Elintarviketeollisuudessakin on siirrytty Teollisuus 4.0 -teknologiaan ja ratkaisuihin, joissa fyysinen tuotanto yhdistyy älykkääseen digitekniikkaan. Yhdistyminen mahdollistaa muun muassa tuotannon reaaliaikaisen datan keräämistä ja tuotannon automatisointia, joilla halutaan parantaa tuotteiden laatua, turvallisuutta ja jäljitettävyyttä, optimoida tuotantoprosesseja sekä ehkäistä huoltokatkoja.
Linnunmaa Lexin artikkelivieraina Sweco Finlandin asiantuntijat Saila Kivijärvi ja Cris Puschner
Teknologian lisääntymisen varjopuolena on se, että teollisuuden on varauduttava enenevissä määrin kyberhäiriöiden riskeihin. Useimmissa elintarvikealan yrityksissä on käytössä tuotannon ohjaamisen kannalta tärkeitä verkottuneita tietojärjestelmiä sekä henkilö- ja maksutietojen hallintajärjestelmiä, jotka ovat alttiita kyberhyökkäyksille. Raporttien mukaan vuoden 2022 ensimmäisellä neljänneksellä toteutettiin 12 merkittävää kyberhyökkäystä elintarviketeollisuuteen Euroopassa. Hyökkäysten kohteeksi joutuivat muun muassa meijeri, valmisruoka- ja suklaatehdas. Kyberhyökkäyksistä johtuvat häiriöt ovat aiheuttaneet yrityksille ongelmia tuotteiden toimituksessa ja valmistuksessa, sekä taloudellisia tappioita ja mainehaittaa.
EU:ssa julkaistiin vuonna 2020 kyberturvallisuusstrategia, jonka tarkoituksena on vahvistaa sietokykyä kyberuhkia vastaan ja varmistaa, että Euroopassa voidaan hyötyä luotettavista palveluista ja digitaalisista välineistä. Kyberturvallisuusstrategiaa tukemaan julkaistiin NIS2-kyberturvallisuusdirektiivi (2022/2555), joka tuli voimaan 16.1.2023. Direktiivillä pyritään yhtenäistämään kriittisten sektoreiden vähimmäistason kyberturvallisuusriskienhallinta- ja raportointivelvoitteita. NIS2-direktiiviä sovelletaan yhteiskunnan kannalta merkityksellisiin toimijoihin, jotka jaotellaan direktiivissä keskeisiin ja tärkeisiin toimijoihin. Keskeisiä toimijoita ovat esimerkkisi talousvesilaitokset, kun taas tärkeisiin toimijoihin luetaan keskisuuret ja suuret elintarvikeyritykset, jotka harjoittavat tukkukauppaa sekä teollista tuotantoa ja jalostusta.
NIS2-direktiivin uudet tärkeimmät vaatimukset voidaan jaotella seuraavasti:
Direktiivi myös määrittää erilaisia valvontatoimenpiteitä valvovan viranomaisen toimesta, joka myös voi jatkossa asettaa sanktioita kyberturvallisuuden laiminlyömisestä.
Toimijoiden tulee hallita riskejä ja minimoida mahdolliset häiriöt tai vaikutukset palvelujen vastaanottajiin ja muihin palveluihin. Näitä varmistetaan kyberturvallisuusriskien hallintatoimenpiteillä, joiden tulee sisältää seuraavat:
Toimijoiden tulee ilmoittaa toimivaltaiselle viranomaiselle merkittävistä kyberturvallisuuden poikkeamista ilman aiheetonta viivytystä. Poikkeamaa pidetään merkittävänä, jos se on johtanut tai voi johtaa vakavaan häiriötilanteeseen palvelujen toiminnassa tai aiheuttanut taloudellisia tappioita asianomaiselle toimijalle, tai jos poikkeama on vaikuttanut tai voisi vaikuttaa muihin ihmisiin tai yrityksiin aiheuttaen merkittävää aineellista tai aineetonta vahinkoa.
Viranomaisvalvonnan toimenpiteet riippuvat siitä, luokitellaanko toimijat keskeisiksi vai tärkeiksi toimijoiksi. Molemmille toimijoille suoritetaan säännölliset ja kohdennetut turvallisuusauditoinnit. Lisäksi keskeisille toimijoille voidaan suorittaa satunnaistarkistuksia. NIS2-direktiivin rikkomisesta toimijalle voidaan määrätä erilaisia sanktioita, muun muassa varoituksia tai sakkoja. Keskeisillä toimijoilla on korkeammat sanktiot verrattuna tärkeisiin toimijoihin.
NIS2-direktiivin vaatimukset tulee saattaa osaksi kansallista lainsäädäntöä 16.10.2024 mennessä. Seuraavan puolentoista vuoden aikana Suomessa tullaan siis laatimaan direktiivin velvoittama kansallinen lainsäädäntö sekä nimetään tai perustetaan toimivaltainen viranomainen vastaamaan kyberturvallisuuden valvontatehtäviä. Siirtymäaika organisaation toiminnan saattamiseksi NIS2-direktiivin mukaiseksi päättyy 17.1.2025.
NIS2-direktiivin voimaan tulon siirtymäaika antaa hyvän mahdollisuuden käydä läpi yrityksen kyberturvatilanteen ja parantaa kestävyyttä kyberuhkia vastaan nykyisessä nopeasti muuttuvassa maailmantilanteessa.
Elintarviketurvallisuusasiantuntija
Sweco Finland Oy
saila.kivajarvi(at)sweco.fi
Kyberturvallisuusasiantuntija
Sweco Finland Oy
cris.puchner(at)sweco.fi
Swecon asiantuntijoilla on vahvaa osaamista elintarvike-, kontaktimateriaali- ja kyberturvallisuuden riskinarvioinneista sekä käytänteiden luomisesta. Erikoisosaamistamme on kyber- ja tuoteturvallisuuteen liittyvän lainsäädännön kehittymisen seuranta sekä velvoitteiden täyttämisen ratkaisut. Lisäksi Swecon teollisuuden asiantuntijoilla on laaja-alaista kokemusta ja osaamista teollisuuden kohteiden ja prosessien suunnittelusta sekä teollisuusprojektien eri vaiheista esiselvityksistä toteutukseen.
Tutustu myös Linnunmaa Lexin legal compliance -palveluun, jonka avulla saat ajankohtaisen tiedon elintarvikkeita ja kontaktimateriaaleja koskevista lainsäädännön vaatimuksista.