Kyberturvallisuus on olennaista yhteiskunnan välttämättömien toimintojen kuten vesihuollon kannalta. Kyberturvallisuuden parantamista edellyttävät sekä toimintaympäristön muutokset että EU-lainsäädäntö, jossa NIS2-direktiivi ja CER-direktiivi asettavat uusia vaatimuksia myös vesihuoltolaitosten toiminnalle. Tässä raportissa esitetään suomalaisten vesihuoltolaitosten kyberturvallisuutta kartoittaneen projektin tuloksia.

Projektissa kyberturvallisuuden tilan selvittämiseen käytettiin Kyberturvallisuuskeskuksen laatimaa Kybermittari -työkalua, joka on vapaasti saatavilla Kyberturvallisuuskeskuksen verkkosivuilta. Huolimatta siitä, että projektissa tuli Kybermittariin muokkausehdotuksia, Kybermittari todettiin toimivaksi apuvälineeksi tilannekuvan saamiseen ja tueksi osallistujien aihepiirin ymmärryksen parantamiseen. Kattavan tilannekuvan saamisessa keskeistä oli, että kartoituksessa oli läsnä sekä vesihuollon että kunnan IT:n osaajia.

Selvityksen perusteella vesihuollossa on toteutettu kyberturvallisuutta koskevia toimenpiteitä, mutta kyberturvallisuuden kehittämiseksi tarvitaan vielä lisää toimia. Tällaisia ovat esimerkiksi dokumentoinnin parantaminen ja kumppanuusverkon parempi hallinta. Vesihuoltolaitoksen ja kunnan IT:n välistä yhteistyötä on tarve kehittää ja alan kaikki toimijat sekä omistajat tarvitsevat kyberturvallisuuteen liittyvän koulutuksen ja tietoisuuden lisäämistä.

Selvityksessä suurimpana, taustalla vaikuttavana kehityksen esteenä esiin nousi vesihuollon paikoin huutava resurssipula. Resurssien suhteen ratkaisevassa asemassa on kuntaomistaja. Vesihuoltolaitokset ovat viime kädessä usein kuntien ja kaupunkien omistamia ja on näiden vastuulla turvata huoltovarmuuden keskiössä olevalle vesihuollolle resurssit, jotka riittävät myös toiminnan kyberturvallisuuden takaamiseen.

Kyberturvallisuuden tasoon on alettu kiinnittää huomiota ja kyberturvallisuutta kehitetään edelleen selvityksen tulosten pohjalta. Kyberturvallisuuden hallinta tulee liittää vahvemmin osaksi vesihuoltolaitoksen omaisuudenhallintaa ja kuntien riskienhallintaa, sillä ne tukevat toiminnan systemaattisuuden parantamista ja riskien minimointia. Vesihuoltoa koskevissa vaatimuksissa ja ohjeissa on tarve tuoda kyberturvallisuus nykyistä selkeämmin esiin.