Nya cybersäkerhetsskyldigheter inom hälso- och sjukvården

Utgivningsdatum 9.10.2024 8.33
Nyhet
Sköterskan använder en dator.

Lagen om hantering av cybersäkerhetsrisker (NIS2), som är under behandling i riksdagen, innebär nya skyldigheter för organisationer inom hälso- och sjukvården. Skyldigheterna gäller välfärdsområdena och alla organisationer inom hälso- och sjukvården som sysselsätter fler än 50 personer eller som har en omsättning på mer än 50 miljoner euro.

Aktörer inom hälso- och sjukvården som omfattas av lagen om hantering av cybersäkerhetsrisker är skyldiga att anmäla sig till Valviras förteckning över entiteter före slutet av 2024. Anmälningsanvisningar publiceras senare på Valviras webbplats. Lagen förutsätter även att aktörerna uppfyller de skyldigheter gällande hanteringen av cybersäkerhetsrisker som följer av direktivet och att de rapporterar betydande cybersäkerhetsstörningar till Valvira. 

Den nya lagen ersätter det nuvarande direktivet om nätverks- och informationssäkerhet (NIS1). Förfarandet för avvikelseanmälningar, som baserar sig på kunduppgiftslagen, förblir oförändrat. 

Förfarandet för störningsanmälningar görs om 

Störningsanmälningar enligt lagen om hantering av cybersäkerhetsrisker görs med Traficoms förnyade blankettapplikation. Förfarandet för störningsanmälningar blir en trestegsprocess. Dessutom anges tidsfrister för anmälningarna. Den första anmälan ska göras inom 24 timmar från det att en betydande störning upptäcktes. 

Organisationer som inte omfattas av NIS2-skyldigheterna kan också göra frivilliga störningsanmälningar. 

Lagen om hantering av cybersäkerhetsrisker baserar sig på cybersäkerhetsdirektivet och syftar till att säkerställa en enhetlig nivå på cybersäkerheten i hela EU. 

Mer information

överingenjör Antti Härkönen, 0295 209 530

Läs mer

Mer information finns på Cybersäkerhetscentrets webbplats

Social- och hälsovård