Lagen om hantering av cybersäkerhetsrisker (NIS2)
Lagen om hantering av cybersäkerhetsrisker reglerar hanteringen av risker relaterade till cybersäkerheten. Den omfattar de minimiskyldigheter som NIS2-direktivet förutsätter och som gäller riskhanteringen och rapporteringen av incidenter för aktörer inom hälso- och sjukvården samt EU-referenslaboratorierna.
Lagen om hantering av cybersäkerhetsrisker (cybersäkerhetslagen) trädde i kraft 8.4.2025. På Traficoms webbplats finns mer detaljerad information om lagen.
NIS2 (på engelska Network and Information Security Directive) är ett cybersäkerhetsdirektiv som ersätter det nuvarande direktivet om säkerhet i nätverk och informationssystem (NIS1). Syftet med regleringen är att säkerställa en enhetlig cybersäkerhetsnivå i hela EU-området. Valvira övervakar nationellt att skyldigheterna enligt cybersäkerhetslagen uppfylls inom hälso- och sjukvården.
Förteckning över entiteter
Aktörer inom hälso- och sjukvården som omfattas av cybersäkerhetslagen är skyldiga att anmäla sig till Valviras förteckning över entiteter senast 8.5.2025. Skyldigheterna gäller välfärdsområdena och alla organisationer inom hälso- och sjukvården som sysselsätter fler än 50 personer eller som har en omsättning på mer än 50 miljoner euro.
Lagen förutsätter även att aktörerna uppfyller de skyldigheter gällande hanteringen av cybersäkerhetsrisker som följer av direktivet och att de rapporterar betydande cybersäkerhetsstörningar till Valvira. En aktör ska själv identifiera att hen omfattas av lagen och på eget initiativ anmäla sig till förteckningen över entiteter.
Anmäl dig till förteckningen över entiteter
Anmälan till förteckningen över entiteter görs på en separat blankett. Med samma blankett anmäls ändringar i en organisations uppgifter.
Anmäl dig till förteckningen över entiteter
Förfarandet för störningsanmälningar
Störningsanmälningar enligt cybersäkerhetslagen görs med Traficoms förnyade blankettapplikation. Förfarandet för störningsanmälningar är en trestegsprocess och anmälningstiden är begränsad. Den första anmälan ska göras inom 24 timmar från det att en betydande störning upptäcktes. Organisationer som inte omfattas av NIS2-skyldigheterna kan också göra frivilliga störningsanmälningar.
Vanliga frågor om NIS2-direktivet
Skyldigheterna i cybersäkerhetslagen gäller både offentliga och privata organisationer inom hälso- och sjukvården som sysselsätter fler än 50 personer eller som har en omsättning på mer än 50 miljoner euro. Om organisationen även har Soteri-registreringar för en tjänsteproducent och tjänsteenhet för tillhandahållande av hälso- och sjukvårdstjänster, omfattas organisationen av skyldigheterna.
Cybersäkerhetslagen omfattar bland annat följande aktörer:
- välfärdsområdena, Helsingfors stad och HUS-sammanslutningen
- Privata tjänsteproducenter registrerade i Soteri som tillhandahåller hälso- och sjukvårdstjänster och som sysselsätter fler än 50 personer eller som har en omsättning på mer än 50 miljoner euro. Privata tjänsteproducenter som tillhandahåller hälso- och socialtjänster i enlighet med övervakningslagen omfattas också av cybersäkerhetslagen.
- nationellt utsedda EU-referenslaboratorier.
Även om tillämpningsområdet för cybersäkerhetslagen inom hälsovården endast gäller tjänsteproducenter inom hälso- och sjukvården och EU-referenslaboratorier, omfattar cybersäkerhetslagen och dess förpliktelser verksamheten i hela organisationen. Förpliktelserna gäller alltså också till exempel organisationens fysiska utrymmen, verksamhetsmiljön, datanäten och datasystemen, inte endast organisationens verksamhet när den producerar tjänster för hälso- och sjukvården eller referenslaboratoriet.
Cybersäkerhetslagen omfattar inte bland annat:
- företag och personer som tillverkar kund- och patientdatasystem i enlighet med kunduppgiftslagen, ej heller producenter av datasystemtjänster
- företag eller personer som producerar driftsmiljöer enligt lagen om sekundär användning av personuppgifter
- privata tjänsteproducenter som endast producerar socialvårdstjänster
- tjänsteproducenter inom hälso- och sjukvården med högst 50 anställda eller vars omsättning är högst 50 miljoner euro.
