Kyberturvallisuus
Pidämme huolta turvallisuudestasi!
 Lisätietoja

Tieto- ja tuotantoteknologian suojaaminen

SEW‑EURODRIVEn tietoturvan hallintajärjestelmä (ISMS) on sertifioitu ISO/IEC 27001 -standardin mukaisesti, mikä luo jäsennellyn ja vakiintuneen perustan tiedon turvalliselle käsittelylle. Yritys on luokiteltu NIS2‑direktiivin mukaiseksi “erittäin tärkeäksi toimijaksi” (Very Important Entity) ja rekisteröity tämän luokituksen perusteella toimivaltaiselle viranomaiselle. Tämä luokitus otetaan huomioon yrityksen sisäisten turvallisuus- ja hallintorakenteiden jatkokehityksessä.

Tietosuoja asiakastuessa

Asiakastuessa käsittelemme asiakkaidemme työntekijöihin liittyviä henkilötietoja. SEW‑EURODRIVE varmistaa tietosuojan toteutumisen asianmukaisin teknisin ja organisatorisin toimin.

Tuoteturvallisuuden hallinta (PSM - Product Security Management)

SEW‑EURODRIVEn tuotteita, sovelluksia ja järjestelmäratkaisuja koskevat erittäin tiukat laatuvaatimukset, myös tuoteturvallisuuden osalta. Olemme ottaneet käyttöön useita toimenpiteitä varmistaaksemme, että nämä vaatimukset täyttyvät tuotteiden koko elinkaaren ajan. Olemme perustaneet keskitetyn sähköpostiosoitteen ja yhteydenottolomakkeen, joiden kautta voi ilmoittaa turvallisuuspoikkeamista ja lähettää tuoteturvallisuuteen liittyviä kysymyksiä.

Yrityksen CERT-asiantuntijat käsittelevät kaikki SEW‑EURODRIVE ‑tuotteiden digitaalisiin elementteihin liittyvät haavoittuvuudet ja tietoturvapoikkeamat. SEW‑EURODRIVE julkaisee tarvittavat päivitykset ja riskien vähentämistä koskevat suositukset turvallisuustiedotteina. Lisäksi on mahdollista tilata uutiskirje, joka sisältää tietoa uusista ja päivitetyistä turvallisuustiedotteista.

TÜV NORD sertifioi vuonna 2021 SEW‑EURODRIVEN tuoteturvallisuuden hallintajärjestelmät (PSM) IEC 62443‑4‑1 ‑standardin mukaisesti.

NIS2‑direktiivi
Direktiivi (EU) 2022/2555 verkko- ja tietoturvasta

NIS2‑direktiivi julkaistiin 27. joulukuuta 2022, ja EU‑jäsenvaltioilla oli aikaa 17. lokakuuta 2024 saakka saattaa direktiivi osaksi kansallista lainsäädäntöään. Saksan NIS2:n täytäntöönpanolaki tuli voimaan 6. joulukuuta 2025. Myös muut EU‑jäsenvaltiot ovat jo sisällyttäneet NIS2‑direktiivin omaan lainsäädäntöönsä. Direktiivin tavoitteena on pitkällä aikavälillä vahvistaa yritysten ja toimitusketjujen kokonaisvaltaista kyberresilienssiä.

Direktiivi edellyttää, että yhteiskunnan kannalta tärkeät ja kriittiset toimijat ottavat käyttöön teknisiä ja organisatorisia toimenpiteitä kyberresilienssin parantamiseksi ja liiketoiminnan jatkuvuuden varmistamiseksi. Näihin vaatimuksiin sisältyvät muun muassa:

  • Riskienhallinta
  • Vastuiden määrittely
  • Velvollisuus ilmoittaa turvallisuuspoikkeamista viranomaisille
  • Velvollisuus tiedottaa palvelun käyttäjiä merkittävistä turvallisuuspoikkeamista 
  • Rekisteröinti‑ ja raportointivelvollisuudet sekä todistusvelvollisuus
 >

Radiolaitedirektiivi (RED - Radio Equipment Directive)
Direktiivi 2014/53/EU täydentyi delegoidulla säädöksellä, joka on ollut sitova 1. elokuuta 2025 alkaen.

