NIS2-direktiivi sote-alan näkökulmasta

Mitä valmisteilla oleva laki kyberturvallisuuden riskienhallinnasta tarkoittaa alan yrityksille

7.6.2024

NIS2-direktiiviin liittyvän kansallisen lainsäädännön prosessi on vielä kesken. Tämä artikkeli pohjaa hallituksen lakiesitykseen kyberturvallisuusdirektiivin (NIS2-direktiivi) täytäntöönpanemiseksi.

Artikkeli keskittyy aiheeseen sote-alan toimijoiden näkökulmasta, mutta koska velvoitteet ovat kaikille direktiivin soveltamisalaan kuuluville toimialoille samat, on artikkeli monelta osin sovellettavissa myös muille NIS2-velvoitteiden piiriin kuuluville toimialoille. Alakohtaista tietoa on lähinnä se, ketkä sote-alan toimijat kuuluvat lain soveltamisalaan sekä niiden kriittisyysluokittelu.

Missä mennään nyt?

NIS2-direktiivi on tarkoitus tuoda kansalliseen lainsäädäntöön viimeistään tämän vuoden lokakuussa. Direktiivin täytäntöönpanemiseksi säädetään laki kyberturvallisuuden riskienhallinnasta. Muutoksia tehdään myös muihin lakeihin. Sote-alaan liittyen muutokset tulevat tiedonhallintalakiin ja asiakastietolakiin.

Lainsäädäntöprosessi on vielä kesken. Hallituksen esityksen pääset halutessasi lukemaan täältä.

Lakiesitys on tällä hetkellä käsittelyssä eduskunnassa. Direktiivi tulee tuoda osaksi lainsäädäntöä 17.10.2024 mennessä ja sen soveltaminen alkaa 18.10.2024.

Täältä pääset halutessasi katsomaan, miten lainsäädäntö etenee.

 

Ketä direktiivi koskee?

Direktiivi koskee useita kriittisiä toimialoja, joista yksi on terveys. Sosiaalihuolto jää siis määräysten ulkopuolelle.

Terveys-toimialan alle kuuluvat:

• Terveydenhuollon palveluita tarjoavat toimijat
• Hyvinvointialueet, hyvinvointiyhtymät ja Helsingin kaupunki (niiden hoitaessa laissa hyvinvointialueiden järjestämisvastuulle säädettyjä tehtäviä)
• EU:n vertailulaboratoriot
• Lääkkeiden tutkimusta, kehitystä ja valmistusta harjoittavat toimijat
• Lääkinnällisiä laitteita valmistavat toimijat

 

Toimijan kriittisyys ja koko

Toimijan koko vaikuttaa siihen, nähdäänkö toimija keskeisenä vai tärkeänä toimijana. Myös toimijan kriittisyydellä on vaikutusta.

Toimialat on jaettu erittäin kriittisiin toimialoihin ja muihin kriittisiin toimialoihin. Terveysalan toimijat kuuluvat pääasiassa erittäin kriittisten toimialojen listaan. Ainoa muihin kriittisiin toimialoihin kuuluva kategoria on muita kuin vakavan terveysuhan aikana kriittisiksi katsottuja lääkinnällisiä laitteita valmistavat toimijat.

Kokokriteerit puolestaan jakautuvat seuraavalla tavalla.

Toimija on keskisuuri, jos:

• Toimijan palveluksessa on vähintään 50 työntekijää tai
• Toimijan vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa

Toimija on keskisuuren toimijan määritelmän ylittävä toimija, jos:

• Toimijan palveluksessa on vähintään 250 työntekijää tai
• Toimijan liikevaihto ylittää 250 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa

 

Keskeinen vai tärkeä toimija?

Toimija on keskeinen toimija silloin, jos se on erittäin kriittisen toimialan toimija, joka ylittää keskisuuren toimijan määritelmän.

Muut direktiivin soveltamisalaan kuuluvat toimijat luokitellaan tärkeiksi toimijoiksi. Eli vaikka toimiala olisi erittäin kriittinen, on toimija tärkeä toimija silloin kun keskisuuren toimijan määritelmä ei ylity. Tärkeiksi toimijoiksi lasketaan myös kaikki muihin kriittisiin toimialoihin luokitellut toimijat, kun ne täyttävät vähintään keskisuuren toimijan määritelmän.

