Fyysisen turvallisuuden ja kyberturvan rajapinta on kadonnut
Vielä kymmenen vuotta sitten kameravalvonta, kulunvalvonta ja hälytysjärjestelmät olivat erillisiä kokonaisuuksia, jotka eivät keskustelleet IT-verkon kanssa. Tänään kaikki niistä ovat IP-pohjaisia, pilviohjattuja ja kytkettyinä samaan verkkoon kuin yrityksen palvelimet ja työasemat.
Tämä tarkoittaa, että fyysisen turvallisuuden järjestelmistä on tullut osa yrityksen hyökkäyspintaa — ja vastuu niistä on yhä useammin tietoturvajohdon (CISO) tai turvallisuusvastaavan pöydällä, ei pelkästään kiinteistöhuollon.
Tämä artikkeli ei käsittele yksittäisten kameroiden teknisiä suojausasetuksia (niistä on oma artikkelinsa kameravalvonnan kyberturvasta). Tässä keskitytään organisaatiotason vastuisiin, NIS2-velvoitteisiin ja siihen, mitä turvallisuusvastaavan kannattaa tehdä tällä viikolla.
NIS2 — mitä se vaatii ja milloin?
NIS2-direktiivi (EU 2022/2555) on saatettu Suomessa voimaan kyberturvallisuuslailla, joka tuli voimaan 8.4.2025. Käytännön valvonta ja sanktiot ovat olleet täysimääräisesti voimassa siitä lähtien, ja Liikenne- ja viestintävirasto Traficom valvoo lain noudattamista.
NIS2 koskee Suomessa noin 3 000–6 000 organisaatiota kahdessa kategoriassa:
- Olennaiset toimijat (essential entities) — vähintään 250 työntekijää tai 50 M€ liikevaihto kriittisillä toimialoilla
- Tärkeät toimijat (important entities) — vähintään 50 työntekijää tai 10 M€ liikevaihto laajemmilla toimialoilla
Toimialat, joita NIS2 koskee
| Toimiala | Tyyppi | Esimerkkejä |
|---|---|---|
| Energia | Olennainen | Sähkö, kaukolämpö, kaasu, polttoaineet |
| Terveydenhuolto | Olennainen | Sairaalat, lääkevalmistajat, laboratoriot |
| Liikenne | Olennainen | Lentokentät, satamat, rautatiet, logistiikkakeskukset |
| Vesi ja jätevesi | Olennainen | Vesilaitokset, jätevedenpuhdistamot |
| Digitaalinen infrastruktuuri | Olennainen | Datakeskukset, DNS-palveluntarjoajat, pilvipalvelut |
| Julkishallinto | Olennainen | Valtio, kunnat tietyin ehdoin |
| Posti ja kuriiripalvelut | Tärkeä | Posti, paketti- ja jakelutoiminta |
| Jätehuolto | Tärkeä | Jätteen keräys ja käsittely |
| Elintarviketuotanto | Tärkeä | Suuret tuotantolaitokset ja jakelu |
| Valmistava teollisuus | Tärkeä | Lääketieteen laitteet, ajoneuvot, koneet |
| Digitaaliset palvelut | Tärkeä | Verkkokaupat, hakukoneet, some-alustat |
Sakot ovat merkittäviä
NIS2:n sanktiot ovat samaa luokkaa kuin GDPR:n:
- Olennaiset toimijat: sakko enintään 10 M€ tai 2 % maailmanlaajuisesta liikevaihdosta — kumpi on suurempi
- Tärkeät toimijat: sakko enintään 7 M€ tai 1,4 % liikevaihdosta
- Johdon henkilökohtainen vastuu: ylin johto voidaan asettaa väliaikaiseen toimintakieltoon vakavissa rikkomuksissa
- Ilmoitusvelvollisuus: merkittävä poikkeama on ilmoitettava ennakkovaroituksena 24 tunnissa ja täydellinen ilmoitus 72 tunnissa
Miksi fyysisen turvallisuuden järjestelmät kuuluvat tähän?
NIS2 vaatii toimitusketjun riskienhallintaa (artikla 21.2.d) ja kaikkien verkkoon kytkettyjen järjestelmien hallintaa. Käytännössä tämä tarkoittaa:
- Kameravalvonta, kulunvalvonta, palohälytys ja rikosilmoitusjärjestelmät on dokumentoitava osana ICT-omaisuuserien luetteloa
- Niille on tehtävä sama riskiarvio kuin muille verkkolaitteille
- Niiden toimittaja on arvioitava kyberturvan näkökulmasta (alkuperämaa, päivityspolitiikka, haavoittuvuusilmoitukset)
- Niiden poikkeamat (esim. kaapattu kamera, luvaton kulkutapahtuma) kuuluvat ilmoitusvelvollisuuden piiriin, jos ne vaikuttavat palveluiden saatavuuteen tai luottamuksellisuuteen
Tämä on isoin muutos verrattuna NIS1-aikaan: fyysisen turvallisuuden järjestelmiä ei voi enää jättää IT:n ulkopuolelle.
Mitä CISO tai turvallisuusvastaava tekee tällä viikolla?
Konkreettinen 7-päivän tarkistuslista, jolla pääsee alkuun:
Päivä 1: Inventaario
- Listaa kaikki verkkoon kytketyt fyysisen turvallisuuden laitteet: kamerat, NVR/VMS, kulunvalvontakontrollerit, hälytyskeskukset, ovipuhelimet
- Kirjaa jokaisesta: valmistaja, malli, firmware-versio, IP-osoite, asennusvuosi, vastuuhenkilö
Päivä 2: Vastuumatriisi
- Sovi kirjallisesti: kuka vastaa fyysisen turvallisuuden järjestelmien kyberturvasta?
