Yhteiskunnan turvallisuus
Maailmassa on monenlaisia riskejä ja uhkia ilmastonmuutoksesta kyberrikollisuuteen ja aseellisiin konflikteihin. Organisaatioilta vaaditaan kokonaisvaltaista varautumista. Kriisinkestävyys ja jatkuvuudenhallinta ovat niiden olemassaolon kannalta keskeisiä toimintoja – ja yhteiskunnan turvallisuuden perusta. Varautumiseen ja toiminnan jatkuvuuden turvaamiseen kannattaa käyttää standardeja. Standardit ovat myös tehokkaita tiedon jakamisen ja yhteistyön välineitä, joilla rakennetaan kestävämpiä organisaatioita ja yhteiskuntia.
Tämän sivun sisältö:
Maailmassa on käynnissä useita pitkän aikavälin rakenteellisia muutoksia. Muutoksiin liittyy mahdollisia uhkia, joihin kaikkiin ei kuitenkaan ole osattu varautua, todetaan Maailman talousfoorumin (WEF) globaalissa riskiraportissa. Raportin mukaan meitä uhkaa muun muassa ilmastonmuutos ja sen aiheuttamat sään ääri-ilmiöt, luonnon monimuotoisuuden köyhtyminen, yhteiskunnan polarisoituminen, tekoälyn masinoima väärä tieto, kyberrikollisuus, aseelliset konfliktit, epävakaus politiikassa ja taloudessa sekä eriarvoistuminen.
Organisaatioilta edellytetään entistä enemmän kriisinkestävyyttä, riskienhallintaa ja jatkuvuuden turvaamista. Näiden tueksi ja käytännön toteuttamisen avuksi on onneksi olemassa standardeja. Standardit ovat tehokkaita yhteistyön, tiedon jakamisen ja koordinoinnin välineitä, joita tarvitaan kestävämpien yhteiskuntien rakentamiseen monimutkaistuvassa, globaalissa turvallisuusympäristössä.
Euroopassa useat maat ovat kaivanneet vahvempaa koordinaatiota turvallisuuteen liittyvässä standardoinnissa. Suomalaisten aloitteesta perustettiin v. 2019 Sector Forum on Security, joka ei itse tee standardeja vaan koordinoi eurooppalaisten standardointijärjestöjen CENin ja CENELECin yhteiskunnan turvallisuuteen liittyvää standardointityötä kokonaisuudessaan. Sector Forum Securityn rooli on luoda kokonaiskuvaa turvallisuusalan kentällä, joka on laaja ja hajanainen kattaen aihealueita paloturvallisuudesta ja vesihuollosta yksityisiin turvallisuuspalveluihin ja aluevalvontaan.
Varautumista, kriisinkestävyyttä ja jatkuvuudenhallintaa
Standardit ovat asiantuntijoiden yhteistyöllä laatimia parhaita toimintatapoja ja ratkaisuja tiettyihin asioihin. Yhteiskunnan turvallisuuden standardit muun muassa
- parantavat organisaatioiden ja yhteisöjen varautumista
- lisäävät kriisinkestävyyttä ja häiriönsietokykyä
- vahvistavat muutosjoustavuutta
- kehittävät toiminnan jatkuvuudenhallintaa
- ohjeistavat riskien- ja hätätilanteiden johtamisessa.
Vaikuttava ja kokonaisvaltainen eri skenaarioihin perustuva varautuminen sekä riskien ja jatkuvuudenhallinta ovat organisaatioiden olemassaolon kannalta keskeisiä toimintoja. Niiden avulla häiriötilanteista on mahdollista toipua nopeammin, pienemmillä vahingoilla ja kustannuksilla.
Standardit on suunnattu ensisijaisesti organisaatioille turvallisuusjohtamisen kehittämiseen. Lisäksi viranomaiset eli ministeriöt ja virastot voivat hyödyntää standardeja viittaamalla niihin ohjeissaan, määräyksissään tai jopa laissa. Tämä lisää turvallisuuden vahvistumista koko yhteiskunnan tasolla.
