NIS2-direktiivi (Network and Information Security Directive 2) astui EU-tasolla voimaan lokakuussa 2024, ja se laajentaa merkittävästi kyberturvallisuusvaatimusten soveltamisalaa. Suomessa direktiivi implementoitiin kansalliseen lainsäädäntöön kyberturvallisuuslakina. Vaikutukset ulottuvat kyberjärjestelmien lisäksi myös fyysiseen turvallisuusinfrastruktuuriin – mukaan lukien kameravalvontajärjestelmät.
Jos yrityksesi toimii kriittiseksi infrastruktuuriksi luokitelluilla toimialoilla, on aika tarkistaa, täyttävätkö turvallisuusjärjestelmänne NIS2:n asettamat vaatimukset.
Ketkä kuuluvat NIS2:n soveltamisalaan?
NIS2 jakaa toimijat kahteen luokkaan: olennaisiin ja tärkeisiin toimijoihin. Kameravalvonnan näkökulmasta merkitystä on erityisesti seuraavilla toimialoilla:
Olennaiset toimijat:
- Energia (sähkö, kaasu, öljy, kaukolämpö)
- Terveydenhuolto ja lääketeollisuus
- Liikenne ja logistiikka
- Vesi- ja jätehuolto
- Digitaalinen infrastruktuuri (datakeskukset, pilvipalvelut)
- Julkinen hallinto
Tärkeät toimijat:
- Elintarviketuotanto ja -jakelu
- Kemianteollisuus
- Postinjakelu ja kuriiripalvelut
- Jätteidenkäsittely
Kokorajana on tyypillisesti 50 henkilöä tai 10 miljoonan euron liikevaihto, mutta toimialasta riippuen myös pienemmät toimijat voivat kuulua soveltamisalaan.
NIS2:n vaatimukset turvallisuusjärjestelmille
NIS2 ei säätele kameravalvontaa nimeltä, mutta se asettaa yleisiä vaatimuksia, jotka koskevat suoraan kameravalvontainfrastruktuuria.
Riskienhallintavelvollisuus
Organisaatioiden on toteutettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä riskienhallintaan. Tämä tarkoittaa, että kameravalvontajärjestelmä on arvioitava osana laajempaa riskianalyysia:
- Mitä uhkia kamera torjuu?
- Miten kamera itse on suojattu fyysiseltä ja kyberuhkalta?
- Onko järjestelmässä tunnettuja haavoittuvuuksia?
Fyysinen turvallisuus osana kyberturvallisuutta
NIS2 sisältää nimenomaisen vaatimuksen fyysisen turvallisuuden huomioimisesta. Kameravalvonta on keskeinen osa fyysistä turvallisuutta, mutta se ei riitä yksinään – kamerajärjestelmä on myös itsessään suojattava.
Käytännössä tämä tarkoittaa:
- Kameralaitteisto on suojattava luvattomalta fyysiseltä pääsyltä
- Kameran firmware päivitetään säännöllisesti
- Vanhentuneet laitteet poistetaan käytöstä ennen kuin haavoittuvuuksia hyödynnetään
Lokienhallinta – NIS2:n kriittinen vaatimus
Yksi konkreettisimmista NIS2-vaatimuksista on lokienhallinta. Organisaation on kyettävä jälkikäteen osoittamaan, mitä on tapahtunut, milloin ja kenen toimesta.
Kameravalvontajärjestelmässä tämä tarkoittaa:
- Käyttöloki: kuka on kirjautunut järjestelmään, milloin ja mitä on katseltu tai ladattu
- Muutosloki: kuka on muuttanut järjestelmäasetuksia tai käyttöoikeuksia
- Tapahtumaloki: liikkeentunnistus, hälytykset, katkokset ja tallennusvirheet
- Lokien säilytysaika: NIS2 edellyttää lokien säilyttämistä riittävän pitkään – yleinen suositus on 12 kuukautta
Lokien tulee olla muuttamattomia – niitä ei saa voida jälkikäteen muokata tai poistaa. Pilvipohjaiset järjestelmät toteuttavat tämän usein automaattisesti, paikallisissa järjestelmissä asia vaatii erityishuomion.
