Kyberturvallisuuslaki (NIS2-direktiivi)

Kyberturvallisuuslaki (NIS2-direktiivi) astui voimaan 8.4.2025

Uusi laki velvoittaa suuret yli 50 työntekijän tai yli 50 miljoonan liikevaihdon sote-yritykset ilmoittautumaan Valviran ylläpitämään toimijaluetteloon. Samoin laki velvoittaa laajentamaan tietoturvasuunnitelmaa tai muuten huolehtimaan lain asettamista velvoitteista. Suurten yritysten on ilmoittauduttava luetteloon 8.5.2025 mennessä.

Muutos perustuu eduskunnan säätämään EU:n kyberturvallisuusdirektiiviin (NIS2) ja tottelee nimeä kyberturvallisuuslaki. Laki astui voimaan 8.4.2025.

Suurinta osaa kuntoutusyrityksistä muutos ei siis koske. Pienille kuntoutusyrityksille riittää tavallisen asiakastietolain mukaisen tietoturvasuunnitelman laatiminen. Suurille yrityksille tietoturvasuunnitelmaan on tehtävä täydennys tai erillinen kyberturvallisuuslain mukainen liite. Kyberturvallisuuslaista on myös huomattava, että sen asettamat velvoitteet koskevat muutakin yritystoimintaa kuin sosiaali- ja terveydenhuoltoa. Asiakastietolain mukaiset velvoitteet koskevat lähtökohtaisesti vain potilas- ja asiakastietoja.

Valvira on avannut kyberturvallisuuslain velvoitteista verkkosivun, joka sisältää myös ilmoittautumislinkin toimijaluetteloon.

Laki myöhästyi jonkin verran alkuperäisestä aikataulusta, sillä NIS2-direktiivi olisi velvoittanut vastaavan lain säätämiseen jo vuonna 2024.

Tietoturva kuuluu kaikkien kuntoutusyritysten vastuulle, myös mikro- ja PK-yrityksille

Tietoturvavaatimukset ovat kiristyneet viime vuosina kautta linjan. Syitä tähän ovat olleet toimintaympäristössä tapahtuneet suuret tietovuodot (kuten Vastaamon tietomurto 2018-2019) ja Venäjän vuonna 2022 aloittama laiton hyökkäyssota Ukrainassa ja sen verkko-ulottuvuudet. Nämä ovat osittain olleet vaikuttamassa nykyisen asiakastietolain (laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä) sekä NIS2-direktiivin ja sitä vastaavan kyberturvallisuuslain säätämiseen.

Kuntoutusyrityksessä tietoturvaan liittyvät vaatimukset on helpointa täyttää ottamalla käyttöön Kanta-yhteensopiva Astori-rekisteriin merkitty A-luokan potilastietojärjestelmä. Lisäksi on huolehdittava käytännön tietoturvasta, jonka suunnittelun apuna on Kuntoutusyrittäjien jäsensivuilta löytyvät tietoturvasuunnitelman mallit, webinaari ja halutessasi myös IT-kumppanuustarjous. Jäsensivuilla malleja on kolme:

• Kuntoutusyritys työnantajana sähköisellä potilastietojärjestelmällä
• Kuntoutusyritys yksinyrittäjänä sähköisellä potilastietojärjestelmällä
• Kuntoutusyritys yksinyrittäjänä ilman sähköistä potilastietojärjestelmää

Kuntoutusyrittäjien jäsensivujen mallit ja mallien liitteet ohjaavat kuntoutusyrityksiä käytännönläheisesti valmistautumaan poikkeustilanteisiin, tekemään tarvittaessa ilmoitukset viranomaisille, rekisterinpitäjille ja asiakkaille, sekä valmistautumaan siihen, ettei yritystoiminta kaadu myöskään kannettavan tietokoneen, tabletin tai matkapuhelimen katoamiseen, kun laitteiden sisällöt on dokumentoidusti keskeisiltä osin salattu ja varmuuskopioitu etukäteen.

Jäsenet voivat jäsenmaksuun kuuluen soittaa tai laittaa sähköpostia allekirjoittaneelle niin tietoturvasuunnitelmasta kuin myös muista asioista.