Navigointivalikko
Murupolku
Kyberturvallisuuslaki pääsisältö
Kyberturvallisuuslaki (NIS2)
Kyberturvallisuuslaki säätää kyberturvallisuutta koskevien riskien hallinnasta. Se sisältää NIS2-direktiivin edellyttämät vähimmäisvelvoitteet, jotka koskevat terveydenhuollon toimijoiden sekä EU-vertailulaboratorioiden riskienhallintaa ja poikkeamaraportointia.
NIS2 (engl. Network and Information Security Directive) on kyberturvallisuusdirektiivi, joka korvaa nykyisen verkko- ja tietoturvadirektiivin (NIS1). Sääntelyn tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. Lupa- ja valvontavirasto valvoo kansallisesti kyberturvallisuuslain mukaisten velvoitteiden noudattamista terveydenhuollon sektorilla.
Toimijaluettelo
Kyberturvallisuuslain piiriin kuuluvilla terveydenhuollon toimijoilla on velvollisuus ilmoittautua Lupa- ja valvontaviraston toimijaluetteloon. Velvoitteet koskevat hyvinvointialueita ja kaikkia terveydenhuollon organisaatioita, jotka työllistävät vähintään 50 henkilöä tai joiden vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa.
Laki edellyttää myös, että toimijat täyttävät direktiivin mukaiset kyberturvallisuuden riskienhallintavelvoitteet ja että ne raportoivat Lupa- ja valvontavirastolle merkittävistä kyberturvallisuushäiriöistä. Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon.
Kyberturvallisuuslain perusteella tehty rekisteröinti on maksullinen toimenpide. Maksun määrä perustuu vuosittain annettavaan asetukseen Lupa- ja valvontaviraston maksuista.
Rekisteröinnin hinnat:
- Toimijailmoituksen käsittely 300 euroa.
- Toimijailmoituksen muutosilmoituksen käsittely 200 euroa.
Ilmoittaudu toimijaluetteloon
Toimijaluetteloon ilmoittaudutaan erillisellä lomakkeella. Myös organisaation tietojen muutokset ilmoitetaan samalla lomakkeella.
Häiriöilmoitusmenettely
Kyberturvallisuuslain mukaiset häiriöilmoitukset tehdään Liikenne- ja viestintävirasto Traficomin lomakesovelluksella. Häiriöilmoitusmenettely on kolmivaiheinen, ja ilmoittamisessa on aikarajat. Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän häiriön havaitsemisesta. Myös muut kuin NIS2-velvoitteiden piirissä olevat organisaatiot voivat tehdä vapaaehtoisia häiriöilmoituksia.
Usein kysyttyjä kysymyksiä NIS2-direktiivistä
Kyberturvallisuuslain velvoitteet koskevat hyvinvointialueita ja kaikkia terveydenhuollon organisaatioita, jotka työllistävät vähintään 50 henkilöä tai joiden vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa. Jos organisaatiolla on myös palveluntuottajan ja palveluyksikön Soteri-rekisteröinnit terveydenhuollon palveluiden tuottamista varten, on organisaatio velvoitteiden piirissä.
Kyberturvallisuuslakia sovelletaan muun muassa seuraaviin toimijoihin:
- Hyvinvointialueisiin, Helsingin kaupunkiin ja HUS-yhtymään.
- Soteriin merkittyihin terveydenhuollon palveluita tuottaviin yksityisiin palveluntuottajiin, jotka työllistävät vähintään 50 henkilöä tai joiden vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa. Myös yksityiset palveluntuottajat, jotka tuottavat valvontalain mukaisia terveys- ja sosiaalipalveluita, kuuluvat kyberturvallisuuslain soveltamisalaan.
- Kansallisesti nimettyihin EU-vertailulaboratorioihin.
Vaikka kyberturvallisuuslain soveltamisala koskee terveydenhuollon sektorilla vain terveydenhuollon palveluntuottajia ja EU-vertailulaboratorioita, kattaa kyberturvallisuuslaki ja sen velvoitteet koko organisaation toiminnan. Velvoitteet koskevat siis myös esimerkiksi organisaation fyysisiä tiloja, toimintaympäristöä, tietoverkkoja ja tietojärjestelmiä, ei pelkästään organisaation toimintaa terveydenhuollon tai vertailulaboratorion palveluita tuotettaessa.
Kyberturvallisuuslakia ei sovelleta muun muassa seuraaviin toimijoihin:
- asiakastietolain mukaisiin asiakas- ja potilastietojärjestelmiä valmistaviin yrityksiin ja henkilöihin eikä tietojärjestelmäpalvelun tuottajiin
- toisiolain mukaisia käyttöympäristöjä valmistaviin yrityksiin tai henkilöihin
- pelkästään sosiaalihuollon palveluita tuottaviin yksityisiin palveluntuottajiin
- terveydenhuollon palveluntuottajiin, joilla on alle 50 työntekijää tai joiden liikevaihto ja taseen loppusumma on enintään 10 miljoonaa euroa.