Alla selkeyttämisen vuoksi määritelmät taulukkomuodossa:

	Toimiala	Kokoluokka
Keskeinen toimija	Erittäin kriittinen toimiala	Ylittää keskisuuren toimijan määritelmän
Tärkeä toimija	Erittäin kriittinen toimiala	Keskisuuri toimija
Tärkeä toimija	Muu kriittinen toimiala	Ylittää keskisuuren toimijan määritelmän tai on keskisuuri toimija

 

Lisäksi toimija määritellään keskeiseksi toimijaksi kriittisyyden tasosta ja kokoluokasta riippumatta jos:

• Toimija on valtioneuvoston asetuksessa määritetty soveltamisalaan kuuluvaksi
• Toimija on CER-direktiivin nojalla määritelty kriittiseksi

 

Erot keskeisten ja tärkeiden toimijoiden välillä

Valvonta kohdistuu pääasiassa keskeisiin toimijoihin. Tärkeisiin toimijoihin valvontaa kohdistetaan vain perustellusta syystä.

Myös velvoitteiden laiminlyönnistä määrätyissä maksuissa on eroavaisuuksia eri toimijoiden välillä. Tahallisesta tai törkeästä huolimattomuudesta johtuvasta velvoitteiden laiminlyönnistä määrättävät hallinnolliset seuraamusmaksut ovat suuremmat keskeisillä toimijoilla.

 

Vaikutus pienempiin toimijoihin

Vaikkei direktiivi suoraan velvoittaisikaan pienempiä toimijoita, voi sillä silti olla vaikutuksia myös niihin. Direktiivi velvoittaa sen piiriin kuuluvia toimijoita arvioimaan toimitusketjuun liittyviä riskejä.

Näin ollen, jos pienempi yritys esimerkiksi tuottaa palveluita hyvinvointialueelle, voi hyvinvointialueella olla kyberturvaan liittyviä vaatimuksia yritykselle. Tällä tavoin hyvinvointialue varmistaa, ettei palvelunantaja aiheuta heille riskejä.

Lisäksi kaikki CER-direktiivin perusteella kriittiseksi määritellyt toimijat kuuluvat NIS2-direktiivin soveltamisalaan koosta riippumatta. Valtioneuvosto voi myös antaa asetuksen soveltamisalaan kuuluvien toimijoiden määrittämisestä.

 

Mitä direktiivi velvoittaa?

Toimijoilta velvoitetaan kyberturvallisuuteen liittyvien riskien arviointia ja hallintaa, johon kuuluu keskeisenä kyberturvallisuuden riskienhallinnan toimintamalli. Direktiivi korostaa myös johdon vastuuta, sekä määrittelee, kuinka merkittävät poikkeamat tulee raportoida. Lisäksi toimijan tulee ilmoittautua toimijaluetteloon.

Velvoitteista on kirjoitettu tarkemmin alla olevissa kappaleissa.

 

Kyberturvallisuuteen liittyvien riskien arviointi ja hallinta

Toimijalta velvoitetaan kybertuvallisuuden riskienhallinnan toimintamallia. Toimintamalli voi olla erillinen dokumentti, tai se voi olla osana laajempaa kokonaisuutta. Tärkeää on, että viestintäverkkoihin, tietojärjestelmiin, sekä niiden fyysiseen ympäristöön liittyvät riskit on tunnistettu ja toimenpiteet, joilla riskeiltä suojaudutaan, on määritelty.

Alla on listattuna direktiivin määrittelemät vähimmäisvaatimukset toimenpiteille. Ne on otettu suoraan hallituksen esityksestä.

 

1. Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi
2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet
3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen
4. Toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt
5. Omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
7. Pääsynhallinnan ja todentamisen menettelyt
8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön
9. Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi
10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa
11. Perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi sekä
12. Toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi

 

Johdon vastuu

Direktiivi korostaa myös yrityksen johdon vastuuta riskienhallinnan toteuttamisessa ja se valvonnan järjestämisessä. Jotta riskienhallintaa voidaan toteuttaa tarvittavan hyvällä tasolla, tulee johdolla olla myös riittävä perehtyneisyys aiheeseen.

Johto hyväksyy aiemmin mainitun toimintamallin ja valvoo sen toteuttamista. Valvovalla viranomaisella on tarvittaessa mahdollisuus rajoittaa johtohenkilön toimintaa määräajaksi jos se näkee, ettei velvoitteita ole täytetty.

