top of page
Etsi

Tuotanto ei saa pysähtyä – kuinka elintarvikealan pakkauskoneet suunnitellaan NIS2-yhteensopiviksi?

  • 6 tuntia sitten
  • 4 min käytetty lukemiseen
An informative graphic about the NIS2 Network and Information Systems Directive 2, with a blue industrial background featuring a robotic packaging machine and the EU shield icon with a checkmark.

Kuvittele tilanne: Kriittisen tuotantolaitteiston ohjausjärjestelmä hajoaa tai käyttöliittymäpaneeli pimenee yllättäen. Kuinka kauan tuotanto voi olla pysähdyksissä? Kuinka paljon jokainen tunti maksaa yritykselle? Onko automaatiotoimittajalla olemassa ajan tasalla olevat varmuuskopiot? Kuka tai ketkä vastaavat varmuuskopioiden palauttamisesta?

 

Samat kysymykset ovat myös Euroopan unionin NIS2-direktiivin keskiössä. Direktiivin myötä automaatiotoimittajan ja asiakkaan välinen yhteydenpito muuttuu paljon tiiviimmäksi.

 

NIS2-direktiivi korostaa niin jatkuvuutta kuin kyberturvaa


Vaikka puhutaan kyberturvallisuudesta, NIS2-direktiivin perimmäinen tavoite on liiketoiminnan jatkuvuuden varmistaminen. Direktiivi on suunnattu erityisesti yhteiskunnan kriittisillä toimialoilla toimiville yrityksille, kuten elintarviketeollisuudelle.


Direktiivin mukaan poikkeustilan vallitessa on oltava suunnitelma siitä, miten toimitaan poikkeustilan aikana ja miten tuotantojatkuvuus varmistetaan. Esimerkiksi meijerin on pystyttävä tuottamaan maitoa, vaikka tietojärjestelmät olisivat alhaalla.


Luotettava kumppani kriittisessä toimitusketjussa


Pakkausautomaation ja lavaamisen automaatiotoimittajana Orfer on osa asiakkaidensa kriittistä toimitusketjua. NIS2-direktiivi velvoittaa yritykset varmistamaan, että heidän toimittajansa täyttävät tiukat kyberturvallisuusvaatimukset.


An Orfer secondary packaging machine (for food products like milk and bread) illustrating comprehensive NIS2 directive compliance features through interactive icons, including cloud security, secure networking, robotic packing, 24/7 client support, and incident reporting deadlines (24h/72h).

Olemme varautuneet vaatimuksiin muun muassa:

  • Kyberhygienialla: Koko henkilökuntamme on koulutettu perustason tietoturvakäytäntöihin, esimerkiksi siihen, ettei arkaluontoista tietoa lähetetä suojaamattomana tai tuntemattomia muistitikkuja käytetä. Orferilla pääsy tietoihin on sidottu rooleihin.

  • Poikkeamien hallinnalla: Tietoturva ei odota. Orferilla on selkeät raportointiprosessit poikkeamatilanteisiin: ilmoitus 24 tunnin sisällä, jatkoviestintä 72 tunnissa. Pidämme kirjaa asiakkaidemme laitteiden ohjelmistoversioista, jotta haavoittuvuudet tunnistetaan ennen kuin ne muodostuvat ongelmaksi.

  • Vikasietoisuudella: Automaatiojärjestelmät suunnitellaan toimimaan ilman pilvi- tai keskuspalveluriippuvuutta.

  • Toiminnan jatkuvuudella: Olemme varmistaneet kyvykkyytemme tukea asiakkaitamme myös poikkeustilanteissa. Esimerkiksi Orferin etäyhteydet toimivat luotettavasti myös vaativissa tilanteissa. Viime kädessä asiantuntijamme ovat valmiudessa saapumaan asiakkaalle tekemään huollot ja korjaukset paikan päälle.

 

 

Kyberturvallisuus huomioidaan jo automaatiojärjestelmien suunnitteluvaiheessa

 

Orferilla elinkaariajattelu NIS2-direktiiviin liittyen on strateginen lähestymistapa, joka tähtää ennen kaikkea liiketoiminnan jatkuvuuden varmistamiseen laitteiden ja ohjelmistojen koko käyttöiän ajan. Orferin automaatiojärjestelmät suunnitellaan kyberturvallisiksi ja NIS2-yhteensopiviksi jo tuotekehitysvaiheessa.


Hyvin suunniteltu automaatiojärjestelmä on tietoturvan perusta. Orferin valmistamat järjestelmät toimivat siten, että jos esimerkiksi paneeli-PC rikkoutuu, lavausrobotti tai pakkauskone ei pysähdy. Sen sijaan tuotantolinjaa pystytään ajamaan edelleen ja tuotanto jatkuu.


Toimitamme asiakkaillemme aina täydelliset varmuuskopiot, jotka sisältävät parametrit niin viivakoodilukijoista, taajuusmuuttajista kuin logiikoista. Kattavat varmuuskopiot ovat kriittisiä, jotta asiakkaan järjestelmä saadaan nopeasti käynnistettyä häiriön jälkeen, eikä vasta tunteja tai päiviä myöhemmin.


