Kyber­turvallisuuden konsultointia energia-alalla – NIS2-direktiivi ja IEC 62443

Cactoksen sähkönvarastointijärjestelmä tarjoaa kustannustehokkaan ratkaisun sähkön paikalliseen varastointiin ja vahvistaa yhteiskunnan kriisinkestävyyttä. Osana energiainfrastruktuuria se pystyy varastoimaan ja vapauttamaan energiaa verkkoon tarpeen tullen.

Yhteistyön aluksi Cactos ja Huld tarkensivat tavoitteet ja tarpeet kyberturvallisuuden vahvistamiseksi. Katseet siirtyivät ensimmäiseksi IEC 62443-4-1-kyberturvallisuusstandardiin, jota vasten tehtiin GAP-analyysi eli puuteanalyysi.

Cactoksen kehitysprosessit käytiin läpi yhteisissä työpajoissa, joissa yhdistettiin Cactoksen tietämys ja Huldin kyberturvallisuusosaaminen. Kokonaisuuteen kuului uhkamallinnusta ja riskianalyyseja sekä avointa ja luottamuksellista keskustelua kyberturvallisuushaasteista ja niiden korjaamisesta.

Puutearvioinnin myötä Cactokselle luotiin sille räätälöity raportti ja toimenpidesuunnitelma, johon listattiin konkreettiset ja tärkeysjärjestykseen priorisoidut toimenpiteet kyberturvallisuuden parantamiseksi ja IEC 62443-4-1-standardin vaatimusten täyttämiseksi. Lisäksi Cactokselle luotiin oma uhkamallinnus- ja riskianalyysityökalu sekä opetettiin sen itsenäinen käyttö.

”Cactos on oleellinen osa kriittistä infrastruktuuria, ja tarve kyberturvallisuuden kehittämiselle on korostunut. Saimme erittäin laadukkaat tuotokset aikaan. Yhteistyömme onkin loistava esimerkki siitä, miten pystymme työskentelemään niin isojen pörssiyhtiöiden kuin startupien kanssa lisäarvoa luoden”, toteaa Huldin tietoturvakonsultti Tero Kuusela.

Kun pohjatyö kyberturvallisuuden IEC 62443-4-1-standardia vasten oli tehty, yhteistyö jatkui NIS2-direktiivin viitoittaman kyberturvallisuuslain tarkemmalla täyttämisellä. Jotta NIS2-direktiiviä voitiin soveltaa juuri Cactoksen toimintaympäristöön, työn tueksi kerättiin taustamateriaalia ja pidettiin asiakashaastatteluja. Materiaalien pohjalta Cactokselle tehtiin puuteanalyysi suhteessa NIS2-direktiivin vaatimuksiin Huldin asiantuntijoiden laatimalla arviointimenetelmällä.

Kyberturvallisuuden riskienhallinta on suuressa roolissa NIS2-direktiivissä, joten loppuraportin lähtökohdaksi muodostui riskilähtöinen turvallisuus. Turvallisuuskontrollit suhteutettiin riskien vakavuuden ja niiden tarvitsemien turvatoimenpiteiden ja resurssien mukaan, mikä ohjaa Cactosta täyttämään NIS2-direktiivin vaatimukset järkevästi ja perustellusti.

Loppuraportin lisäksi Cactos saa toimenpidesuunnitelman, joka koostuu priorisoiduista tehtävistä NIS2-direktiivin täyttämiseksi ja Cactoksen riskienhallintaprosessin täsmentämiseksi. Tämä auttaa Cactosta kehittämään ja ylläpitämään kyberturvallisuuttaan tulevaisuudessa niin itsenäisesti kuin kumppanin kanssa.

”Yritysten johdolla on perusteltu huoli NIS2-direktiivin vaatimuksista ja niistä selviämisestä. Tässäkin tapauksessa pystyimme tunnistamaan olennaiset tarpeet ja tien niiden täyttämiseksi. Projektin aikana yrityksen edustajat oppivat paljon NIS2-direktiivistä ja kyberturvallisuudesta” kertoo Huldin tietoturvakonsultti Olli Pitkänen.

Yhteistyön tuloksena Cactos sai konkreettiset ja selkeät ehdotukset sekä työkalut kyberturvallisuutensa kehittämiseksi. Toimenpiteet auttavat Cactosta täyttämään IEC 62443-4-1-standardin ja NIS2-direktiivin vaatimukset.

Yhteistyön myötä Cactos oppi arvokasta yleistietoa kyberturvallisuudesta sekä riskinhallinnasta, mikä parantaa sen valmiuksia reagoida mahdollisiin kyberturvallisuusuhkiin ja vahvistaa sen asemaa sekä yhteiskunnalle kriittisten palvelujen tuottajana että energia-alan markkinoilla.

”Tuotekehitys on meidän ydintoimintaamme, ja Huld toi meille talon ulkopuolista kyberturvallisuuskokemusta ja laadullista osaamista. Huld sovitti työtapansa juuri meidän yritykseemme, ja kun uusia tarpeita nousi, saimme helposti lisää osaamista saman katon alta”, kertoo Cactoksen perustaja Kim Dikert.