 

Merkittävien poikkeamien raportointi

Merkittäväksi poikkeamaksi lasketaan poikkeamat, jotka ovat aiheuttaneet tai voivat aiheuttaa yrityksen palveluihin vakavan toimintahäiriön tai taloudellisia tappioita. Merkittäväksi poikkeamaksi lasketaan myös ne poikkeamat, jotka ovat aiheuttaneet tai joilla on mahdollisuus aiheuttaa muille henkilöille tai toimijoille huomattavaa aineetonta tai aineellista vahinkoa.

Merkittävät poikkeamat tulee ilmoittaa valvovalle viranomaiselle. Ilmoituksia tehdään kolmessa vaiheessa. Ensimmäinen poikkeaman tultua tietoon, toinen kun tilanteesta tiedetään enemmän, ja lopuksi valvovalle viranomaiselle toimitetaan vielä loppuraportti, jossa poikkeamasta kerrotaan yksityiskohtaisesti.

Valvovalle viranomaiselle ilmoittamisen lisäksi poikkeamasta tulee ilmoittaa palvelujen vastaanottajille, jos on todennäköistä, että poikkeama todennäköisesti haittaa toimijan palveluiden tarjoamista. Jos kyseessä on merkittävä kyberuhka, tulee siitä ilmoittaa palvelun vastaanottajille joihin uhka voi vaikuttaa.

 

Ensi-ilmoitus

Kun merkittävä poikkeama havaitaan, siitä tulee ilmoittaa valvovalle viranomaiselle 24 tunnin kuluessa.

Ilmoituksessa tulee kertoa poikkeaman havaitsemisesta, rajat ylittävien vaikutusten mahdollisuudesta, sekä siitä, epäilläänkö poikkeaman johtuvan lainvastaisesta tai vihamielisestä teosta.

 

Jatkoilmoitus

Seuraava ilmoitus tehdään 72 tunnin kuluessa poikkeaman havaitsemisesta. Ilmoituksessa päivitetään ensi-ilmoituksessa annettuja tietoja ja arvioidaan poikkeaman laatua, vakavuutta ja vaikutuksia. Myös vaarantumisindikaattorit kerrotaan ilmoituksessa, jos sellaisia on saatavilla.

Jatkoilmoituksen jälkeen viranomainen voi myös pyytää väliraportteja, jos se nähdään tarpeelliseksi.

 

Loppuraportti

Loppuraportti pitää toimittaa valvovalle viranomaiselle kuukauden kuluessa jatkoilmoituksen toimittamisesta. Jos kyseessä on ollut pitkäkestoinen poikkeama, loppuraportti toimitetaan kuukauden kuluessa sen käsittelyn päättymisestä.

Loppuraportissa tulee olla yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta, sekä poikkeaman vaikutuksista. Siinä tulee myös kertoa mikä poikkeamaan todennäköisesti johti, sekä mitä toimenpiteitä on toteutettu tai on meneillään poikkeaman vaikutusten lieventämiseksi. Jos poikkeamalla on rajat ylittäviä vaikutuksia, myös siitä tulee kertoa loppuraportissa.

 

Toimijaluetteloon ilmoittautuminen

Direktiivi edellyttää jäsenvaltioita ylläpitämään luetteloa keskeisistä ja tärkeistä toimijoista. Toimijat ilmoittautuvat luetteloon itse. Ilmoittautumisen lisäksi toimijan tulee pitää huoli siitä, että luetteloon ilmoitetut tiedot ovat ajan tasalla.

Valvova viranomainen voi antaa tarkempia teknisiä määräyksiä tietojen ilmoittamiseen liittyen. Näillä näkymin tietojen ilmoittaminen tulisi voimaan vuoden 2025 alussa.

 

Vapaaehtoinen tiedon jakaminen

Halutessaan toimija voi osallistua kyberturvallisuustietojen vapaaehtoisiin jakamisjärjestelyihin. Osallistuvien kesken voidaan luovuttaa tietoja kyberuhkiin ja poikkeamiin liittyen.

 

Linkkejä

NIS2-direktiivi: https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32022L2555

Hallituksen esitys eduskunnalle kyberturvallisuusdirektiivin (NIS2-direktiivi) täytäntöönpanemiseksi: https://www.lausuntopalvelu.fi/FI/Proposal/DownloadProposalAttachment?proposalId=4433cf2a-00ca-412e-8f47-20c55031b8dd&attachmentId=21084

Täältä pääset seuraamaan lain valmistelun etenemistä: https://valtioneuvosto.fi/hanke?tunnus=LVM027:00/2023