Tillsyn över direktivet om nät- och informationssäkerhet (NIS)
I fråga om hälso- och sjukvården ansvarar Valvira i Finland för tillsynen enligt EU:s direktiv om nät- och informationssäkerhet. Lagen förpliktar företag som är väsentliga för försörjningsberedskapen samt centrala tillhandahållare av digitala tjänster att anmäla och rapportera kränkningar av informationssäkerheten. I Finland sammanställer Traficom de anmälningar som mottagits av tillsynsmyndigheterna och fungerar som kontaktpunkt i Finland mellan EU:s medlemsstater.
Skyldigheterna enligt direktivet är inriktade på branscher som är viktiga för samhällets funktioner, och iakttagandet av skyldigheterna övervakas av branschspecifika myndigheter:
- Trafik - Traficom
- Energiförsörjning – Energimyndigheten
- Hälso- och sjukvård – Valvira
- Finansbranschen – Finansinspektionen
- Finansbranschens infrastruktur – Finansinspektionen
- Vattenförsörjningen – NTM-centralerna
- Digitala infrastruktur – Traficom
- Digitala tjänster – Traficom
Hot mot och kränkningar av informationssäkerheten inom hälso- och sjukvården ska anmälas till Valvira
Lagstiftningen förpliktar branschvis specificerade organisationer att anmäla och rapportera observerade hot mot och kränkningar av informationssäkerheten. Skyldigheten är tvingande.
Hot mot och kränkningar av informationssäkerheten inom social- och hälsovården ska anmälas till Valvira. Anmälningen formuleras fritt och skickas per e-post till adressen kirjaamo(at)valvira.fi. Valvira sammanställer anmälningarna som gäller hälso- och sjukvård och rapporterar dem till Traficom.
Det rekommenderas att hot mot informationssäkerheten och kränkningar av informationssäkerheten även anmäls till Cybersäkerhetscentret vid Traficom. Skyldigheten att göra en anmälan till tillsynsmyndigheten kvarstår även om anmälan också görs till Cybersäkerhetscentret.
Direktivet om nät- och informationssäkerhet skapar grunden för bättre cybersäkerhet
Direktivet om nät- och informationssäkerhet och den nationella lagstiftningen skapar förutsättningar för styrning av och tillsyn över cybersäkerheten i de branscher som är viktiga för samhällets funktioner. Direktivet och lagstiftningen gör det möjligt att skapa en enhetlig lägesbild och skapar grunden för samarbete som överskrider branscher och myndighetsgränser och som främjar cybersäkerheten både på nationell och internationell nivå.
När hot mot och kränkningar av informationssäkerheten anmäls kan man hjälpa den organisation som blivit offer för kränkningen och hjälpa även andra att skapa beredskap för aktuella hot. Det är viktigt att i förväg förbereda sig på cyberhot: Social- och hälsovårdsministeriet har publicerat en anvisning om cybersäkerhet till aktörer inom social- och hälsovården till stöd för beredskapen.
Den nationella lagstiftningen enligt EU:s direktiv om nät- och informationssäkerhet (NIS-direktivet) och dess skyldigheter trädde i kraft 9.5.2018.
EU:s direktiv om nät- och informationssäkerhet (eur-lex.europa.eu)
Cybersäkerhet. Anvisning för aktörer inom social- och hälsovården (SHM:s publikationer 2019:17)
Antti Härkönen, överingenjör
tfn 0295 209 530
fornamn.efternamn(at)valvira.fi