Hyviä uutisia: varautuminen kiinnostaa Euroopassa – NIS2 ja CER muuttavat elintarvikealan varautumista
Kirjoittanut: Eero Alaluusua
Julkaistu:
Kirjoittanut: Eero Alaluusua
Julkaistu:
EU:ssa yhtenäistä tapaa jäsentää ja edistää turvallisuutta muuttuneessa maailmassa viedään eteenpäin direktiivien avulla. NIS2-direktiivi asettaa vaatimuksia yritysten kyberturvallisuudelle ja CER-direktiivi kriittisen infrastruktuurin tunnistamiseen ja suojaamiseen. Molemmissa ajatus on oikea, mutta lähestymistapa erilainen kuin Suomessa.
Resilienssi kiinnostaa EU:ssa ja monella alalla onkin tarkoitus nostaa minimitavoitteita. On hyvä, jos Euroopan ja eurooppalaisten toimijoiden resilienssi paranee, sillä se edistänee yhteismarkkinan toimivuutta ja ennakoitavuutta. Lisäksi joku suomalainen saattaa jopa päästä sanomaan ”mitä minä sanoin”, viitaten meidän kansallisen varautumisen perinteeseemme.
Tosin, näin meidän kesken, myös suomalaisten yritysten varautumisessa on merkittävää hajontaa. Monet yritykset ovat hoitaneet kyberturvallisuutensa mallikkaasti, mutta valitettavasti tilanne ei ole sama läheskään kaikilla. Toimialojen kyberkypsyys 2022 -selvityksessä elintarviketeollisuus jäi parhaasta tasosta juuri suuren hajonnan vuoksi. Toimialojen välisessä vertailussa parhaiten pärjäsivät toimijat, joiden toimintaa viranomaiset valvovat on tarkemmin, kuten pankki- ja televiestintäalat. Nyt elintarvikehuollon sääntely on tiukentumassa ja meillä on näytön paikka.
Hyvä asia, liittyen molempien direktiivien riskienhallinta- ja varautumisvelvoitteisiin, on, että lain valvoja pyrkii huomioimaan yritysten jo tekemän hyvän työn. Lisääntyvä raportointivelvoite on toki tosiasia ja harvoin mieluisa sellainen.
CER-direktiivin tapa jäsentää kriittistä infrastruktuuria ja toimijoita EU-tasolla muistuttaa suomalaista julkishallinnon ja elinkeinoelämän yhteistä varautumistyötä ja huoltovarmuustoimintaa siinä määrin, että uhkana on, että meillä on jatkossa kaksi rinnakkaista järjestelmää: perinteinen Huoltovarmuuskeskuksen ja työ- ja elinkeinoministeriön voimin toimiva huoltovarmuusorganisaatio ja sisäministeriövetoinen CER-järjestelmä. Tähän pientä lohdutusta voi tuoda se, että voimme Suomessa todeta: ”keksimme sen ensin”. Kaikilta muilta osin rinnakkaiset järjestelmät olisivat perusteettomia. Tämä huoli on tuotu laajasti lainvalmistelijoiden tietoon ja asia täsmentynee ajan kanssa.
Toinen merkittävä NIS2- ja CER-direktiivien tuoma uudistus on se, ettei elinkeinoelämän varautuminen ja huoltovarmuustoiminta enää perustu samoissa määrin vapaaehtoisuuteen kuin tähän saakka. Jatkossa yrityksille tulee vaatimuksia ja jopa sakkoja velvoitteiden noudattamatta jättämisestä. Tämä on ilmeisesti se hinta, jonka maksamme, jotta samat varautumisen minimivaatimukset saadaan nopeasti käyttöön kaikissa EU-maissa.
Jälkikäteen olisikin mielenkiintoista tietää, missä määrin tiukentuva regulaatio tosi-asiallisesti parantaa yritysten varautumista yli sen tason, jolla se on jo nyt osana yritysten normaalia liiketaloudellista työtä.
Molempiin direktiiveihin ja niiden soveltamiseen liittyy myös muita avoimia kysymyksiä, joihin odotetaan vastauksia. Vaatimusten selkeys, vuorovaikutus valvovien viranomaisten kanssa ja mahdollisuus hyödyntää jo aiemmin hyvin tehtyä varautumistyötä veisivät direktiivien tavoitteita parhaiten eteenpäin. Siihen on pyrittävä.
EU-vaalien häämöttäessä, yksi viisaus on, että hyviä varautumis- ja yhteistyökäytäntöjä kannattaa jakaa, niin Suomesta Eurooppaan kuin Euroopasta Suomeen, jotta pyörää ei tarvitsisi keksiä uudelleen.
Toinen, varautumisdirektiivien kokonaisuudessa auki jäävä asia on, missä määrin yrityksiä voidaan tukea niin hyvissä kuin huonoissa tilanteissa. Jäsenmailla tulee olla jatkossakin mahdollisuus tukea kriittiseksi määriteltyjä toimijoita erilaisissa kriiseissä ja niihin varautumisessa. Tämä tullaan toivottavasti huomioimaan jatkossa paremmin.
Viimeinen ja hyvä uutinen on, että Elintarviketeollisuusliitto järjestää 28.5 jäsenyrityksille webinaarin varautumiseen liittyvistä direktiiveistä. Webinaarista kuullaan lisätietoa tulevista velvoitteista lain valvojien suusta. Lisäksi webinaarissa käsitellään kolmatta direktiiviä IMERA:a (ent. SMEI).
Katso myös:
Lisätietoa NIS2-direktiivin kansallisesta edistämisestä
Lisätietoa CER-direktiivin kansallisesta edistämisestä
Uutiskirjeemme kertoo elintarvikealan tärkeimmät kuulumiset