Kyberturvallisuuslaki (NIS2) 

Kyberturvallisuuslaki säätää kyberturvallisuutta koskevien riskien hallinnasta. Se sisältää NIS2-direktiivin edellyttämät vähimmäisvelvoitteet, jotka koskevat terveydenhuollon toimijoiden sekä EU-vertailulaboratorioiden riskienhallintaa ja poikkeamaraportointia. 

NIS2 (engl. Network and Information Security Directive) on kyberturvallisuusdirektiivi, joka korvaa nykyisen verkko- ja tietoturvadirektiivin (NIS1). Sääntelyn tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. Lupa- ja valvontavirasto valvoo kansallisesti kyberturvallisuuslain mukaisten velvoitteiden noudattamista terveydenhuollon sektorilla. 

Toimijaluettelo

Kyberturvallisuuslain piiriin kuuluvilla terveydenhuollon toimijoilla on velvollisuus ilmoittautua Lupa- ja valvontaviraston toimijaluetteloon. Velvoitteet koskevat hyvinvointialueita ja kaikkia terveydenhuollon organisaatioita, jotka työllistävät vähintään 50 henkilöä tai joiden vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa. 

Laki edellyttää myös, että toimijat täyttävät direktiivin mukaiset kyberturvallisuuden riskienhallintavelvoitteet ja että ne raportoivat Lupa- ja valvontavirastolle merkittävistä kyberturvallisuushäiriöistä. Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon. 

Ilmoittaudu toimijaluetteloon

Toimijaluetteloon ilmoittaudutaan erillisellä lomakkeella. Myös organisaation tietojen muutokset ilmoitetaan samalla lomakkeella. 

Ilmoittaudu toimijaluetteloon 

Häiriöilmoitusmenettely

Kyberturvallisuuslain mukaiset häiriöilmoitukset tehdään Liikenne- ja viestintävirasto Traficomin lomakesovelluksella. Häiriöilmoitusmenettely on kolmivaiheinen, ja ilmoittamisessa on aikarajat. Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän häiriön havaitsemisesta. Myös muut kuin NIS2-velvoitteiden piirissä olevat organisaatiot voivat tehdä vapaaehtoisia häiriöilmoituksia.