Koneiden kyberturvallisuus tuo uuden riskienarvioinnin – mitä valmistajan ja koneen käyttäjän pitää tietää?

Raportointivelvollisuus CRA-haavoittumisista alkaa jo 11.9.2026

Moni konevalmistaja valmistautuu parhaillaan koneasetuksen (EU) 2023/1230 voimaantuloon 20.1.2027.

Keskustelu pyörii usein CE-merkinnöissä, turvallisuustoiminnoissa ja perinteisessä riskienarvioinnissa.

Mutta samalla taustalla tapahtuu jotain suurempaa.

Koneiden kyberturvallisuus on tulossa osaksi koneturvallisuutta tavalla, joka muuttaa myös turvallisuuden arviointia.

Ja ehkä tärkein kysymys kuuluu:

Tiedätkö oikeasti, millä turvallisuustasolla koneesi toimii?

*CRA = Cyber Resilience Act

Koneiden kyberturvallisuus ei ole uusi IT-projekti

Kun puhutaan kyberturvallisuudesta, ajatukset menevät helposti:

• palomuureihin
• käyttöoikeuksiin
• palvelimiin
• tietoverkkoihin

Mutta koneasetuksen näkökulmasta kysymys on erilainen.

Koneasetuksen EHSR-vaatimuksissa kohdassa 1.1.9 Suojaus tietojen turmeltumista vastaan sekä osin kohdassa 1.2.1 valmistajan tulee arvioida, voivatko turvallisuuteen vaikuttavat tiedot muuttua tavalla, joka vaarantaa turvallisuuden.

Ydinkysymys ei ole

”Voidaanko järjestelmään murtautua?”

Vaan:

”Voidaanko koneen tietoja muuttaa niin, että turvallisuus menetetään?”

Tämä on merkittävä ero.

Kyse ei ole pelkästään tietojen, vaan ihmisten suojaamisesta.

Perinteinen riskienarviointi ei yksin enää riitä

Valmistajien tulee jo nykyisin tehdä riskienarviointeja esimerkiksi standardien EN ISO 12100 ja EN ISO 13849-1 mukaisesti.

Näillä arvioidaan esimerkiksi:

• vaaratilanteiden vakavuutta
• turvallisuustoimintojen vaadittua suorituskykyä
• riskin pienentämistoimenpiteitä

Koneiden kyberturvallisuus tuo mukaan uuden näkökulman.

Turvallisuustoimintoihin liittyvät kyberriskit pitää arvioida erikseen.

Luonnosstandardissa prEN 50742 (”Suojaus korruptiota vastaan”) mukaan arviointi perustuu uhka- ja riskiperusteiseen lähestymistapaan.

Mukana tulee uusi näkökulma:

• vaikutuksen vakavuus
• hyökkäyspotentiaali (AP)

Näiden perusteella määritellään vaadittu turvallisuustaso, SRSL.

Käytännössä kyse on uudesta tavasta arvioida, kuinka hyvin koneen turvallisuuteen vaikuttavat tiedot pitää suojata.

Sama ongelma voi toistua uudelleen

Koneturvallisuudessa tilaaja ei aina tiedä:

• mitä on arvioitu
• millä menetelmällä
• millä turvallisuustasolla kone oikeasti toimii

Ja nyt sama tilanne voi siirtyä myös koneiden kyberturvallisuuteen.

Jos jokainen valmistaja käyttää omia menetelmiään:

• miten tilaaja voi vertailla ratkaisuja?
• miten tiedetään, mitä on huomioitu?
• miten turvallisuuden taso voidaan todentaa?

Ilman yhtenäistä toimintatapaa läpinäkyvyys heikkenee.

Kyberturvallisuus ei ole enää vain Securityä

IT-kyberturvallisuus suojaa usein liiketoimintaa.

Koneiden kyberturvallisuus suojaa ihmistä.

Jos tätä eroa ei ymmärretä, organisaatio voi johtaa Securityä täysin oikein ja silti epäonnistua Safetyssä.

Koneasetuksen EHSR-kohdan 1.1.9 ehkä tärkein viesti onkin tämä:

Ohjelmistot, päivitykset ja kyberturva eivät ole koneessa lisäosia.

Ne ovat osa koneturvallisuutta.

Yhteinen menetelmä vie lähemmäksi turvallisuuden todellista tasoa

Koneiden kyberturvallisuus ei tarkoita vain yhden uuden vaatimuksen lisäämistä listalle. 

Käytännössä se tarkoittaa vähintään yhden uuden uhka- tai riskimenetelmän tuomista koneiden turvallisuusarviointiin – mahdollisesti useammankin. 