I vissa situationer kan cybersäkerhetslagen även omfatta mindre tjänsteproducenter inom hälso- och sjukvården som underskrider storleksbegränsningen. Detta kan bli aktuellt till exempel om en aktör producerar en tjänst som är central för upprätthållandet av funktioner som är kritiska för samhället eller ekonomin och som andra aktörer inte tillhandahåller. På Traficoms webbplats hittar du mer information om undantagsbestämmelserna.
Valvira övervakar nationellt att skyldigheterna enligt cybersäkerhetslagen uppfylls inom hälso- och sjukvården. Valviras övervakning av skyldigheterna i cybersäkerhetslagen är riskbaserad. Övervakningen kan vara föregripande eller göras i efterhand.
- Den föregripande övervakningen riktar sig till centrala aktörer och kan bland annat omfatta dokumentbaserade granskningar eller fysiska kontrollbesök.
- Övervakningen i efterhand grundar sig vanligtvis på en anmälan om en incident som aktören gjort eller en anmälan som en annan myndighet mottagit.
Valvira kan ge en aktör en repressalie såsom:
- en varning
- en förpliktande bestämmelse (till exempel en begränsning av ledningens verksamhet eller skyldighet att korrigera bristerna inom en angiven tidsfrist)
- effektivera bestämmelsen med hot om böter
- förslag om påföljdsavgift, som en separat påföljdsavgiftsnämnd som inrättas i anslutning till Traficom fattar beslut om
- en säkerhetsrevision som fokuserar på hanteringen av cybersäkerhetsrisker, som Valvira har rätt att ålägga aktören att låta utföras.
Dessutom ger Valvira allmän vägledning om skyldigheterna i cybersäkerhetslagen och uppfyllandet av dem.
Enligt cybersäkerhetslagen är aktören skyldig att:
- Identifiera och hantera risker förknippade med cybersäkerheten
- Utarbeta en verksamhetsmodell för riskhanteringen och hålla den uppdaterad
- Ta i bruk verksamhetsmodellen för riskhantering och genomföra riskhanteringsåtgärderna
- Förhindra och minimera effekterna av incidenter som hotar cybersäkerheten på organisationens verksamhet, verksamhetens kontinuitet, tjänsternas mottagare och andra tjänster
- Anmäla betydande incidenter och rapportera hanteringen av dem
- Anmäla sig till förteckningen över entiteter och meddela om ändringar i uppgifterna.
Aktören ska identifiera, bedöma och kontrollera de risker som är förknippade med cybersäkerheten och som riktar sig till de kommunikationsnät och datasystem som används i aktörens verksamhet eller tjänster.
Syftet med riskhanteringen är att förhindra eller minska incidenternas effekt på verksamheten, verksamhetens kontinuitet, tjänsternas mottagare och andra tjänster. Incidenterna kan till exempel vara cyberattacker samt andra datakommunikations- och systemstörningar.
Målet med att identifiera riskerna är att säkerställa att säkerhetsnivån och nivån på riskhanteringsåtgärderna i kommunikationsnäten och datasystemen som används i verksamheten eller tjänsteutbudet är tillräcklig och i proportion till riskerna och kommunikationsnätets eller datasystemets betydelse.
Antalet anställda i organisationen eller ändringar i omsättningen kan påverka skyldigheterna i cybersäkerhetslagen. Vid behov ska ändringarna anmälas i förteckningen över entiteter. En ändringsanmälan kan göras med samma blankett som en anmälan.
Cybersäkerhetslagen reglerar åtgärderna för hanteringen av cybersäkerhetsrisker. Cybersäkerhetscentret på Transport- och kommunikationsverket har utarbetat en rekommendation om åtgärder för hantering av cybersäkerhetsrisker för NIS-tillsynsmyndigheterna. Rekommendationen kan också användas som stöd vid planeringen av en organisations riskhantering.
Aktören är skyldig att utarbeta en verksamhetsmodell för hanteringen av cybersäkerhetsrisker på organisationsnivå, och att hålla den uppdaterad. Verksamhetsmodellen ska vara klar senast 8.7.2025.
En incident anses vara betydande om den:
- har orsakat eller kan orsaka en allvarlig funktionsstörning i tjänsterna
- leder till ekonomiska förluster för den berörda aktören
- har påverkat eller kan påverka andra aktörer på ett sätt som kan orsaka betydande materiella eller immateriella skador.
Om incidenten är relaterad till väsentliga krav i ett enskilt datasystem, anmäls den som en incident som grundar sig på kunduppgiftslagen.