Satamien ja terminaalien kyberturvallisuus: Sääntely EU:ssa ja Yhdysvalloissa

”Meidän alallamme ainoa yleisesti sitova hallitustason sääntely joka koskee kyberturvallisuutta, on Euroopan unionin oma”, sanoo Kalmarin tietoturvajohtaja Jouni Auer. ”EU:n uusi kyberturvallisuuslaki asettaa valmistajille melko laajat velvollisuudet tuotteiden koko elinkaaren ajalle. Sen sijaan Yhdysvalloissa sitovat kyberturvallisuutta koskevat hallituksen säännökset koskevat yleensä vain yrityksiä, joiden asiakkaisiin kuuluu liittovaltion hallinnon tai Yhdysvaltain puolustusministeriön alaisia organisaatioita.”

CRA: EU:n tuotteiden kyberturvallisuusvaatimukset

Euroopan unionin kyberturvallisuuslaki (CRA) parantaa digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuusstandardeja ja velvoittaa valmistajat ja jälleenmyyjät varmistamaan kyberturvallisuuden tuotteidensa koko elinkaaren ajan. CRA:ssa otetaan käyttöön pakolliset kyberturvallisuusvaatimukset, jotka koskevat tällaisten tuotteiden suunnittelua, kehittämistä ja ylläpitoa.

”CRA on mielenkiintoinen esimerkki siitä, kuinka hallituksen sääntely on suora seuraus eri tuotteiden todellisista puutteista”, sanoo Henri Kettunen, Kalmarin kyberturvallisuusjohtaja. ”Historiallisesti markkinoilla on ollut valtava määrä turvattomia tuotteita, joissa on ollut perustavanlaatuisia haavoittuvuuksia, kuten kiinteästi koodatut järjestelmänvalvojan salasanat. Valmistajat eivät ole selvästikään onnistuneet korjaamaan näitä ongelmia pitkällä aikavälillä, joten sääntelyviranomaiset ovat joutuneet puuttumaan asiaan.”

CRA on mielenkiintoinen esimerkki siitä, kuinka hallituksen sääntely on suora seuraus eri tuotteiden todellisista puutteista.

Kyberresilienssilaki tuli voimaan joulukuussa 2024 ja sen mukaiset tärkeimmät velvoitteet tulevat voimaan joulukuussa 2027. Sääntely koskee useimpia tuotteita, jotka on kytketty suoraan tai epäsuorasti toiseen laitteeseen tai verkkoon, lukuun ottamatta tiettyjä poikkeuksia, kuten tiettyjä avoimen lähdekoodin ohjelmistoja tai tuotteita, jotka jo kuuluvat voimassa olevien sääntöjen piiriin. Tuotteissa on CE-merkintä, joka osoittaa että ne täyttävät CRA-vaatimukset.

”Periaatteessa CRA määrää, että valmistajat ovat vastuussa tuotteistaan niiden koko elinkaaren ajan”, Jouni Auer sanoo. ”Sääntely koskee uusia tuotteita, mutta valmistajien on oltava valmiita tukemaan näitä tuotteita myös niiden valmistuksen päättymisen jälkeen. Tukijakson pituuden voi määrittää valmistaja, mutta tämä tarkoittaa silti melko paljon uutta vastuuta, etenkin Kalmarin kaltaiselle yritykselle, jonka tuotteilla voi olla pitkä elinkaari.”

Periaatteessa CRA määrää, että valmistajat ovat vastuussa tuotteistaan niiden koko elinkaaren ajan.

Merenkulun kyberturvallisuus: Yhdysvaltain alusten ja satamien säännöt

Tammikuussa 2025 Yhdysvaltain rannikkovartiosto julkaisi lopullisen säännön, Cybersecurity in the Marine Transportation System (MTS). Tämä lopullinen sääntö on ollut voimassa heinäkuusta 2025 lähtien, ja se koskee kaikkia Yhdysvaltain lipun alla purjehtivia aluksia sekä monia maan satamia ja meriterminaaleja. Lopullisen säännön vaatimuksiin kuuluu kyberturvallisuussuunnitelman laatiminen ja ylläpitäminen, kyberturvallisuusvastaavan nimittäminen sekä erilaisten toimenpiteiden toteuttaminen kyberturvallisuuden ylläpitämiseksi.