EU:n radiolaitedirektiivi (RED) määrittelee vaatimukset EU:n alueella käytettäville radioyhteyksiä hyödyntäville sähköisille laitteille. Delegoitu säädös laajensi 1. elokuuta 2025 lähtien RED-direktiivin soveltamisalaa kattamaan myös kyberturvallisuusvaatimukset, ja tämä laajennus on oikeudellisesti sitova. RED-direktiivin noudattaminen vahvistetaan vaatimustenmukaisuusvakuutuksella. 1. elokuuta 2025 alkaen EU:ssa tai ETA-alueella ei saa saattaa markkinoille tuotteita, jotka eivät täytä laajennetun RED-direktiivin turvallisuusvaatimuksia.

  • RED koskee kaikkia sähköisiä ja elektronisia laitteita, jotka käyttävät radiotaajuuksia. Näiden laitteiden on täytettävä tiukat vaatimukset muun muassa: sähköturvallisuudesta, sähkömagneettisesta yhteensopivuudesta (EMC) ja radiotaajuuksien tehokkaasta käytöstä.
  • RED-direktiivin soveltamisala kattaa myös seuraavat uudet vaatimukset:
    • Verkkotoimintojen keskeytysten estäminen
    • Digitaalisen petoksen ehkäiseminen
    • Henkilötietojen suojaaminen
 >

Koneturvallisuusasetus - Machinery Regulation
Asetus (EU) 2023/1230 korvaa konedirektiivin 20. tammikuuta 2027 alkaen.

Asetus julkaistiin heinäkuussa 2023, ja siirtymäajan (42 kuukautta) jälkeen siitä tulee sitova kaikissa EU:n jäsenvaltioissa tammikuun puolivälistä 2027 alkaen.

Konedirektiivin tavoin myös koneturvallisuusasetus vahvistetaan vaatimustenmukaisuusvakuutuksella. 20.1.2027 lähtien EU:ssa ja ETA‑alueella on kiellettyä saattaa markkinoille koneita, jotka eivät täytä uuden koneturvallisuusasetuksen vaatimuksia.

  • Aivan kuten konedirektiivi, myös koneturvallisuusasetus asettaa konevalmistajille keskeiset vaatimukset toiminnallisen turvallisuuden ja terveyden suojelun osalta. Asetus koskee koneiden suunnittelua ja sähköturvallisuutta, määrittelee vaatimuksia melupäästöihin ja ergonomiaan, edellyttää vaatimustenmukaisuuteen liittyvän teknisen dokumentaation laatimista ja täsmentää käyttäjille annettavat tiedot, kuten käyttöohjeissa toimitettavan informaation.
  • Toisin kuin konedirektiivi, koneturvallisuusasetus tekee tietoturvasta valmistajan velvollisuuden. Tämä tarkoittaa esimerkiksi sitä, että
    • yhteydet muihin laitteisiin eivät saa aiheuttaa vaaroja,
    • turvallisuustoimintoja (toiminnallinen turvallisuus) ei saa heikentää,
    • pääsynhallinnan tulee olla lokitettua,
    • luvaton pääsy koneeseen on estettävä ja
    • toiminnalliseen turvallisuuteen vaikuttava ohjelmisto on otettava huomioon.
 >

Kyberkestävyyssäädös - Cyber Resilience Act (CRA)
Asetus (EU) 2024/2847 tulee velvoittavaksi 11. joulukuuta 2027.

Kyberkestävyyssäädös (CRA) on ensimmäinen eurooppalainen asetus, joka määrittää kaikille EU-markkinoille saatettaville verkkoon kytkettäville tuotteille vähimmäistason kyberturvallisuudelle. CRA:n noudattaminen vahvistetaan vaatimustenmukaisuusvakuutuksella. 11. joulukuuta 2027 alkaen EU:ssa ja ETA‑alueella ei saa markkinoida tuotteita, jotka eivät täytä CRA:n vaatimuksia.

  • CRA koskee ohjelmistoja sekä kaikkia digitaalisia elementtejä sisältäviä tuotteita, jotka voidaan liittää verkkoon tai muihin tuotteisiin suoraan, loogisesti tai fyysisesti viestintäyhteyksien kautta. Asetus määrittää kyberturvallisuuteen liittyvät vähimmäistekniset vaatimukset ja lisäksi edellyttää useiden menettelyvelvoitteiden noudattamista, kuten:
    • Uhkien ja riskien arvioinnin (TRA) laatiminen
    • Turvallisuusperiaatteiden noudattaminen tuotekehityksen aikana
    • Turvallisuustietojen sisällyttäminen dokumentaatioon
    • Säännöllisten turvallisuusanalyysien tekeminen
    • Haavoittuvuuksien raportointi ja päivitysten toimittaminen
 >

EU:n data-asetus - EU Data Act (EU) 2023/2854) tuli voimaan 12. syyskuuta 2025.

