Kyberturvallisuuslaki (NIS2)
Kyberturvallisuuslaki säätää kyberturvallisuutta koskevien riskien hallinnasta. Se sisältää NIS2-direktiivin edellyttämät vähimmäisvelvoitteet, jotka koskevat terveydenhuollon toimijoiden sekä EU-vertailulaboratorioiden riskienhallintaa ja poikkeamaraportointia.
Kyberturvallisuuslaki tuli voimaan 8.4.2025. Lue laista tarkemmin Traficomin verkkosivuilta.
NIS2 (engl. Network and Information Security Directive) on kyberturvallisuusdirektiivi, joka korvaa nykyisen verkko- ja tietoturvadirektiivin (NIS1). Sääntelyn tavoitteena on varmistaa yhtenäinen kyberturvallisuuden taso koko Euroopan unionin alueella. Valvira valvoo kansallisesti kyberturvallisuuslain mukaisten velvoitteiden noudattamista terveydenhuollon sektorilla.
Toimijaluettelo
Kyberturvallisuuslain piiriin kuuluvilla terveydenhuollon toimijoilla on velvollisuus ilmoittautua Valviran toimijaluetteloon 8.5.2025 mennessä. Velvoitteet koskevat hyvinvointialueita ja kaikkia terveydenhuollon organisaatioita, jotka työllistävät yli 50 henkilöä tai joiden liikevaihto on yli 50 miljoonaa euroa.
Laki edellyttää myös, että toimijat täyttävät direktiivin mukaiset kyberturvallisuuden riskienhallintavelvoitteet ja että ne raportoivat Valviralle merkittävistä kyberturvallisuushäiriöistä. Toimijan on itse tunnistettava kuuluvansa lain soveltamisalaan ja ilmoittauduttava oma-aloitteisesti toimijaluetteloon.
Ilmoittaudu toimijaluetteloon
Toimijaluetteloon ilmoittaudutaan erillisellä lomakkeella. Myös organisaation tietojen muutokset ilmoitetaan samalla lomakkeella.
Häiriöilmoitusmenettely
Kyberturvallisuuslain mukaiset häiriöilmoitukset tehdään uusitulla Traficomin lomakesovelluksella. Häiriöilmoitusmenettely on kolmivaiheinen, ja ilmoittamisessa on aikarajat. Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän häiriön havaitsemisesta. Myös muut kuin NIS2-velvoitteiden piirissä olevat organisaatiot voivat tehdä vapaaehtoisia häiriöilmoituksia.
Usein kysyttyjä kysymyksiä NIS2-direktiivistä
Kyberturvallisuuslain velvoitteet koskevat sekä julkisia että yksityisiä terveydenhuollon orgnisaatioita, jotka työllistävät yli 50 henkilöä tai joiden liikevaihto on yli 50 miljoonaa euroa. Jos organisaatiolla on myös palveluntuottajan ja palveluyksikön Soteri-rekisteröinnit terveydenhuollon palveluiden tuottamista varten, on organisaatio velvoitteiden piirissä.
Kyberturvallisuuslakia sovelletaan muun muassa seuraaviin toimijoihin:
- Hyvinvointialueisiin, Helsingin kaupunkiin ja HUS-yhtymään.
- Soteriin merkittyihin terveydenhuollon palveluita tuottaviin yksityisiin palveluntuottajiin, jotka jotka työllistävät yli 50 henkilöä tai joiden liikevaihto on yli 50 miljoonaa euroa. Myös yksityiset palveluntuottajat, jotka tuottavat valvontalain mukaisia terveys- ja sosiaalipalveluita, kuuluvat kyberturvallisuuslain soveltamisalaan.
- Kansallisesti nimettyihin EU-vertailulaboratorioihin.
Vaikka kyberturvallisuuslain soveltamisala koskee terveydenhuollon sektorilla vain terveydenhuollon palveluntuottajia ja EU-vertailulaboratorioita, kattaa kyberturvallisuuslaki ja sen velvoitteet koko organisaation toiminnan. Velvoitteet koskevat siis myös esimerkiksi organisaation fyysisiä tiloja, toimintaympäristöä, tietoverkkoja ja tietojärjestelmiä, ei pelkästään organisaation toimintaa terveydenhuollon tai vertailulaboratorion palveluita tuotettaessa.
Kyberturvallisuuslakia ei sovelleta muun muassa:
- asiakastietolain mukaisiin asiakas- ja potilastietojärjestelmiä valmistaviin yrityksiin ja henkilöihin eikä tietojärjestelmäpalvelun tuottajiin
- toisiolain mukaisia käyttöympäristöjä valmistaviin yrityksiin tai henkilöihin
- pelkästään sosiaalihuollon palveluita tuottaviin yksityisiin palveluntuottajiin
- terveydenhuollon palveluntuottajiin, joilla on korkeintaan 50 työntekijää tai joiden liikevaihto on enintään 50 miljoonaa euroa.