”Rannikkovartioston sääntö sisältää lukuisia aluksia ja satamia koskevia erityisiä kyberturvallisuustoimenpiteitä sekä joitakin, jotka koskevat myös valmistajia”, kertoo Kalmarin kyberturvallisuusinsinööri Jani Mäntytörmä. ”Sääntö otetaan käyttöön vaiheittain, mutta esimerkkinä jo voimaan tulleesta uudesta vaatimuksesta voidaan mainita, että kaikki raportoitavat kyberturvallisuusvälikohtaukset on nyt ilmoitettava rannikkovartioston kansalliselle reagointikeskukselle.”

NIST CSF: Vapaaehtoinen kehys parhaiden käytäntöjen toteuttamiseksi

Lopuksi, vaikka kyseessä ei ole varsinainen hallituksen asetus, Yhdysvalloissa laajalti noudatettu keskeinen kyberturvallisuusohje on National Institute of Standards and Technology (NIST) -instituutin julkaisema Cybersecurity Framework (CSF).

CSF tarjoaa ohjeita teollisuudelle, valtion virastoille ja muille organisaatioille kyberturvallisuusriskien hallintaan. Se tarjoaa korkean tason kyberturvallisuustulosten luokittelun, jota voidaan käyttää organisaation kyberturvallisuustoimien ymmärtämiseen, arviointiin, priorisointiin ja viestintään. CSF ei määrää, miten tulokset tulisi saavuttaa, vaan kuvaa vain mitä toivottavia kyberturvallisuustuloksia organisaatio voi pyrkiä saavuttamaan.

”CSF on tärkeä työkalu monille asiakkaillemme Yhdysvalloissa”, sanoo Jouni Auer. ”Toisin kuin ISO 27001, se ei ole standardi, jonka mukaisesti voi saada sertifikaatin. Sen sijaan se on vapaaehtoinen ohjeistus siitä, miten kyberturvallisuutta hallitaan asianmukaisesti. CSF ja ISO 27001 ovat kuitenkin samankaltaisia hallinnon, riskienhallinnan ja valvontarakenteiden osalta, joten ne täydentävät toisiaan erittäin hyvin.”

Se on vapaaehtoinen ohjeistus siitä, miten kyberturvallisuutta hallitaan asianmukaisesti.

Vastuun ottaminen

Hallitukset asettavat lisävaatimuksia satama- ja alusten operaattoreille sekä valmistajille ja järjestelmätoimittajille, minkä vuoksi monien yritysten on haastavaa sopeutua jokaiseen uuteen sääntelyyn. Tuloksena on kuitenkin turvallisempi toimintaympäristö kaikille alan toimijoille.  

"Nämä säännökset on otettu käyttöön, koska me kaikki tiedämme kuinka paljon vahinkoa kyberturvallisuusuhkat voivat aiheuttaa”, Henri Kettunen sanoo. ”Erityisesti asiakkaillemme, jotka ovat osa yhteiskunnan kriittistä infrastruktuuria, hallituksen kyberturvallisuussäännökset ovat olemassa hyvästä syystä"

Uusien säännösten monimutkaisuus voi helposti tuntua ylivoimaiselta”, lisää Jouni Auer. ”Alallamme monilla tuotteilla on monimutkaiset toimitusketjut, joissa on useiden toimittajien verkottuneita ja älykkäitä komponentteja. Kukin toimittaja on vastuussa omien tuotteidensa jatkuvasta kyberturvallisuudesta. Ensisijainen vastuu asiakkaita kohtaan on kuitenkin aina lopullisella valmistajalla – meidän tapauksessamme Kalmarilla.

Lue lisää:

Cyber Resiliency Act (CRA)

USCG final rule on Cybersecurity in the Marine Transportation System

NIST Cybersecurity Framework (CSF) 2.0