Kyberturvallisuuslakia voidaan tietyissä tilanteissa soveltaa myös pienempiin, kokorajoituksen alittaviin terveydenhuollon palveluntuottajiin. Tämä voi tulla kyseeseen esimerkiksi silloin, jos toimija tuottaa palvelua, joka on keskeinen yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta ja jota muut toimijat eivät tarjoa.
Lisätietoa poikkeussääntelystä löydät Traficomin verkkosivuilta.
Lupa- ja valvontavirasto valvoo kansallisesti kyberturvallisuuslain mukaisten velvoitteiden noudattamista terveydenhuollon sektorilla. Lupa- ja valvontavirasto valvoo kyberturvallisuuslain mukaisia velvoitteita riskiperusteisesti. Valvonta voi olla ennakollista tai jälkikäteistä.
- Ennakollinen valvonta kohdistuu keskeisiin toimijoihin ja voi sisältää muun muassa asiakirjapohjaista tarkastamista tai fyysisiä tarkastuskäyntejä.
- Jälkikäteinen valvonta perustuu yleensä toimijan tekemään poikkeamailmoitukseen tai muun viraston saamaan ilmoitukseen.
Lupa- ja valvontavirasto voi antaa toimijalle seuraavanlaisia seuraamuksia:
- varoitus
- velvoittava määräys (esimerkiksi johdon toiminnan rajoittaminen tai velvollisuus korjata puutteet määräaikaan mennessä)
- määräyksen tehostaminen sakon uhalla
- seuraamusmaksuehdotus, josta päättää erillinen Traficomin yhteyteen perustettava seuraamusmaksulautakunta
- kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi, jonka Lupa- ja valvontavirasto voi velvoittaa teettämään.
Lisäksi Lupa- ja valvontavirasto antaa yleistä ohjausta kyberturvallisuuslain mukaisista velvoitteista ja niiden noudattamisesta.
Kyberturvallisuuslain mukaan toimijalla on velvollisuus
- tunnistaa ja hallita kyberturvallisuuteen liittyviä riskejä
- laatia riskienhallinnan toimintamalli ja pitää se ajan tasalla
- ottaa riskienhallinnan toimintamalli käyttöön ja toteuttaa riskienhallintatoimenpiteet
- estää ja minimoida kyberturvallisuutta uhkaavien poikkeamien vaikutus organisaation toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin
- ilmoittaa merkittävistä poikkeamista ja raportoida niiden käsittelystä
- ilmoittautua toimijaluetteloon ja ilmoittaa tietojen muutoksista.
Toimijan on tunnistettava, arvioitava ja hallittava kyberturvallisuuteen liittyviä riskejä, jotka kohdistuvat sen toiminnassa tai palveluissa käytettäviin viestintäverkkoihin ja tietojärjestelmiin.
Riskienhallinnan tarkoituksena on estää tai vähentää poikkeamien vaikutuksia toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin. Poikkeamia voivat olla esimerkiksi kyberhyökkäykset sekä muut tietoliikenne- ja järjestelmähäiriöt.
Riskien tunnistamisen tavoitteena on varmistaa, että toiminnassa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuustaso ja riskienhallintatoimenpiteiden taso on riittävä ja oikeasuhtainen riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen nähden.
Organisaation henkilöstömäärän tai liikevaihdon muutokset voivat vaikuttaa kyberturvallisuuslain velvoitteisiin. Muutokset on ilmoitettava tarvittaessa toimijaluetteloon. Muutosilmoituksen voi tehdä samalla ilmoituslomakkeella.
Kyberturvallisuuslaissa säädetään kyberturvallisuuden riskienhallinnan toimenpiteistä. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut suosituksen kyberturvallisuuden riskienhallinnan toimenpiteistä NIS-direktiiviä valvoville viranomaisille. Suositusta on mahdollista hyödyntää myös organisaation riskienhallinnan suunnittelun tukena.
Toimijalla on velvollisuus laatia ja pitää ajan tasalla organisaatiotasoinen kyberturvallisuutta koskeva riskienhallinnan toimintamalli.
Poikkeama katsotaan merkittäväksi, jos se
- on aiheuttanut tai voi aiheuttaa vakavan toimintahäiriön palveluissa
- aiheuttaa asianomaiselle toimijalle taloudellisia tappioita
- on vaikuttanut tai voi vaikuttaa muihin toimijoihin siten, että siitä aiheutuu huomattavaa aineellista tai aineetonta vahinkoa.
Jos poikkeama liittyy yksittäisen tietojärjestelmän olennaisiin vaatimuksiin, se ilmoitetaan asiakastietolakiin perustuvana poikkeamana.
Kyberturvallisuuslaki (NIS2) Katso myös -laatikko
Katso myös
Kyberturvallisuuslaki (NIS2) Lainsäädäntö-laatikko
Lainsäädäntö
Sosiaali- ja terveysasioiden asiakaspalvelu -laatikko
Yhteystiedot
Sosiaali- ja terveysasioiden asiakaspalvelu
Yhteydenottolomake
Sähköposti: [email protected]
Puhelin: 0295 256 930 (maanantai–perjantai kello 9–15)