Sosiaali- ja terveysalan tietoturvavaatimusten kartoitus ja valmistautuminen NIS2-direktiivin soveltamiseen

Abstract

Euroopan unionin NIS2-direktiivi on ollut voimassa jo muutaman vuoden ajan, mutta helmikuuhun 2025 mennessä Suomi ei ole vielä saattanut sitä osaksi kansallista lainsäädäntöä. Tämä opinnäytetyö tarkastelee erään julkisen sosiaali- ja terveysalan organisaation toimia sen valmistautuessa tuleviin lainsäädännöllisiin vaatimuksiin kehittämällä kattavan tietoturvallisuuden hallintajärjestelmän (ISMS, Information Security Management System). Opinnäytetyö on toteutettu päiväkirjamuotoisena raporttina kahdeksan viikon seurantajakson ajalta. Luottamuksellisuussyistä toimeksiantaja on anonymisoitu.

Päiväkirjamuotoisen raportoinnin lisäksi opinnäytetyöhön sisältyy visuaalinen käsitekartta sosiaali- ja terveysalalle soveltuvista keskeisistä laeista, asetuksista ja vaatimuksista. Käsitekartta sisältää myös valikoituja kansallisia ja kansainvälisiä standardeja ja viitekehyksiä, kuten ISO/IEC 27000 -sarjan standardit ja CIS:n tietoturvakontrollit, jotka tukevat vahvan tietoturvallisuuden hallintajärjestelmän rakentamista ja jatkuvaa kehittämistä.

Seurantajakson loppuun mennessä ISMS-toteutushanke on vielä käynnissä. ISMS-toteutushankkeen tehokkaan etenemisen varmistamiseksi tunnistettiin keskeisiä kehittämiskohteita. Huomionarvoista on, että jakson loppupuolella NIS2-direktiivin toimeenpaneva kansallinen lainsäädäntö hyväksyttiin, mikä lisäsi organisaation velvoitetta noudattaa uusia sääntelyvaatimuksia.

Visuaalinen koonti sosiaali- ja terveysalan erityisvaatimuksista ja tukityökaluista voi myös toimia käytännöllisenä perehdytysmateriaalina organisaation tietohallintoyksikköön tuleville uusille ICT-asiantuntijoille.

The European Union’s NIS2 Directive has been in force for several years; however, as of February 2025, Finland has yet to enact the corresponding national legislation. This thesis examines the efforts of a public social and healthcare organization to prepare for the forthcoming legal requirements by developing a comprehensive Information Security Management System (ISMS). The study is structured as a diary-based report covering an eight-week observation period. For reasons of confidentiality, the commissioning organization has been anonymized.

In addition to the diary-based documentation, the thesis includes a visual concept map of the key laws, regulations, and requirements applicable to the social and healthcare sector. The concept map also integrates selected national and international standards, frameworks, and benchmarks, such as the ISO/IEC 27000 series and the CIS Controls, that provide a foundation for building and continuously improving a robust ISMS.

By the end of the observation period, the ISMS implementation project was still ongoing. Key areas requiring further development to ensure the effective advancement of the ISMS implementation project were identified. Notably, near the end of the observation period, the Finnish legislation transposing the NIS2 Directive was approved, thereby intensifying the organization’s obligation to comply with the new legislative requirements.

The visual mapping of the social and healthcare sector-specific requirements and relevant tools may also serve as a practical onboarding aid for new ICT professionals within the organization’s information security unit.