Liikenne- ja viestintäviraston suositus kyberturvallisuuden edistämisestä raideliikenteessä (luonnos)
Diarienummer för begäran om utlåtande: TRAFICOM/517957/03.04.02.01/2022
Svarstiden gick ut: 30.11.2022
Uppgifter om begäran om utlåtande
Inledning
Liikenne- ja viestintävirasto Traficom julkaisi vuonna 2020 suosituksen kyberturvallisuuden edistämisestä raideliikenteessä. Suositus on tarkoitus päivittää vuoden 2022 aikana ja tätä varten Traficom pyytää lausuntoja suosituksen kehittämiseksi. Lausuntopyynnön liitteinä ovat luonnos suosituksen päivittämiseksi, liite suosituksen sisältämistä riskienhallintakeinoista sekä Kyberturvallisuuskeskuksen Kybermittarin versio 2.0, joka sisältää viittaukset suositusluonnokseen.
Bakgrund
Suosituksen päivitys on arvioitu seuraavista syistä tarpeelliseksi:
- Vuoden 2020 suosituksessa esitettyjä kyberturvallisuuden riskienhallintakeinoja on arvoitu Kyberturvallisuuskeskuksen kybermittarilla. Kybermittarin 11 arvioitavasta osa-alueesta asteikolla 0-3 Traficomin raideliikennesuositusta noudattava organisaatio ylittäisi tason 1 vaatimukset kolmella osa-alueella. Kahdeksan osa-aluetta jäisi tasolle 0 ja yksikään osa-alue ei yltäisi tasolle 2 tai 3. Arvionnista on tehty johtopäätös, että nykyinen suositus ei ole riittävä kyberturvallisuusriskien hallitsemiseksi.
- Raideliikenne on keskeinen osa Suomen kriittistä infrastruktuuria ja turvallisuusympäristössä on viimeisen vuoden aikana tapahtunut selkeitä muutoksia.
- Raideliikenteen kyberturvallisuutta koskeva kansainvälinen standardointityö on kehittynyt ja suosituksessa halutaan huomioida uusimmat standardit.
- Raideliikenteeseen osana kriittistä infrastruktuuria odotetaan lähivuosina kohdistuvan korkeampia kyberturvallisuuden riskienhallintavaatimuksia kehittyvän EU-sääntelyn myötä (esim. NIS2 -direktiiviehdotus).
- Vuoden 2020 suosituksessa esitettyjä kyberturvallisuuden riskienhallintakeinoja on arvoitu Kyberturvallisuuskeskuksen kybermittarilla. Kybermittarin 11 arvioitavasta osa-alueesta asteikolla 0-3 Traficomin raideliikennesuositusta noudattava organisaatio ylittäisi tason 1 vaatimukset kolmella osa-alueella. Kahdeksan osa-aluetta jäisi tasolle 0 ja yksikään osa-alue ei yltäisi tasolle 2 tai 3. Arvionnista on tehty johtopäätös, että nykyinen suositus ei ole riittävä kyberturvallisuusriskien hallitsemiseksi.
- Raideliikenne on keskeinen osa Suomen kriittistä infrastruktuuria ja turvallisuusympäristössä on viimeisen vuoden aikana tapahtunut selkeitä muutoksia.
- Raideliikenteen kyberturvallisuutta koskeva kansainvälinen standardointityö on kehittynyt ja suosituksessa halutaan huomioida uusimmat standardit.
- Raideliikenteeseen osana kriittistä infrastruktuuria odotetaan lähivuosina kohdistuvan korkeampia kyberturvallisuuden riskienhallintavaatimuksia kehittyvän EU-sääntelyn myötä (esim. NIS2 -direktiiviehdotus).
Målsättningar
Suosituksella on tarkoitus edistää raideliikenteen kyberturvallisuuden kokonaisvaltaista kehittämistä ja toiminnan jatkuvuuden varmistamista. Tarkoituksena on lisätä:
- raideliikennealan toimijoiden tietoisuutta kyberturvallisuudesta,
- raideliikenteen toimijoiden kyberturvallisuusriskien ja kyberturvallisuushyökkäysten ymmärrystä,
- raideliikenteen toimijoiden varautumista ja vastuullista suojautumista omaan toimintaansa kohdistuvia kyberuhkia vastaan riskienhallinnan avulla ja
- raideliikenteen toimijoiden yhteistyötä, jotta raideliikenteen ja sen järjestelmien kokonaissuojauksen tasoa saadaan nostettua.
Liitteet:
Luonnos_Traficom_raidekybersuositus_päivitys_2022.pdf - Luonnos: Traficomin suositus kyberturvallisuuden edistämisestä raideliikenteessä (PDF)
Luonnos_Traficom_raidekybersuositus_päivitys_2022.docx - Luonnos: Traficomin suositus kyberturvallisuuden edistämisestä raideliikenteessä (word)
Liite_1_suosituksen_hallintakeinot_taulukkomuodossa.xlsx - Liite 1: Suosituksessa esitetyt riskienhallintakeinot taulukkomuodossa
Liite_2_Kybermittari_v2.0_viittaukset_raideliikennesuositus.xlsx - Liite 2: Kybermittari v.2.0 viittaukset raideliikennesuositukseen
Tidtabell
Suositus on ulkoisella lausuntokierroksella 27.10.-30.11.2022.
Svarsanvisningar för mottagare
Lausunnot pyydetään antamaan osoitteessa lausuntopalvelu.fi. Lausunnot voi toimittaa myös Traficomin kirjaamoon sähköpostitse (word-muodossa) osoitteella [email protected] tai kirjeitse osoitteella Liikenne- ja viestintävirasto, PL 320, 00059 TRAFICOM.
Valmistelijat
Ville Lahti
Erityisasiantuntija (kyberturvallisuus)
Liikenne- ja viestintävirasto (Traficom)
Liikennejärjestelmäpalvelut
[email protected]
Puh. 0295346812
PL 320, 00059 Traficom
Erityisasiantuntija (kyberturvallisuus)
Liikenne- ja viestintävirasto (Traficom)
Liikennejärjestelmäpalvelut
[email protected]
Puh. 0295346812
PL 320, 00059 Traficom
Sändlista:
Digirata | ||
Fintraffic | ||
Liikenne- ja viestintäministeriö | ||
VR Group | ||
Väylävirasto |
Asiasanat
kyberturvallisuus
kyberturvallisuuden toimeenpano
Liikenne- ja viestintävirasto
Liikenne 12
liikeenejärjestelmä
Viestintäverkot, kyberturvallisuus, tietoturvallisuus
raideliikenteen turvallisuus