Artikkeli   09 marraskuuta 2023

Terveyssektori – mitä uutta tulee NIS2-direktiivin myötä?

Uusi NIS2-direktiivi on kaikkien aikojen kattavin eurooppalainen direktiivi tietoturvariskeille, sillä yhä useammalla alalla on riskien ja virheiden hallinta sekä kovemmat rangaistukset sääntöjen noudattamatta jättämiselle. Uusi NIS2-direktiivi on Euroopan kattavin kyberturvallisuusdirektiivi tähän asti. Terveyssektori on joutunut jo NIS1-direktiivin alaisuuteen. Olemmekin koonneet tähän, mitä terveyssektorin tulee seurata uudessa NIS2-direktiivissä.

Tietoturva
Tietosuoja
Turvallisuus
NIS2
Terveyssektori – mitä uutta tulee NIS2-direktiivin myötä?

Image: Piqsels.com (Royalty free)

Terveyssektori on yksi eurooppalaisen yhteiskunnan ja talouden kulmakivistä. Onnistunut kyberhyökkäys on potentiaaliltaan erittäin kohtalokas ja vaarallisilla seurauksilla. Sektori onkin laitettu NIS2-direktiivin alaisuuteen, minkä johdosta se on sidottu tiukkoihin vaatimuksiin ja seurauksiin. 

Terveyssektori kohtaa useita haasteita kyberturvallisuuden saralla. Digitaalisten käytäntöjen puute on yhdistetty arkaluontoisiin tietoihin, minkä johdosta se on yksi keskeisistä tekijöistä. Monet terveysalan yritykset painivat myös ikääntyvän teknologian ja riittämättömien resurssien kanssa. Terveydenhuollon järjestelmät on ajoittain pirstoutunut ja myös vaikeuksissa useiden toisiinsa yhdistettyjen järjestelmien suhteen. Terveydenhuollon alan asiantuntijoilla ei välttämättä ole myöskään riittävästi kyberturvallisuuskoulutuksia, mikä on myös yksi kyberturvallisuuden haavoittuvuuksista. Tämä lisää riskiä inhimillisiin riskeihin ja turvallisuusrikkomuksiin.

NIS2-direktiivi sisältää laajan valikoiman erilaisia toteutusvaatimuksia tällä sektorilla toimiville yksiköille. Terveydenhuollon organisaatiot ovat jo sitoutuneita tiukasti tietosuojaan liittyvään sääntelyyn ja NIS2 lisää vielä ylimääräisiä vaatimuksia kyberturvallisuuteen liittyvään sääntelyyn ja tiukempaan potilasdatan suojeluun sekä terveydenhuollon palveluiden häiriöön. Lyhyemmällä perspektiivillä tarkasteltuna NIS2-direktiivissä on potentiaalia lisätä terveydenhuollon palveluiden kulujen tarjontaa, sillä organisaatioille saattaa tulle tarvetta investoida uuteen teknologiaan ja prosesseihin, joita heidän tulee seurata. Pitkällä tähtäimellä on kuitenkin tarkoituksena, että turvallisuustaso paranee, potilastiedoista pidetään parempaa ja luotto lisääntyy digitaalisiin terveydenhuollon palveluihin.  

 

Kyberturvallisuuskoulutus – yksi 10 tärkeimmästä kyberhygieniatekijästä

 

  • Tietojärjestelmien riskienarvioinnin ja turvallisuuskäytännöt.
  • Käytännöt ja menettelyt turvallisuustoimien tehokkuuden arvioimiseksi.
  • Käytännöt ja menettelyt salaustekniikan käyttämiseksi.
  • Suunnitelma turvallisuudessa tapahtuvien vaaratilanteiden käsittelemiseksi.
  • Turvallisuus järjestelmän hankinnan ja kehityksen sekä järjestelmien toimintaan liittyen.
  • Turvallisuustoimenpiteet työntekijöille, joilla on pääsy arkaluontoisiin tai tärkeisiin tietoihin.
  • Suunnitelma liiketoiminnan yksikön toimimiseen turvallisuusvaaratilanteen aikana ja sen jälkeen.
  • Monivaiheisen tunnistamisen käyttö.
  • Toimitusketjujen välinen turvallisuus ja suhteet yrityksen ja suorien toimittajien välillä.
  • Kyberturvallisuuskoulutus ja käytäntö ovat keskeisiä tietotekniikkahygienian käyttöä varten.

Kyberturvallisuuskoulutus ei ole vain “listalla”. On tunnettu fakta, että tietoisuuskoulutus on tärkeässä osassa organisaation turvallisuuskoulutuksen luomisessa. Sitä tarvitaan, jotta organisaatiot voivat seurata monia muita turvallisuustoimia, joita NIS2 omaa vaatimuksissaan. Ilman ympäri vuoden kestävää tietoisuuskoulutusta monet operatiiviset toiminnot epäonnistuvat pikku hiljaa, mikä johtuu inhimillisistä virheistä.  

Meillä on uusi ja päivitetty versiomme tietoturvatietoisuuden koulutuksista. Se on tarkoitettu kaikille työntekijöille, esimiehille, johdolle ja hallituksille NIS2-direktiivin soveltuvuuden mukaisesti.

Ja miksi et ottaisi haltuun NIS2-direktiivin johdannon kurssiamme? Sen tarkoituksena on antaa johdolle parempi yleiskatsaus siitä, miten organisaatiosi täyttää NIS2-direktiivin vaatimukset.

 

Artikkeli   09 marraskuuta 2023