Kyberkestävyyssäädöksen vaikutus teollisuuden automaatiojärjestelmiin

Abstract

Teollisuuden automaatiojärjestelmät ovat olennainen osa modernia yhteiskuntaa ja kriittistä infrastruktuuria. Ne mahdollistavat tuotantoprosessien tehokkaan, turvallisen ja jatkuvan toiminnan useilla toimialoilla, kuten energia-, kemian-, valmistus- ja logistiikkasektoreilla. Teknologian kehityksen ja digitalisaation myötä automaatiojärjestelmät ovat siirtyneet kohti yhä verkottuneempia ratkaisuja, joissa tietoturvan merkitys korostuu. Tämä kehitys on lisännyt järjestelmien haavoittuvuutta kyberuhille ja luonut tarpeen sääntelylle, joka varmistaa järjestelmien kyberturvallisuuden koko niiden elinkaaren ajan. Vuonna 2024 Euroopan unioni hyväksyi kyberkestävyyssäädöksen, jonka tavoitteena on parantaa digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuutta asettamalla niille yhteiset, sitovat vaatimukset. Säädös koskee laajasti erilaisia ohjelmistoja ja laitteita, mukaan lukien teollisuuden automaatiojärjestelmiä. Tämän kandidaatintyön tavoitteena on tarkastella, miten kyseinen säädös vaikuttaa teollisuusautomaatioon erityisesti valmistajien näkökulmasta. Työssä analysoidaan valmistajien keskeisiä velvollisuuksia, kuten riskienhallintaa, tietoturvapäivityksiä, haavoittuvuuksien dokumentointia ja raportointivelvoitteita. Lisäksi käsitellään lyhyesti myös maahantuojien ja jakelijoiden roolia. Työssä tarkastellaan, miten teollisuusautomaatiotuotteet voisivat säädöksen mukaan sijoittua eri kategorioihin ja luokkiin sekä millaisia vaatimustenmukaisuudenarviointi menettelyjä näihin eri luokkiin sovelletaan. Vaikka säädöksessä ei nimetä teollisuusautomaatiotuotteita yksiselitteisesti tiettyyn luokkaan, voidaan alan käyttökontekstin ja säädöksen tavoitteiden perusteella arvioida, että monet näistä tuotteista tulevat kuulumaan tärkeisiin tai kriittisiin ryhmiin. Tällöin niihin sovelletaan tiukempia kyberturvallisuusvaatimuksia ja arviointimenettelyjä. Kyberkestävyyssäädös edellyttää yrityksiltä teknisiä, hallinnollisia ja organisatorisia muutoksia, mutta samalla se tarjoaa mahdollisuuden parantaa järjestelmien luotettavuutta ja kilpailukykyä digitaalisessa toimintaympäristössä.

Industrial automation systems are a fundamental part of modern society and critical infrastructure. They enable efficient, safe, and continuous operation of production processes across multiple sectors such as energy, chemical, manufacturing, and logistics industries. As technology advances and digitalization progresses, automation systems have become increasingly networked, highlighting the growing importance of cybersecurity. This development has made systems more vulnerable to cyber threats and created a need for regulation to ensure cybersecurity throughout the entire lifecycle of these systems. In 2024, the European Union adopted the Cyber Resilience Act, aiming to enhance the cybersecurity of products with digital elements by imposing common, binding requirements. The regulation applies to a wide range of software and hardware, including industrial automation systems. This bachelor's thesis explores how the regulation affects industrial automation, particularly from the perspective of manufacturers. The thesis analyzes the key obligations of manufacturers, such as risk management, security updates, vulnerability documentation, and reporting requirements. The roles of importers and distributors are also briefly addressed. Furthermore, the thesis examines how industrial automation products may be classified into distinct categories and classes under the regulation and what kind of conformity assessment procedures apply to each. Although the regulation does not explicitly assign industrial automation products to a specific class, the context of their use and the goals of the regulation suggest that many of these products are likely to fall under the important or critical categories. These categories are subject to stricter cybersecurity requirements and assessment procedures. The Cyber Resilience Act will require companies to implement technical, administrative, and organizational changes but also offers an opportunity to improve the reliability and competitiveness of automation systems in an increasingly digital environment.