Lagen om hantering av cybersäkerhetsrisker (NIS2)

Skyldigheterna gäller välfärdsområden och alla hälso- och sjukvårdsorganisationer som sysselsätter minst 50 personer eller har en årlig omsättning och balansomslutning som överstiger 10 miljoner euro. Om organisationen även har Soteri-registreringar för en tjänsteproducent och tjänsteenhet för tillhandahållande av hälso- och sjukvårdstjänster, omfattas organisationen av skyldigheterna. 

Cybersäkerhetslagen omfattar bland annat följande aktörer: 

• Välfärdsområdena, Helsingfors stad och HUS-sammanslutningen. 
• Privata tjänsteproducenter registrerade i Soteri som sysselsätter minst 50 personer eller har en årlig omsättning och balansomslutning som överstiger 10 miljoner euro. Privata tjänsteproducenter som tillhandahåller hälso- och socialtjänster i enlighet med övervakningslagen omfattas också av cybersäkerhetslagen. 
• Nationellt utsedda EU-referenslaboratorier. 

Även om tillämpningsområdet för cybersäkerhetslagen inom hälsovården endast gäller tjänsteproducenter inom hälso- och sjukvården och EU-referenslaboratorier, omfattar cybersäkerhetslagen och dess förpliktelser verksamheten i hela organisationen. Förpliktelserna gäller alltså också till exempel organisationens fysiska utrymmen, verksamhetsmiljön, datanäten och datasystemen, inte endast organisationens verksamhet när den producerar tjänster för hälso- och sjukvården eller referenslaboratoriet. 

Cybersäkerhetslagen omfattar inte bland annat följande aktörer: 

• företag och personer som tillverkar kund- och patientdatasystem i enlighet med kunduppgiftslagen, ej heller producenter av datasystemtjänster 
• företag eller personer som producerar driftsmiljöer enligt lagen om sekundär användning av personuppgifter 
• privata tjänsteproducenter som endast producerar socialvårdstjänster 
• tjänsteproducenter inom hälso- och sjukvården med färre än 50 anställda eller med en omsättning och balansomslutning som inte överstiger 10 miljoner euro. 

I vissa situationer kan cybersäkerhetslagen även omfatta mindre tjänsteproducenter inom hälso- och sjukvården som underskrider storleksbegränsningen. Detta kan bli aktuellt till exempel om en aktör producerar en tjänst som är central för upprätthållandet av funktioner som är kritiska för samhället eller ekonomin och som andra aktörer inte tillhandahåller.  

På Traficoms webbplats hittar du mer information om undantagsbestämmelserna.

Tillstånds- och tillsynsverket övervakar nationellt att skyldigheterna enligt cybersäkerhetslagen uppfylls inom hälso- och sjukvården. Tillstånds- och tillsynsverket övervakar de skyldigheter som följer av cybersäkerhetslagen på riskbaserad grund. Övervakningen kan vara föregripande eller göras i efterhand. 

• Den föregripande övervakningen riktar sig till centrala aktörer och kan bland annat omfatta dokumentbaserade granskningar eller fysiska kontrollbesök. 
• Övervakningen i efterhand grundar sig vanligtvis på en anmälan om en incident som aktören gjort eller en anmälan som en annan myndighet mottagit. 

Tillstånds- och tillsynsverket kan ålägga en aktör följande typer av påföljder:

• en varning 
• en förpliktande bestämmelse (till exempel en begränsning av ledningens verksamhet eller skyldighet att korrigera bristerna inom en angiven tidsfrist) 
• effektivera bestämmelsen med hot om böter 
• förslag om påföljdsavgift, som en separat påföljdsavgiftsnämnd som inrättas i anslutning till Traficom fattar beslut om 
• en säkerhetsrevision som fokuserar på hanteringen av cybersäkerhetsrisker, som Tillstånds- och tillsynsverket kan ålägga att utföras.

Dessutom ger Tillstånds- och tillsynsverket allmän vägledning om skyldigheterna i cybersäkerhetslagen och uppfyllandet av dem. 

Enligt cybersäkerhetslagen är aktören skyldig att:  

• identifiera och hantera risker förknippade med cybersäkerheten 
• utarbeta en verksamhetsmodell för riskhanteringen och hålla den uppdaterad 
• ta i bruk verksamhetsmodellen för riskhantering och genomföra riskhanteringsåtgärderna 
• förhindra och minimera effekterna av incidenter som hotar cybersäkerheten på organisationens verksamhet, verksamhetens kontinuitet, tjänsternas mottagare och andra tjänster  
• anmäla betydande incidenter och rapportera hanteringen av dem 
• anmäla sig till förteckningen över entiteter och meddela om ändringar i uppgifterna. 

På Traficoms webbplats hittar du mer information om riskhanteringsskyldigheterna i enlighet med cybersäkerhetslagen. 

Aktören ska identifiera, bedöma och kontrollera de risker som är förknippade med cybersäkerheten och som riktar sig till de kommunikationsnät och datasystem som används i aktörens verksamhet eller tjänster.  

Syftet med riskhanteringen är att förhindra eller minska incidenternas effekt på verksamheten, verksamhetens kontinuitet, tjänsternas mottagare och andra tjänster. Incidenterna kan till exempel vara cyberattacker samt andra datakommunikations- och systemstörningar. 

Målet med att identifiera riskerna är att säkerställa att säkerhetsnivån och nivån på riskhanteringsåtgärderna i kommunikationsnäten och datasystemen som används i verksamheten eller tjänsteutbudet är tillräcklig och i proportion till riskerna och kommunikationsnätets eller datasystemets betydelse. 

Antalet anställda i organisationen eller ändringar i omsättningen kan påverka skyldigheterna i cybersäkerhetslagen. Vid behov ska ändringarna anmälas i förteckningen över entiteter. En ändringsanmälan kan göras med samma blankett som en anmälan (på finska). 

Cybersäkerhetslagen reglerar åtgärderna för hanteringen av cybersäkerhetsrisker. Cybersäkerhetscentret på Transport- och kommunikationsverket har utarbetat en rekommendation om åtgärder för hantering av cybersäkerhetsrisker till de myndigheter som utövar tillsyn enligt NIS-direktivet. Rekommendationen kan också användas som stöd vid planeringen av en organisations riskhantering.  

Aktören är skyldig att utarbeta en verksamhetsmodell för hanteringen av cybersäkerhetsrisker på organisationsnivå, och att hålla den uppdaterad. 

En incident anses vara betydande om den: 

• har orsakat eller kan orsaka en allvarlig funktionsstörning i tjänsterna 
• leder till ekonomiska förluster för den berörda aktören 
• har påverkat eller kan påverka andra aktörer på ett sätt som kan orsaka betydande materiella eller immateriella skador. 

Om incidenten är relaterad till väsentliga krav i ett enskilt datasystem, anmäls den som en incident som grundar sig på kunduppgiftslagen. 

På Traficoms webbplats hittar du mer information om betydande incidenter i enlighet med cybersäkerhetslagen.