VR ja Traficom: NIS2-auditointi on kyberturvaa kehittävää yhteistyötä valvottavan ja viranomaisen välillä

Moni organisaatio on aloittanut kyberturvallisuusdirektiivi NIS2:n vaatimusten mukaisen tietoturvakehityksen. Laajalle ulottuva kyberturvallisuuden tasoa ja riskihallintaa määrittävä direktiivi on pian noin vuoden vanha. Suomen kansallinen lainsäädäntö kyberturvallisuuslaki astui voimaan kesällä 2025, ja sen myötä myös NIS2-auditointitoiminta on käynnistetty Suomessa.

Monia NIS2-soveltamisalaan kuuluvia organisaatioita kiinnostaa, onko NIS2 auditointeja jo tehty, mitä auditoinnissa tapahtuu, ja miten auditointiin tulee valmistautua? Tässä blogissa kerrotaan auditoitavan kokemuksia yhdestä Suomen ensimmäisistä NIS2-auditoinneista. Kerromme myös, miltä tilanne näyttää auditoijan silmin, ja mitä odotuksia auditoijalla tässä tapauksessa oli. 2NS oli asiantuntijana tukemassa VR:ää auditointiin liittyvissä vaatimustemukaisuustöissä.

VR on 160 vuoden kokemuksella yksi Suomen suurimmista logistiikka- ja liikennealan toimijoista, joka liikuttaa päivittäin tuhansia matkustajia ja tonneittain tavaraa. VR:n toiminta kattaa kauko- ja kaupunkiliikenteen sekä rautatielogistiikan palvelut Suomessa ja Ruotsissa.

Kansallinen junaoperaattori ja merkittävä logistiikkatoimija on luonnollisesti kohdannut tieto- ja kyberturvaan liittyvää sääntelyä jo pitkään. NIS2 oli sääntelyyn uusi laajennus, jonka VR:llä tiedettiin vaikuttavan varmasti myös heidän toimintaansa.

”Kun perehdyimme NIS2-direktiiviin sen valmistuttua EU-tasolla, päätimme nopeasti käynnistää vaatimustenmukaisuustyön gap-analyysin avulla. Halusimme kokonaiskuvan siitä, miltä osin täytämme jo sääntelyn vaatimukset, ja mitä täytyy kehittää.”, kommentoi VR:n CISO Mikke Maronen.

VR:llä vahvistui Marosen mukaan nopeasti käsitys siitä, että vaatimustenmukaisuuden kannalta tärkeää oli kehittää VR:n kyberturvallisuuden johtamisjärjestelmää, joka oli jo ISO 27001 -standardin mukainen.

Johtamisjärjestelmän kattavuutta lähdettiin laajentamaan 2NS:n asiantuntijoiden kanssa pienissä erissä; ensin tarkasteltiin dokumentaatiota, eri liiketoimintoja sekä yhteisiä toimintoja sen jälkeen vaiheistetusti. Oman haasteensa kehittämiseen toi, että Ruotsin yksiköltä alettiin pian NIS2 direktiivin voimaantulon jälkeen vaatia asiakkaiden toimesta ISO 27001 sertifikaattia.

Kun NIS2:n kansallinen lainsäädäntöversio, eli kyberturvallisuuslaki, oli tullut voimaan, alaa valvova viranomainen Traficom aloitti kyberlain mukaiset auditoinnit. VR oli yksi ensimmäisistä auditointikohteista. Traficomin erityisasiantuntijan Ville Lahden mukaan raideliikenteessä oli hyvät valmiudet vastata uuteen, aiempaa sääntelyä laajentavaan lakiin.

Kyberturvallisuuslaki on vaatimuksiltaan laaja kokonaisuus. Lahden mukaan oli selvää, ettei VR:n kokoista laajaa organisaatiota kannattaisi auditoida kokonaisuudessaan kerralla. Tämän vuoksi ensimmäinen auditointi rajattiin varsin tiukasti VR:n johtoon ja logistiikan toimintaan. Tarkastelun ytimessä olivat kyberturvan johtamisjärjestelmä, johdon vastuu kyberturvan kokonaisuudesta sekä riskienhallintamenettelyt. Kokonaisuudessaan auditointiin kului Lahden mukaan noin 70 työtuntia, ja hän oli tyytyväinen rajauksen toimivuuteen.

Auditoinnit jatkuvat suunnitellun ohjelman mukaisesti vuosittain. Tämä mahdollistaa sen, että sekä Traficom että VR saavat mahdollisuuden kehittää auditoinnin toimintatapoja rullaavasti.

Sujuva yhteistyö ja kommunikaatio auditointia toteuttavan tahon ja valvottavan välillä on keskeistä auditoinnin onnistumiselle. Tavoitteena on, että auditointi on myös sen kohteelle aidosti hyödyllinen tilaisuus kehittää riskienhallintaansa, ja tietää, mille osa-alueelle jatkokehitystä kannattaa kohdistaa.
Traficomin asiantuntijat haluavat aktiivisesti kuulla, millaisia odotuksia valvonnan piiriin kuuluvilla yrityksillä on valvonnasta. Lahden mukaan toiveissa on, että viestintä valvottavan ja viranomaisen välillä on säännöllistä ja näin ollen viranomaiset voivat tukea yrityksiä toimintansa tehokkaassa ja tarkoituksenmukaisessa kehittämisessä.
Myös auditointiraporttien laatuun kiinnitetään huomiota, jotta ne tuottavat lisäarvoa auditoitavalle. Traficomin auditoijat ovat valmiita keskustelemaan myös yrityksen johdon kanssa tuloksista, jotta kehittäminen ei jää yksistään tietoturvapäällikön harteille.

VR:n oli helppo lähteä kehittämään organisaation tietoturvan johtamisjärjestelmää NIS2-vaatimuksiin vastaavaksi, kun käytössä oli jo ISO27001-standardia mukaileva johtamisjärjestelmä. Lähtökohdat toiminnan kehitykseen olivat selkeät pohjalle tehdyn gap-analyysin jälkeen. Kyberturvallisuuslain sekä ISO 27001-normin painottama riskiperusteinen lähestymismalli mahdollistaa tietoturvan kehittämisen sekä keskitetysti että yhdessä eri liiketoimintojen kanssa.

Maronen uskookin, että logistiikka-alalla ISO 27001 –normin mukaista toimintaa tullaan edellyttämään yhä laajemmin kaikilta toimijoilta.

Lahti mainitsee lisäksi raideliikenteen erikoisominaisuudeksi runsaan OT-teknologian, eli kalustoon sulautettujen digitaalisten ratkaisujen olemassaolon. Käytännössä voidaan ajatella, että liikennekalusto itsessään on OT-ratkaisuja sisältävää laitteistoa.  Tähän liittyvää vaatimustenmukaisuutta on haastavaa kattaa ISO 27001:n avulla, vaan muista viitekehyksistä (kuten esimerkiksi IEC 62443stä tai raideliikenteen kyberturvallisuusstandardin luonnoksesta IEC CDV 63452) voi löytyä lisää tukea OT-kaluston turvaamiseen.

• Puuteanalyysista on hyvä aloittaa
• Analyysi osoittaa kriittiset alueet ja antaa keskittyä oikeisiin kehitystoimiin
• Kehityksen on syytä olla aktiivista, todellisiin ja liiketoimintalähtöisiin tarpeisiin perustuvaa ja sen on hyvä perustua aidosti yrityksen johtamisjärjestelmään
• Aktiivinen yhteydenpito valvovan viranomaisen kanssa auttaa prosessin kaikissa vaiheissa.