Elinkaariajattelu osana riskienhallintaa

 

Orfer technician in a factory setting, using a laptop with code to manage software for a white Kawasaki industrial palletizing robot, demonstrating rapid system recovery capability.

Kun automaatiojärjestelmän laitteet ja ohjelmat ikääntyvät, Orfer noudattaa systemaattista ketjua riskien hallitsemiseksi. Ensisijaisesti huolehdimme toiminnan jatkuvuudesta täydellisten varmuuskopioiden ja säännöllisten ohjelmistopäivitysten avulla.


Orferin asiantuntijat informoivat asiakasta, jos laitetta ei voida päivittää uusimpaan ohjelmistoversioon. Niinpä tuotantoverkko kovennetaan tai tietojärjestelmä eristetään verkosta, kunnes korvaava tuetulla versiolla varustettu laite löytyy.


Haavoittuvuus toimittajan komponentissa


Orfer on yhdessä kriittisten IT-palvelukumppanien kanssa varautunut poikkeustilanteisiin dokumentoiduilla ja harjoitelluilla prosesseilla, joilla haavoittuvuuksista selvitään ripeästi. Haavoittuneet laitteet eristetään verkosta tai suojataan muilla toimenpiteillä, kunnes ohjelmat voidaan korvata turvallisilla versioilla. Tavoitteena on aina tuotannon turvallisuus ja jatkuvuus muuttuvassa toimintaympäristössä.


Onko tuotantonne valmis?

NIS2-direktiivi haastaa jokaisen tuotannosta ja kunnossapidosta vastaavan pohtimaan:

  1. Onko automaatiojärjestelmien palauttamiseksi suunnitelma poikkeustilanteiden varalta? Kuinka nopeasti ja millä toimenpiteillä järjestelmä saadaan takaisin käyntiin esimerkiksi kyberhyökkäyksen aikana?

  2. Onko nykyisellä automaatiotoimittajalla prosessit, resurssit ja valmius palauttaa tuotanto mahdollisimman nopeasti vaativissakin olosuhteissa?

  3. Kuinka kauan tuotanto voi olla pysähdyksissä ja kuinka paljon se kustantaa yritykselle?


Toisiopakkaamisen ja lavaamisen automaatiotoimittajana Orfer on sitoutunut ajamaan kestävää kehitystä ja turvallisuutta sisälogistiikassa ja pakkaamisessa. Orfer varmistaa, että automaatiojärjestelmän toiminta ei ole ainoastaan tehokasta, vaan myös kestävää ja turvallista kaikissa tilanteissa.


Ota yhteyttä Orferin asiantuntijoihin, niin varmistetaan yhdessä, että tuotantonne jatkuu mahdollisista poikkeustilanteista huolimatta.

 

Usein kysytyt kysymykset NIS2-direktiivistä


1.    Mikä on NIS2-direktiivi, ja koskeeko se yritystäni? 

NIS2 on EU:n kyberturvallisuusdirektiivi, joka parantaa tietoturvan tasoa yhteiskunnan kannalta kriittisillä aloilla. Se koskee erityisesti huoltovarmuuskriittisiä toimijoita, kuten elintarvike- ja energiasektoria sekä pankkeja. Jos yrityksesi toimii elintarviketeollisuudessa, se kuuluu todennäköisesti direktiivin soveltamisalaan, mikä tuo velvoitteita riskienhallintaan ja raportointiin.

2.      Milloin NIS2-direktiivi astui voimaan, ja ketä se koskee?

NIS2-direktiivin soveltaminen alkoi 18.10.2024. Direktiivi koskee kaikkia kriittisten toimialojen toimijoita, jotka työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan euron vuosittainen liikevaihto. Yli 250 henkilön organisaatiot kuuluvat automaattisesti soveltamisalaan. Sääntelyn kohteena olevat organisaatiot luokitellaan joko keskeisiksi tai tärkeiksi toimijoiksi riippuen niiden koosta, toimialasta ja kriittisyydestä. Direktiivi ulottuu myös pienempiin yrityksiin, jos ne toimivat alihankintaketjussa NIS2-direktiivin alaisten yritysten kanssa. Tämä tarkoittaa, että myös automaatiotoimittajat, kuten Orfer, voivat kuulua velvoitteiden piiriin osana asiakkaidensa toimitusketjua.

3.     Mitä "kyberhygienia" tarkoittaa?

Kyberhygienia kattaa perustason tietoturvakäytännöt ja hyvät toimintatavat. Esimerkiksi arkaluontoista tietoa ei lähetetä suojaamattomalla sähköpostilla, henkilökunta koulutetaan tunnistamaan uhat ja tuntemattomia muistitikkuja ei kytketä laitteisiin. Kiteytettynä kyberhygienialla tarkoitetaan hyviä tietoturvakäytänteitä.