Pääsynhallinta – ei enää oletussalasanoja
NIS2 edellyttää tiukkaa pääsynhallintaa. Kameravalvontajärjestelmissä tämä tarkoittaa erityisesti:
- Oletussalasanojen poistaminen: Laitteiden käyttöönotto oletustunnuksin on yleinen turvallisuusongelma ja NIS2:n vastainen
- Monivaiheinen tunnistautuminen (MFA): Etäkäyttö kameraportaaliin on suojattava MFA:lla
- Roolipohjaiset oikeudet: Käyttäjät saavat vain sen pääsyn, jota he tarvitsevat – ei enemmän
- Käyttöoikeuksien katsaus: Oikeudet tarkistetaan säännöllisesti, erityisesti henkilöstömuutosten yhteydessä
Vanhat NVR-järjestelmät ovat usein heikoin kohta tässä – niissä pääsynhallintaominaisuudet ovat rajalliset. Siirtyminen moderniin pilvipohjaiseen järjestelmään ratkaisee usein nämä ongelmat kerralla.
Toimialakohtainen tarkastelu
Energia-ala
Sähköasemilla, muuntoasemilla ja energiantuotantolaitoksilla kameravalvonta on osa kriittisen infrastruktuurin fyysistä suojausta. NIS2 edellyttää, että valvontajärjestelmä on integroitu osaksi laajempaa tietoturva-arkkitehtuuria – mukaan lukien hälytysjärjestelmät ja kulunvalvonta. Erikoisvaatimuksena on usein myös redundantti tallennus ja katkeamaton toiminta myös verkkohäiriön aikana.
Terveydenhuolto
Sairaaloissa ja terveydenhuollon yksiköissä kameravalvontaan liittyy erityinen GDPR-herkkyys: potilastiedot ja arkaluonteiset tilat. NIS2 lisää tähän vaatimuksen lokienhallinnasta ja pääsynhallinnasta. Potilasalueille kohdistuva valvonta vaatii DPIA:n ja erittäin tiukan käyttöoikeuksien rajauksen.
Logistiikka ja kuljetus
Varastoissa, terminaaleissa ja satamaympäristöissä kameravalvonta on jo laajaa. NIS2 nostaa vaatimustasoa erityisesti integraatioiden osalta: kamerajärjestelmät liitetään yhä useammin kulunvalvontaan, varastonhallintaan ja toiminnanohjausjärjestelmiin. Jokainen integraatiopiste on myös potentiaalinen haavoittuvuus – ja NIS2 edellyttää niiden arviointia.
Riskiarviointi – mistä aloittaa?
NIS2-vaatimusten täyttäminen ei tarkoita kaiken uusimista kerralla. Suositeltava etenemistapa:
- Inventoi nykyinen järjestelmä – mitkä kamerat, tallentimet ja ohjelmistot ovat käytössä?
- Arvioi ikä ja tukitilanne – onko laitteistolle saatavilla päivityksiä?
- Tarkista lokienhallinta – tallentaako järjestelmä käyttö- ja muutoslokit?
- Arvioi pääsynhallinta – onko MFA käytössä, ovatko salasanat oletusarvoja?
- Laadi riskianalyysi ja dokumentoi se
Dokumentointi on keskeistä: NIS2:n valvontaviranomainen voi pyytää nähtäväksi näyttöä siitä, että vaatimuksenmukaisuus on arvioitu ja toimenpiteet toteutettu.
Yhteenveto
NIS2 nostaa rimaa myös fyysisen turvallisuusinfrastruktuurin osalta. Kameravalvontajärjestelmät eivät enää ole irrallinen tekninen ratkaisu – ne ovat osa organisaation kokonaisturvallisuusarkkitehtuuria, johon sovelletaan samoja riskienhallinta-, lokienhallinta- ja pääsynhallintavaatimuksia kuin muihinkin kriittisiin järjestelmiin.
Tärkeimmät toimenpiteet nyt:
- Inventoi ja arvioi nykyinen kameravalvontainfrastruktuuri
- Varmista lokienhallinta ja riittävä säilytysaika
- Poista oletussalasanat ja ota käyttöön MFA
- Laadi tai päivitä riskianalyysi fyysisen turvallisuuden osalta
- Dokumentoi kaikki toimenpiteet
Security.fi auttaa NIS2-vaatimustenmukaisuuden arvioinnissa ja kameravalvontajärjestelmien päivityksessä. Tarjoamme NIS2-gap-analyysin fyysiselle turvallisuusinfrastruktuurille. Ota yhteyttä asiantuntijoihimme.