Tietoturva tukee toiminnan jatkuvuutta
Kesäkuussa 2021 valtioneuvosto vahvisti periaatepäätöksen, jonka mukaan kriittisten toimialojen suurimpien ja yhteiskunnan keskeisten toimintojen kannalta merkittävimpien toimijoiden tulee osoittaa käyttävänsä tietoturvallisuuden hallintajärjestelmää ISO/IEC 27001-sertifioinnilla tai sitä vastaavalla yleiseen tietoturvastandardiin perustuvalla sertifioinnilla vuoden 2025 loppuun mennessä.
Organisaatioille tietoturva on tärkeää toiminnan jatkuvuuden näkökulmasta. Vastuuta tietoturvasta ei voi ulkoistaa, vaan sen hallinnan pitää olla organisaation omissa käsissä. Kyse on toimintamalleista – organisaation jokapäiväisestä tekemisestä tietoturvan varmistamiseksi.
Tietoturvan vahvistamiseksi kannattaa hyödyntää ISO/IEC 27000 -sarjan tietoturvastandardeja.
Lue myös: Tietoturva nousee toimintakulttuurista
SFS:n Mitä ihmettä? -podcastissa SFS:n standardointijohtaja Elina Huttunen ja erityisasiantuntija Kimmo Rousku Digi- ja väestötietovirastosta keskustelevat Harri Moision johdolla siitä, millaisin keinoin verkkorikollisia ja muita tietoturvauhkia vastaan voi suojautua, ja miten paljon tietoturvastandardit ja sertifikaatit lisäävät kansalaisten ja yritysten turvallisuutta.
Suomalaista osaamista varautumiseen
Varautumiseen kuuluu myös valmius väestön suojaamiseen poikkeusoloissa. Suojalaitteita valmistavassa Temet Group Oy:ssä havaittiin, että väestönsuojien rakentamisessa, käytössä ja huoltamisessa on maailmanlaajuisesti paljon epäkohtia. Temetin ehdotuksesta aloitettiin väestönsuojastandardin laatiminen, jotta epäkohdat voitaisiin korjata yhteisillä toimintaperiaatteilla.
Temet Group Oy:n neuvonantaja Jyrki Ronkainen ja kansanedustaja, sotatieteiden tohtori Jarno Limnéll keskustelevat Mitä ihmettä? -podcastissa turvallisuusuhkista ja niihin varautumisesta. Mitä muu maailma voi oppia Suomelta varautumisesta ja väestönsuojista?
Yhteiskunnan kriittiset toiminnot suojattava
Kriittisen infrastruktuurin muodostavat ne järjestelmät ja palvelut, jotka ovat välttämättömiä yhteiskunnan toiminnalle ja joiden häiriöt voivat aiheuttaa vakavia seurauksia taloudelle, turvallisuudelle tai kansanterveydelle. Kriittisiä infrastruktuureja ovat esimerkiksi energiantuotanto, vesihuolto, tietoliikenne, liikenne, terveydenhuolto ja rahoitusjärjestelmät.
Kriittisen infrastruktuurin suojelu on erityisen tärkeä osa-alue kunnille. Kunnat ylläpitävät osaltaan yhteiskunnan kokonaisturvallisuutta, sillä niiden vastuulla on monia yhteiskunnan toiminnalle olennaisia toimintoja.
Lue myös: Turvallisuutta standardeista
Yhteiskunnan toiminnalle välttämättömiä järjestelmiä ja palveluita tarjoavien organisaatioiden kyky kestää ja toipua sellaisista häiriöistä kuten luonnonkatastrofit, tekniset viat, kyberhyökkäykset tai terrori-iskut, on äärimmäisen tärkeää. Tehokas riskienhallinta ja turvallisuusjohtaminen auttavat minimoimaan vahinkoja, ylläpitämään palveluiden jatkuvuutta ja turvaamaan yhteiskunnan toiminnan myös poikkeuksellisissa tilanteissa.