4.      Miten NIS2-direktiivi vaikuttaa elintarvikealan asiakkaan ja automaatiotoimittajan väliseen suhteeseen? 

NIS2-direktiivi korostaa toimitusketjun turvallisuutta. Asiakkaalla on velvollisuus varmistaa, että heidän toimittajansa ja loppuratkaisunsa täyttävät direktiivin vaatimukset. Tämä tarkoittaa usein toimittajien auditointia ja sen varmistamista, että automaatiojärjestelmät on suunniteltu kyberturvallisiksi. Direktiivi tulee lisäämään toimittajan ja asiakkaan välistä dialogia tietoturvallisuudesta.

5.     Miksi pelkkä tietokoneen varmuuskopiointi ei riitä tuotannon jatkuvuuden varmistamiseksi?

Automaatiojärjestelmissä kriittisiä parametreja ja ohjelmistoja on muuallakin kuin keskustietokoneella. Täydellisten varmuuskopioiden tulee sisältää automaatiojärjestelmän eri prosessin vaiheiden – kuten logiikoiden (PLC), taajuusmuuttajien ja viivakoodilukijoiden –tiedot. Ilman näitä tietoja linjan palauttaminen häiriön jälkeen voi kestää jopa päiviä.

6.      Miten menetellään, jos vanhaan laitteeseen ei enää saa tietoturvapäivityksiä? 

Kaikkia laitteita ei voi päivittää ikuisesti. Orferin elinkaariajattelussa ratkaisuna on tällöin laitteen eristäminen verkosta tai muiden suojaustoimenpiteiden, kuten verkon koventamisen, käyttö, kunnes laite voidaan korvata tuetulla versiolla.

7.     Mitä on verkon koventaminen?

Verkon koventamisella tarkoitetaan järjestelmän tietoturvan vahvistamista riskien arvioinnin perusteella. Eli käytännössä turhat toiminnot, palvelut ja portit poistetaan käytöstä, oletusarvot muutetaan ja luvaton pääsy estetään. Tavoitteena on pienentää hyökkäys pinta-ala minimiin.

8.     Miten Orfer varmistaa toiminnan jatkuvuuden poikkeustilanteissa?

Orfer on varautunut siihen, että palvelu jatkuu, vaikka tietojärjestelmät tai matkapuhelinverkot olisivat alhaalla. Meillä on kyvykkyys ja valmius lähettää asiantuntijat paikan päälle asiakkaan luokse, jotta tuotanto saadaan pidettyä käynnissä myös poikkeusolosuhteissa.

9.     Mitä tapahtuu, jos yritys ei täytä NIS2-direktiivin vaatimuksia?

Laiminlyönneistä voi seurata merkittäviä seuraamuksia. Keskeisille toimijoille hallinnollisen seuraamusmaksun enimmäismäärä on 10 000 000 euroa tai 2 prosenttia maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta, sen mukaan kumpi on suurempi. Muille kuin keskeisille toimijoille enimmäismäärä on 7 000 000 euroa tai 1,4 prosenttia liikevaihdosta. Rahalliset sanktiot eivät ole ainoa riski: Vakavissa tapauksissa viranomaiset voivat määrätä yrityksen keskeyttämään toimintansa, ja yrityksen johdolle voidaan määrätä henkilökohtaisia seuraamuksia. Lisäksi vaatimuksenmukaisuuden puutteet voidaan määrätä julkistettavaksi, millä voi olla merkittäviä vaikutuksia yrityksen maineeseen.

10.  Mitä tarkoittaa 24/72 tunnin raportointivelvoite NIS2-direktiivissä?

Raportointivelvoite on kolmivaiheinen ja koskee kaikkia merkittäviä tietoturvapoikkeamia:

Toimijan on viipymättä toimitettava valvovalle viranomaiselle 24 tunnin kuluessa poikkeaman havaitsemisesta ensi-ilmoitus ja 72 tunnin kuluessa jatkoilmoitus. Poikkeamatilanteen päätyttyä toimijan on toimitettava loppuraportti. Suomessa ilmoitukset vastaanottaa Traficomin Kyberturvallisuuskeskus.


Periaate on kaikissa EU-maissa sama, mutta käytännön toteutus vaihtelee. Merkittävien poikkeamien määritelmät, raportointikynnykset ja velvoitteiden laajuus eroavat jäsenmaiden välillä. NIS2-direktiivi asettaa yhteisen minimitason, mutta jättää jäsenmaille liikkumavaraa. Jotkut jäsenmaista ovatkin ottaneet käyttöönsä tiukempia vaatimuksia, kun taas osa on laajentanut direktiivin soveltamisalaa kansallisesti.


Rajat ylittävissä tilanteissa pääsääntö on selkeä: ilmoitusvelvollisuus kohdistuu siihen EU-maahan, johon yritys on sijoittautunut – ei erikseen jokaiseen maahan, jossa se toimii.

bottom of page