Data-asetuksen (EU:n asetus yhdenmukaistetuista säännöistä datan oikeudenmukaisesta saatavuudesta ja käytöstä) tavoitteena on vahvistaa verkkoon kytkettyjen tuotteiden ja palvelujen käyttäjien oikeuksia. Yhdenmukaistetulla oikeudellisella kehyksellä pyritään myös edistämään yritysten välistä datan jakamista EU:ssa sekä avaamaan uusia mahdollisuuksia dataperusteisille liiketoimintamalleille.

 >
As a pioneer in drive technology, we integrate security by design into all our solutions and products and, as a highly skilled partner, we support our customers through a secure digital transformation.
Dr. Hans Krattenmacher
Managing Director Corporate Innovation Mechatronics

Vastauksia asiakkaidemme esittämiin kysymyksiin

Laaja nykyinen ja tuleva EU-lainsäädäntö sekä siihen liittyvä valtava määrä vaatimuksia aiheuttavat yhä enemmän epävarmuutta laitevalmistajien ja -käyttäjien keskuudessa. Olemme koonneet listan yleisimmistä asiakkaidemme esittämistä kysymyksistä.

Turvallisuus tarkoittaa kaikkia toimenpiteitä, joilla ehkäistään vaarojen tahaton syntyminen. Sovelluksesta riippuen tätä turvallisuuden osa‑aluetta toteutetaan tuotteissamme ja järjestelmäratkaisuissamme esimerkiksi turvatekniikan tai toiminnallisen turvallisuuden avulla. Tietoturva puolestaan suojaa yrityksiä ja niiden palveluja tahallisilta, vihamielisiltä hyökkäyksiltä.

Tuoteturvallisuus tarkoittaa tilaa, jossa automaatio- tai ohjausratkaisu on suojattu luvattomalta pääsyltä sekä tahattomilta tai tahallisilta muutoksilta, menetyksiltä tai tuhoutumiselta. Turvallisuus kattaa sekä digitaalisiin uhkiin kohdistuvan suojan (kyberturvallisuus) että fyysiset riskit (fyysinen turvallisuus). Tähän liittyen EU on asettanut lainsäädäntöä (ks. yllä), joka on joko jo sitovaa tai tulee sitovaksi lähitulevaisuudessa.

Jos valmistat tuotteita, koneita tai laitteita, jotka sisältävät digitaalisia elementtejä, ovat verkottuneita, vaihtavat dataa keskenään tai lähettävät radiotaajuuksia, sinun on noudatettava soveltuvia sääntelyvaatimuksia ja toteutettava asianmukaiset toimenpiteet turvallisuusriskien minimoimiseksi käyttäjille, operaattoreille ja muille osapuolille.

SEW‑EURODRIVEn tietoturvan hallintajärjestelmä on ollut ISO 27001 ‑sertifioitu vuodesta 2006 lähtien, ja sitä on sen jälkeen jatkuvasti sertifioitu uudelleen, jotta se vastaa aina uusimpia vaatimuksia. SEW‑EURODRIVEn tuoteturvallisuuden hallinta on TÜV NORDin toimesta sertifioitu standardin IEC 62443‑4‑1 mukaisesti. Erilaisten varotoimien ja toimenpiteiden avulla tuoteturvallisuuden hallintamme auttaa suojaamaan tuotteitamme, ratkaisuja ja palveluja kyberuhilta tuotteen koko elinkaaren ajan – kehityksestä ja tuotannosta aina asiakkaidemme käyttöön saakka.

SEW‑EURODRIVE toteuttaa tuoteturvallisuuden toimenpiteitä suojatakseen tuotteensa, ratkaisunsa ja palvelunsa kyberuhilta. Toimenpiteet kattavat tuotteidemme ja palveluidemme koko elinkaaren, ja niitä kehitetään jatkuvasti. Yksi tärkeä osa tätä kokonaisuutta on kansainvälisen, yrityksen oman CERT‑tiimin perustaminen. CERT vastaanottaa, analysoi ja käsittelee haavoittuvuusilmoituksia.

 Siirry raportointisivulle Tilaa tietoturvatiedotteet Lisätietoja Lisätietoja Lisätietoja Lisätietoja