Koneiden kyberturvallisuus tuo uuden riskienarvioinnin – mitä valmistajan ja koneen käyttäjän pitää tietää?
Raportointivelvollisuus CRA-haavoittumisista alkaa jo 11.9.2026
Moni konevalmistaja valmistautuu parhaillaan koneasetuksen (EU) 2023/1230 voimaantuloon 20.1.2027.
Keskustelu pyörii usein CE-merkinnöissä, turvallisuustoiminnoissa ja perinteisessä riskienarvioinnissa.
Mutta samalla taustalla tapahtuu jotain suurempaa.
Koneiden kyberturvallisuus on tulossa osaksi koneturvallisuutta tavalla, joka muuttaa myös turvallisuuden arviointia.
Ja ehkä tärkein kysymys kuuluu:
Tiedätkö oikeasti, millä turvallisuustasolla koneesi toimii?
*CRA = Cyber Resilience Act
Koneiden kyberturvallisuus ei ole uusi IT-projekti
Kun puhutaan kyberturvallisuudesta, ajatukset menevät helposti:
- palomuureihin
- käyttöoikeuksiin
- palvelimiin
- tietoverkkoihin
Mutta koneasetuksen näkökulmasta kysymys on erilainen.
Koneasetuksen EHSR-vaatimuksissa kohdassa 1.1.9 Suojaus tietojen turmeltumista vastaan sekä osin kohdassa 1.2.1 valmistajan tulee arvioida, voivatko turvallisuuteen vaikuttavat tiedot muuttua tavalla, joka vaarantaa turvallisuuden.
Ydinkysymys ei ole
”Voidaanko järjestelmään murtautua?”
Vaan:
”Voidaanko koneen tietoja muuttaa niin, että turvallisuus menetetään?”
Tämä on merkittävä ero.
Kyse ei ole pelkästään tietojen, vaan ihmisten suojaamisesta.
Perinteinen riskienarviointi ei yksin enää riitä
Valmistajien tulee jo nykyisin tehdä riskienarviointeja esimerkiksi standardien EN ISO 12100 ja EN ISO 13849-1 mukaisesti.
Näillä arvioidaan esimerkiksi:
- vaaratilanteiden vakavuutta
- turvallisuustoimintojen vaadittua suorituskykyä
- riskin pienentämistoimenpiteitä
Koneiden kyberturvallisuus tuo mukaan uuden näkökulman.
Turvallisuustoimintoihin liittyvät kyberriskit pitää arvioida erikseen.
Luonnosstandardissa prEN 50742 (”Suojaus korruptiota vastaan”) mukaan arviointi perustuu uhka- ja riskiperusteiseen lähestymistapaan.
Mukana tulee uusi näkökulma:
- vaikutuksen vakavuus
- hyökkäyspotentiaali (AP)
Näiden perusteella määritellään vaadittu turvallisuustaso, SRSL.
Käytännössä kyse on uudesta tavasta arvioida, kuinka hyvin koneen turvallisuuteen vaikuttavat tiedot pitää suojata.
Sama ongelma voi toistua uudelleen
Koneturvallisuudessa tilaaja ei aina tiedä:
- mitä on arvioitu
- millä menetelmällä
- millä turvallisuustasolla kone oikeasti toimii
Ja nyt sama tilanne voi siirtyä myös koneiden kyberturvallisuuteen.
Jos jokainen valmistaja käyttää omia menetelmiään:
- miten tilaaja voi vertailla ratkaisuja?
- miten tiedetään, mitä on huomioitu?
- miten turvallisuuden taso voidaan todentaa?
Ilman yhtenäistä toimintatapaa läpinäkyvyys heikkenee.
Kyberturvallisuus ei ole enää vain Securityä
IT-kyberturvallisuus suojaa usein liiketoimintaa.
Koneiden kyberturvallisuus suojaa ihmistä.
Jos tätä eroa ei ymmärretä, organisaatio voi johtaa Securityä täysin oikein ja silti epäonnistua Safetyssä.
Koneasetuksen EHSR-kohdan 1.1.9 ehkä tärkein viesti onkin tämä:
Ohjelmistot, päivitykset ja kyberturva eivät ole koneessa lisäosia.
Ne ovat osa koneturvallisuutta.
Yhteinen menetelmä vie lähemmäksi turvallisuuden todellista tasoa
Koneiden kyberturvallisuus ei tarkoita vain yhden uuden vaatimuksen lisäämistä listalle.
Käytännössä se tarkoittaa vähintään yhden uuden uhka- tai riskimenetelmän tuomista koneiden turvallisuusarviointiin – mahdollisesti useammankin.
Pelkkä mekaanisten, sähköisten, hydraulisten tai ergonomisten vaarojen arviointi ei enää riitä, jos turvallisuustoimintoihin voidaan vaikuttaa:
- ohjelmiston kautta
- verkkojen kautta
- käyttöoikeuksien kautta
- päivitysten kautta
- tietojen eheyden kautta
Ja tässä piilee myös uusi riski.