Pelkkä mekaanisten, sähköisten, hydraulisten tai ergonomisten vaarojen arviointi ei enää riitä, jos turvallisuustoimintoihin voidaan vaikuttaa: 

• ohjelmiston kautta  
• verkkojen kautta  
• käyttöoikeuksien kautta  
• päivitysten kautta  
• tietojen eheyden kautta  

Ja tässä piilee myös uusi riski. 

Jos koneiden kyberturvallisuutta aletaan arvioida irrallisena prosessina ilman yhteyttä koneen tekniseen riskienarviointiin, kokonaisuus pirstaloituu entisestään. 

Tuloksena voi olla kaksi erillistä maailmaa: 

koneturvallisuus
ja
kyberturvallisuus 

Mutta vaarallinen tilanne ei synny erillisissä maailmoissa. 

Se syntyy niiden rajapinnassa. 

Siksi tulevaisuudessa tarvitaan yhä vahvemmin yhteinen turvallisuusviitekehys, jossa Safety ja Security eivät ole toisistaan irrallisia asioita, vaan osa samaa turvallisuuden kokonaisuutta. 

Kun koneen valmistajalla ja loppuasiakkaalla on yhteinen tai ainakin yhteismitallinen toimintamalli riskien arviointiin, syntyy parempi perusta turvallisuuden johtamiselle. 

Silloin: 

• vaarojen tunnistaminen  
• riskin suuruuden arviointi  
• suojatoimien valinta  
• jäännösriskien käsittely ja 
• elinkaaren aikainen muutostenhallinta  

voidaan tehdä johdonmukaisesti. 

Yhteinen menetelmä ei poista kaikkea epävarmuutta eikä tee koneesta absoluuttisen riskitöntä. 

Mutta se vie lähemmäksi tavoitetta, jota puhekielessä kutsumme 100-prosenttisesti turvalliseksi koneeksi. 

Ilman yhteistä menetelmää turvallisuuden kokonaisuus hajoaa helposti erillisiksi tulkinnoiksi – ja silloin altistumme tarpeettomille vaaroille juuri siksi, että emme hallitse kokonaisuutta yhtenäisesti.    

Ettei koneiden kyberturvallisuus jää tulkintojen varaan 

Koneiden kyberturvallisuuden tavoitteena ei ole luoda erillistä maailmaa koneturvallisuuden rinnalle, vaan yhdistää turvallisuuden kokonaisuus hallittavaksi ja läpinäkyväksi toimintamalliksi. 

Päätöksen turvallisuuden tasosta tekee lopulta tilaaja yhdessä koneen valmistajan kanssa. Tämä edellyttää kuitenkin yhteisiä menetelmiä, dokumentointia ja kykyä arvioida turvallisuutta yhtenäisesti koko elinkaaren ajan. 

Jos organisaatiolla ei vielä ole valmiuksia tai resursseja tähän muutokseen, apua on saatavilla usealla tasolla.

IG3 Oy tukee konevalmistajia muun muassa koneiden kyberriskien arvioinnissa, turvallisuusvaatimusten tulkinnassa sekä turvallisuuden hallintamallien rakentamisessa. Yritys auttaa myös tilanteissa, joissa uuden sääntelyn ja käytännön toteutuksen välinen yhteys vaatii asiantuntijatukea.  

Step2Safety puolestaan tarjoaa koneturvallisuuden suunnittelu- ja hallintapalveluja sekä koulutuksia, joiden avulla konevalmistajat voivat valmistautua tulevaan muutokseen vaiheittain. Tavoitteena ei ole vain asetusten täyttäminen, vaan yhtenäisen toimintamallin rakentaminen turvallisuuden johtamiseen. 

Palvelupaketteihin ja koulutusvaihtoehtoihin voi tutustua täällä: 

Step2Safety hinnasto ja paketit 

Koska tammikuu 2027 ei ole enää kaukana. 

Ja mitä aikaisemmin yhteinen toimintatapa rakennetaan, sitä paremmin turvallisuutta voidaan johtaa – eikä vain dokumentoida. 

Jari Saarola, CMSE®

CEO, Certified Machinery Safety Expert (TϋV Nord)

BluePlan Oy / IG3 Oy

Mielenrauhaa aiheuttavaa turvaosaamista

Gsm +358 40 840 3748

https://www.linkedin.com/in/jarisaarola/

https://www.step2safety.fi

https://www.linkedin.com/company/step2safety/

https://www.blueplan.fi

https://www.linkedin.com/company/blueplan-oy/

#koneturvamies #Step2Safety #blueplanoy #kestäväkehitys #vastuullisuus #turvallisuus #robotiikka #automaatio #hydrauliikka #pneumatiikka #koneturvallisuus #koneasetus