa teollisuuden miettimään riskejä laajemmassa kontekstissa. Ennen puhuttiin prosessiturvallisuudesta. Mitä jos laite hajoaa, mitä jos inhimillinen virhe johtaa kemikaalivuotoon. Nyt täytyy kysyä myös ”mitä jos joku tekee sen tahallaan, tietoverkon kautta?” Samalla on tunnistettava, että vahinko voi syntyä myös sivuvahinkona (collateral damage). Yhtiö ei välttämättä ole varsinainen kohde, mutta kun sinne päästään sisään riittävän helposti AI:n avustuksella, voidaan aiheuttaa merkittävää haittaa. Tuotantoprosessille kriittisten laitteiden lista onkin aikaisempaa pidempi. Hajoava moottori on ollut helppo havaita, mutta nyt sama moottori tarvitsee myös verkkokytkintä toimiakseen kunnolla.

Direktiivi ei tietenkään määrittele tarkkoja teknisiä ratkaisuja, vaan antaa niille raamit. Yritysten on tunnistettava kyberuhat, arvioitava niiden vaikutukset ja otettava ne mukaan kokonaisriskien arviointiin. Käytännössä tämä tarkoittaa sitä, että riskienhallintatiimit pääsevät yhdistämään eri näkökulmia: prosessiturvallisuuden standardit (esim. IEC 61508 ja 61511), kyberturvallisuuden viitekehykset (ISO/IEC 62443) ja riskienhallinnan ohjeet (ISO 27005 tai 31000).

Seurauksena on uudenlainen ”yhdistetty turvallisuusprofiili”, jossa ei enää tehdä eroa IT- ja prosessiriskien välillä, vaan kaikki katsotaan yhtenä kokonaisuutena.

Käytännön vaikutukset laitoksiin

Mitä tämä tarkoittaa arjessa? Ensinnäkin riskienhallinnan prosessit muuttuvat. Laitosten johdon on otettava selkeämmin vastuu kyberturvallisuudesta. Riskikartoitukset eivät voi enää jäädä parhaimmillaankin yhdeksi vuosittaiseksi harjoitukseksi, vaan niistä tulee jatkuva osa toimintaa.

Toiseksi koulutuksen ja tietoisuuden merkitys kasvaa. Valvomon henkilöstön on ymmärrettävä, että tietotekniikan ongelma voi olla yhtä vaarallinen kuin mekaaninen vika. Samalla tietoturva-asiantuntijoiden on opittava prosessiteknologian peruslogiikka, jotta he osaavat arvioida, miten kyberuhat vaikuttavat fyysiseen turvallisuuteen.

Kolmanneksi yhteistyö toimitusketjujen kanssa tiivistyy. NIS2 painottaa alihankkijoiden ja toimittajien turvallisuutta. Jos venttiilin ohjausjärjestelmä tai turvapiirin ohjelmisto päivityksineen tulee ulkopuoliselta toimijalta, sen toimijan turvallisuus on osa laitoksen kokonaisriskiä.

Suurin muutos on kulttuurinen. NIS2:n myötä riskit eivät enää jakaudu siiloihin, vaan ne nähdään yhtenä kokonaisuutena. Tämä pakottaa yrityksiä luomaan yhteistä kieltä prosessiturvallisuuden ja kyberturvallisuuden välille.

Suurimmat haasteet eivät siis liity teknologiaan vaan kulttuuriin, osaamiseen ja ihmisiin. Kyber- ja prosessiturvallisuus on totuttu näkemään erillisinä vastuualueina. Yhteisen kielen sekä johdon selkeän sitoutumisen puute hidastaa muutosta. Lisäksi osaamisen hajanaisuus lisää riskiä. Prosessihenkilöstö ei vielä ymmärrä kyberuhkien vaikutuksia prosessiturvallisuuteen ja tietoturva-asiantuntijoilta puuttuu ymmärrys prosessitekniikasta. Jos kulttuuria ei onnistuta muuttamaan ja osaamista yhdistämään, seurauksena on puutteita riskien kokonaisvaltaisessa ymmärtämisessä.

Onnistuessaan tuloksena on entistä kestävämpi turvallisuuskulttuuri. Kun johto, prosessioperaattorit, teknisen turvallisuuden ja kyberturvan asiantuntijat istuvat saman pöydän ääreen, he saavat paremman kuvan todellisista riskeistä ja siitä, miten niitä hallitaan yhdessä.

Tulevaisuuden näkymät

NIS2 on vain alku. Sen toimeenpanon jälkeenkin riittää kysymyksiä. Miten yhdistetään kyber- ja prosessiriskien arvioinnin työkalut käytännössä? Kuinka mitataan, että uusi riskienhallintamalli todella vähentää riskejä? Mitä uutta osaamista henkilöstö tarvitsee, ja miten sitä kehitetään?

Suomalaisella teollisuudella on tässä mahdollisuus ottaa etulyöntiasema. Kun riskienhallinta päivitetään vastaamaan 2020-luvun todellisuutta, siitä tulee paitsi lakisääteinen velvoite, myös kilpailuetu. Turvallinen laitos on varmempi tuotannossa, luotettavampi kumppanina ja houkuttelevampi sijoittajille.

Yritysjohtoa ajatellen kyse ei ole vain operatiivisesta tehokkuudesta vaan myös rahoituksen ja omistaja-arvon turvaamisesta. Jos omaa laitosta ajetaan viimeiseen asti ilman kyberturvallisuuden huomioimista, riskit jäävät organisaation omaksi ongelmaksi. Jos laajennus rahoitetaan omasta kassavirrasta, vastuu on yrityksellä itsellään. Mutta heti kun toiminnan laajentaminen ulkopuolisella rahoituksella tai yrityksen myynti tulee ajankohtaiseksi, kyberriskit muuttuvat myös lainoittajan ja sijoittajan huolenaiheeksi. Ulkopuolista rahoittajaa kiinnostaa paitsi takaisinmaksukyky myös toiminnan vakaus, ja due diligence -tarkasteluissa odotetaan, että operatiivisia riskejä on aktiivisesti pienennetty. Kybervalveutuneisuus ja kyberturvallisuuden sisällyttäminen riskienhallintaan on konkreettinen tapa osoittaa sekä vastuullisuutta että luotettavuutta rahoittajille ja sijoittajille.

Prosessiteollisuuden tulevaisuus riippuu siitä, kuinka hyvin osaamme yhdistää perinteisen turvallisuusosaamisen ja modernin kyberturvallisuuden. Kun nämä kaksi maailmaa kohtaavat, voimme rakentaa teollisuuden, joka ei ainoastaan selviä häiriöistä, vaan kestää ja kasvaa niiden yli.