- Tyypillisesti vastuu jakautuu: IT/CISO (verkkosegmentointi, päivitykset), turvallisuusvastaava (käyttöoikeudet, prosessit), kiinteistöhuolto (laitehallinta)
- Dokumentoi RACI-matriisina
Päivä 3: Toimittajien arviointi
- Pyydä jokaiselta järjestelmätoimittajalta: kyberturvasertifikaatit (ISO 27001, IEC 62443), haavoittuvuuksien ilmoitusprosessi, päivitysten julkaisutahti
- Tarkista, ovatko laitteet listattu CISA:n tai NCSC:n kiellettyjen laitteiden joukossa (esim. tiettyjä valmistajia on rajoitettu julkishallinnossa)
Päivä 4: Poikkeamien hallinta
- Varmista, että fyysisen turvallisuuden järjestelmien hälytykset (esim. kameran offline-tila, kulunvalvonnan vikatila) ohjautuvat samaan SIEM- tai SOC-prosessiin kuin muut tietoturvahälytykset
- Määritä eskalointipolku: kuka soittaa kenelle yöllä klo 3, jos NVR sammuu
Päivä 5: Ilmoitusvalmius
- Laadi tai päivitä 24 tunnin ennakkovaroitusmallipohja Traficomille
- Käy läpi, mitkä fyysisen turvallisuuden poikkeamat ylittävät NIS2:n ilmoituskynnyksen (palvelun saatavuuden tai luottamuksellisuuden vaarantuminen)
- Harjoittele ilmoitusprosessi kuvitteellisella tapauksella
Päivä 6: Johdon koulutus
- NIS2:n mukaan johdon on hyväksyttävä riskienhallintatoimet ja koulutettava itsensä — tämä ei ole delegoitavissa
- Varaa 60 minuuttia johtoryhmälle: mitä NIS2 koskee meitä, mitkä järjestelmät ovat piirissä, mikä on jäljelle jäävä riski
Päivä 7: Auditointisuunnitelma
- Sovi vuosittainen auditointi, jossa tarkistetaan fyysisen turvallisuuden järjestelmien tila
- Ulkopuolinen auditointi tuottaa puolueettoman raportin, jota Traficom hyväksyy todisteena due diligencen tasosta
Toimialakohtaisia esimerkkejä
Energiayhtiö (sähkönjakelu, 800 työntekijää): Sähköasemilla on satoja IP-kameroita ja kulunvalvontalukijoita. NIS2:n ennakkovaroitusvelvoite koskee mm. tilannetta, jossa kaapattu kamera mahdollistaa pääsyn SCADA-verkkoon. Käytännön toimi: kameroiden täysi VLAN-erotus operaatioverkosta, kuukausittainen haavoittuvuusskannaus.
Sairaala (1 200 työntekijää): Lääkekaappien kulunvalvonta, leikkaussalien kameravalvonta ja synnytysosaston ovipuhelimet ovat osa potilastietoturvaa. GDPR ja NIS2 menevät päällekkäin: poikkeama on ilmoitettava molempien lakien mukaan. Käytännön toimi: erillinen tietoturvavastaava fyysisille järjestelmille, joka raportoi sekä tietosuojavastaavalle että CISO:lle.
Logistiikkakeskus (250 työntekijää, 50 M€ liikevaihto): Lastausalueiden kameravalvonta ja porttien kulunvalvonta liittyvät suoraan toimitusketjun jatkuvuuteen. Yhden keskuksen pysähdys voi keskeyttää koko alueen jakelun. Käytännön toimi: redundantti tallennus (NVR + pilvi), riippumattomuus yhdestä toimittajasta.
Yleisimmät virheet, joita näemme auditoinneissa
- Kameravalvonta on jätetty IT:n ulkopuolelle — laitteet ovat IT-omaisuuserien luettelon ulkopuolella, eikä niitä päivitetä
- Toimittaja ei pysty kertomaan, milloin viimeisin firmware-päivitys julkaistiin — selkeä merkki siitä, että laitetta ei tueta enää
- Käyttäjähallinta on yhden henkilön päässä — jos kulunvalvonnan pääkäyttäjä lähtee, oikeuksia ei voida nollata
- Poikkeamien lokitukset eivät päädy SIEM:iin — fyysisen turvallisuuden tapahtumat kerätään erilliseen tietokantaan, jota kukaan ei valvo
- Toimitusketjuriskiä ei ole arvioitu — laitteet on hankittu kilpailutuksen halvimpana, ei kyberturvallisuusarvioinnin perusteella
Security.fi:n lähestymistapa
Security.fi:n toimittamat järjestelmät dokumentoidaan alusta lähtien siten, että ne täyttävät NIS2:n vaatimukset osana toimitusketjun riskienhallintaa. Tarjoamme:
- Kyberturva-auditoinnit olemassa oleville järjestelmille
- NIS2-yhteensopivat järjestelmäkokonaisuudet vastuumatriiseineen
- Vuosittaiset päivitys- ja tarkistuspalvelut, jotka tuottavat dokumentaation auditointeja varten
- Yhteistyön asiakkaan IT-osaston tai CISO:n kanssa, jotta fyysisen turvallisuuden järjestelmät istuvat osaksi kokonaisuutta
Haluatko selvittää, ovatko fyysisen turvallisuuden järjestelmänne NIS2:n vaatimusten mukaisia? Ota yhteyttä asiantuntijoihimme — teemme kohdennetun auditoinnin ja annamme priorisoidun toimenpide-ehdotuksen.