Kyberturvallisuuslakia voidaan tietyissä tilanteissa soveltaa myös pienempiin, kokorajoituksen alittaviin terveydenhuollon palveluntuottajiin. Tämä voi tulla kyseeseen esimerkiksi silloin, jos toimija tuottaa palvelua, joka on keskeinen yhteiskunnan tai talouden kriittisten toimintojen ylläpitämisen kannalta ja jota muut toimijat eivät tarjoa.
Lisätietoa poikkeussääntelystä löydät Traficomin verkkosivuilta.
Valvira valvoo kansallisesti kyberturvallisuuslain mukaisten velvoitteiden noudattamista terveydenhuollon sektorilla. Valvira toteuttaa kyberturvallisuuslain mukaisten velvoitteiden valvontaa riskiperusteisesti. Valvonta voi olla ennakollista tai jälkikäteistä.
- Ennakollinen valvonta kohdistuu keskeisiin toimijoihin ja voi sisältää muun muassa asiakirjapohjaista tarkastamista tai fyysisiä tarkastuskäyntejä.
- Jälkikäteinen valvonta perustuu yleensä toimijan tekemään poikkeamailmoitukseen tai muun viraston saamaan ilmoitukseen.
Valvira voi antaa toimijalle seuraamuksia, kuten:
- varoitus
- velvoittava määräys (esimerkiksi johdon toiminnan rajoittaminen tai velvollisuus korjata puutteet määräaikaan mennessä)
- määräyksen tehostaminen sakon uhalla
- seuraamusmaksuehdotus, josta päättää erillinen Traficomin yhteyteen perustettava seuraamusmaksulautakunta
- kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi, joka Valviralla on oikeus velvoittaa teettämään.
Lisäksi Valvira antaa yleistä ohjausta kyberturvallisuuslain mukaisista velvoitteista ja niiden noudattamisesta.
Kyberturvallisuuslain mukaan toimijalla on velvollisuus:
- Tunnistaa ja hallita kyberturvallisuuteen liittyviä riskejä
- Laatia riskienhallinnan toimintamalli ja pitää se ajan tasalla
- Ottaa riskienhallinnan toimintamalli käyttöön ja toteuttaa riskienhallintatoimenpiteet
- Estää ja minimoida kyberturvallisuutta uhkaavien poikkeamien vaikutus organisaation toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin
- Ilmoittaa merkittävistä poikkeamista ja raportoida niiden käsittelystä
- Ilmoittautua toimijaluetteloon ja ilmoittaa tietojen muutoksista.
Toimijan on tunnistettava, arvioitava ja hallittava kyberturvallisuuteen liittyviä riskejä, jotka kohdistuvat sen toiminnassa tai palveluissa käytettäviin viestintäverkkoihin ja tietojärjestelmiin.
Riskienhallinnan tarkoituksena on estää tai vähentää poikkeamien vaikutuksia toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin. Poikkeamia voivat olla esimerkiksi kyberhyökkäykset sekä muut tietoliikenne- ja järjestelmähäiriöt.
Riskien tunnistamisen tavoitteena on varmistaa, että toiminnassa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuustaso ja riskienhallintatoimenpiteiden taso on riittävä ja oikeasuhtainen riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen nähden.
Organisaation henkilöstömäärän tai liikevaihdon muutokset voivat vaikuttaa kyberturvallisuuslain velvoitteisiin. Muutokset on ilmoitettava tarvittaessa toimijaluetteloon. Muutosilmoituksen voi tehdä samalla ilmoituslomakkeella.
Kyberturvallisuuslaissa säädetään kyberturvallisuuden riskienhallinnan toimenpiteistä. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on laatinut suosituksen kyberturvallisuuden riskienhallinnan toimenpiteistä NIS-valvoville viranomaisille. Suositusta on mahdollista hyödyntää myös organisaation riskienhallinnan suunnittelun tukena.
Toimijalla on velvollisuus laatia ja pitää ajan tasalla organisaatiotasoinen kyberturvallisuutta koskeva riskienhallinnan toimintamalli. Toimintamalli pitää olla laadittuna 8.7.2025 mennessä.
Poikkeama katsotaan merkittäväksi, jos se:
- on aiheuttanut tai voi aiheuttaa vakavan toimintahäiriön palveluissa
- aiheuttaa asianomaiselle toimijalle taloudellisia tappioita
- on vaikuttanut tai voi vaikuttaa muihin toimijoihin siten, että siitä aiheutuu huomattavaa aineellista tai aineetonta vahinkoa.
- Jos poikkeama liittyy yksittäisen tietojärjestelmän olennaisiin vaatimuksiin, se ilmoitetaan asiakastietolakiin perustuvana poikkeamana.