CER-direktiivi
Tammikuussa 2023 voimaan tullut CER-direktiivi (Critical Entities Resilience) kriittisten toimijoiden häiriönsietokyvystä pyrkii yhdenmukaistamaan EU-maiden tapoja tunnistaa ja määritellä yhteiskuntien toimintakyvyn kannalta kriittiset toimijat sekä parantamaan maiden kriisinsietokykyä. Tämä koskee myös laaja-alaista vaikuttamista, kuten hybridiuhkia. CER-direktiivin tavoite on hallita turvallisuusympäristön muutosten vaikutuksia ja parantaa EU:n sisämarkkinoiden toimintavarmuutta.
Direktiivi velvoittaa jäsenvaltiot tunnistamaan ja luokittelemaan kriittiset infrastruktuurit, arvioimaan niiden riskejä ja kehittämään kansallisia strategioita häiriöiden varalle. Se pyrkii nostamaan kriittisen infrastruktuurin valmiutta ja häiriönsietokykyä Euroopan unionin alueella, mikä on olennaista yhteiskunnan vakauden ja turvallisuuden varmistamiseksi.
Direktiivin soveltamisala koskee 11 sektoria, jotka ovat liikenne, energia, pankit, finanssimarkkinat, terveys, ruoka, vesi- ja jätevesihuolto, digitaalinen infrastruktuuri, julkishallinto ja avaruus.
Direktiiviä koskevaa kansallista lainsäädäntöä viimeistellään vuoden 2024 aikana tiiviissä yhteistyössä EU:n NIS2 kyberturvallisuusdirektiivin kansallisen täytäntöönpanon kanssa. NIS2 keskittyy kyberympäristön kriisin- ja häiriönsietokyvyn vahvistamiseen.
CER-direktiivissä on tunnistettu standardien merkitys. Sen artikla 16 ohjaa EU:n jäsenmaita hyödyntämään direktiivin toimeenpanotyössä turvallisuuden ja häiriönsietokyvyn kannalta olennaisia standardeja. Tutustu standardeihin seuraavassa kappaleessa.
Standardit kriisin- ja häiriönsietokyvyn vahvistamisen välineenä
Yhteiskunnan turvallisuuden standardit auttavat turvallisuusjohtamisen kehittämisessä. Ne tunnistavat ja yksilöivät aihepiirin ilmiöitä ja haasteita, esittävät tarkistuslistoja huomioitavista asioista ja antavat hallintaohjeita ja -keinoja niiden varalle.
Standardeissa määritetään yhteinen terminologia ja periaatteet siitä, mistä kriisinsietokyvyssä ja sen vahvistamisessa on kyse. Ne antavat myös ohjeita ja vaatimuksia muun muassa jatkuvuudenhallintaan, vaikutusten arviointiin sekä kriisin- ja riskienhallintaan.
Tutustu yhteiskunnan turvallisuuden kannalta keskisimpiin standardeihin
- SFS-ISO 28000 Turvallisuus ja kriisinkestävyys. Turvallisuuden hallintajärjestelmät. Vaatimukset
- SFS-EN ISO 22301 Turvallisuus ja kriisinkestävyys. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset
- SFS-EN ISO 22313 Turvallisuus ja kriisinkestävyys. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Ohjeistusta standardin ISO 22301 käyttöön
- ISO/TS 22317 Turvallisuus ja kriisinkestävyys. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Ohjeita liiketoiminnan vaikutusanalyysiin
Tule mukaan vaikuttamaan yhteiskunnan turvallisuuden standardeihin
Jos haluat päästä vaikuttamaan yhteiskunnan turvallisuuden kannalta merkittäviin standardeihin ja olla mukana kehittämässä turvallisuusalaa, liity SFS:n standardointiryhmään SFS/SR 211 Yhteiskunnan turvallisuus.
Lue lisää siitä, miten standardointiin voi osallistua.