Jos koneiden kyberturvallisuutta aletaan arvioida irrallisena prosessina ilman yhteyttä koneen tekniseen riskienarviointiin, kokonaisuus pirstaloituu entisestään.
Tuloksena voi olla kaksi erillistä maailmaa:
koneturvallisuus
ja
kyberturvallisuus
Mutta vaarallinen tilanne ei synny erillisissä maailmoissa.
Se syntyy niiden rajapinnassa.
Siksi tulevaisuudessa tarvitaan yhä vahvemmin yhteinen turvallisuusviitekehys, jossa Safety ja Security eivät ole toisistaan irrallisia asioita, vaan osa samaa turvallisuuden kokonaisuutta.
Kun koneen valmistajalla ja loppuasiakkaalla on yhteinen tai ainakin yhteismitallinen toimintamalli riskien arviointiin, syntyy parempi perusta turvallisuuden johtamiselle.
Silloin:
- vaarojen tunnistaminen
- riskin suuruuden arviointi
- suojatoimien valinta
- jäännösriskien käsittely ja
- elinkaaren aikainen muutostenhallinta
voidaan tehdä johdonmukaisesti.
Yhteinen menetelmä ei poista kaikkea epävarmuutta eikä tee koneesta absoluuttisen riskitöntä.
Mutta se vie lähemmäksi tavoitetta, jota puhekielessä kutsumme 100-prosenttisesti turvalliseksi koneeksi.
Ilman yhteistä menetelmää turvallisuuden kokonaisuus hajoaa helposti erillisiksi tulkinnoiksi – ja silloin altistumme tarpeettomille vaaroille juuri siksi, että emme hallitse kokonaisuutta yhtenäisesti.
Ettei koneiden kyberturvallisuus jää tulkintojen varaan
Koneiden kyberturvallisuuden tavoitteena ei ole luoda erillistä maailmaa koneturvallisuuden rinnalle, vaan yhdistää turvallisuuden kokonaisuus hallittavaksi ja läpinäkyväksi toimintamalliksi.
Päätöksen turvallisuuden tasosta tekee lopulta tilaaja yhdessä koneen valmistajan kanssa. Tämä edellyttää kuitenkin yhteisiä menetelmiä, dokumentointia ja kykyä arvioida turvallisuutta yhtenäisesti koko elinkaaren ajan.
Jos organisaatiolla ei vielä ole valmiuksia tai resursseja tähän muutokseen, apua on saatavilla usealla tasolla.
IG3 Oy tukee konevalmistajia muun muassa koneiden kyberriskien arvioinnissa, turvallisuusvaatimusten tulkinnassa sekä turvallisuuden hallintamallien rakentamisessa. Yritys auttaa myös tilanteissa, joissa uuden sääntelyn ja käytännön toteutuksen välinen yhteys vaatii asiantuntijatukea.
Step2Safety puolestaan tarjoaa koneturvallisuuden suunnittelu- ja hallintapalveluja sekä koulutuksia, joiden avulla konevalmistajat voivat valmistautua tulevaan muutokseen vaiheittain. Tavoitteena ei ole vain asetusten täyttäminen, vaan yhtenäisen toimintamallin rakentaminen turvallisuuden johtamiseen.
Palvelupaketteihin ja koulutusvaihtoehtoihin voi tutustua täällä:
Step2Safety hinnasto ja paketit
Koska tammikuu 2027 ei ole enää kaukana.
Ja mitä aikaisemmin yhteinen toimintatapa rakennetaan, sitä paremmin turvallisuutta voidaan johtaa – eikä vain dokumentoida.
#koneturvallisuus #kyberturvallisuus #koneasetus #EHRS #CRA #turvallisuusjohtaminen
Lue myös muut artikkelimme
- Tuurilla ne laivatkin seilaa – tiedätkö turvallisuusvelkasi ja miten sitä hallitset?
- Tuleeko koneen turva-aita CE-merkitä?
- Työnantajan tiukka vastuu työturvallisuudesta
- LinkedIn-artikkeli: Ostan riskipisteesi
- LinkedIn-artikkeli: Miten käsitellä jäännösriskiä koneiden turvallisuudessa?
- Työturvallisuus vs. koneturvallisuus – kaksi maailmaa, yksi tavoite
- ”Mikä on koneen turvanopeus?” – Miksi tämä on väärä kysymys?
- Näin ostat koneturvallisuutta
SaaS-palvelu koneturvallisuuden hallintaan
Step2Safety on digitaalinen palvelu, joka auttaa konevalmistajia ja työnantajia hallitsemaan koneiden turvallisuutta ja vaatimustenmukaisuutta koko elinkaaren ajan – kustannustehokkaasti ja systemaattisesti.
🔗 www.step2safety.fi
