Sosiaali- ja terveysalan tietoturvavaatimusten kartoitus ja valmistautuminen NIS2-direktiivin soveltamiseen
Berts, Jonathan (2025)
Berts, Jonathan
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060219370
https://urn.fi/URN:NBN:fi:amk-2025060219370
Tiivistelmä
Euroopan unionin NIS2-direktiivi on ollut voimassa jo muutaman vuoden ajan, mutta helmikuuhun 2025 mennessä Suomi ei ole vielä saattanut sitä osaksi kansallista lainsäädäntöä. Tämä opinnäytetyö tarkastelee erään julkisen sosiaali- ja terveysalan organisaation toimia sen valmistautuessa tuleviin lainsäädännöllisiin vaatimuksiin kehittämällä kattavan tietoturvallisuuden hallintajärjestelmän (ISMS, Information Security Management System). Opinnäytetyö on toteutettu päiväkirjamuotoisena raporttina kahdeksan viikon seurantajakson ajalta. Luottamuksellisuussyistä toimeksiantaja on anonymisoitu.
Päiväkirjamuotoisen raportoinnin lisäksi opinnäytetyöhön sisältyy visuaalinen käsitekartta sosiaali- ja terveysalalle soveltuvista keskeisistä laeista, asetuksista ja vaatimuksista. Käsitekartta sisältää myös valikoituja kansallisia ja kansainvälisiä standardeja ja viitekehyksiä, kuten ISO/IEC 27000 -sarjan standardit ja CIS:n tietoturvakontrollit, jotka tukevat vahvan tietoturvallisuuden hallintajärjestelmän rakentamista ja jatkuvaa kehittämistä.
Seurantajakson loppuun mennessä ISMS-toteutushanke on vielä käynnissä. ISMS-toteutushankkeen tehokkaan etenemisen varmistamiseksi tunnistettiin keskeisiä kehittämiskohteita. Huomionarvoista on, että jakson loppupuolella NIS2-direktiivin toimeenpaneva kansallinen lainsäädäntö hyväksyttiin, mikä lisäsi organisaation velvoitetta noudattaa uusia sääntelyvaatimuksia.
Visuaalinen koonti sosiaali- ja terveysalan erityisvaatimuksista ja tukityökaluista voi myös toimia käytännöllisenä perehdytysmateriaalina organisaation tietohallintoyksikköön tuleville uusille ICT-asiantuntijoille.
Päiväkirjamuotoisen raportoinnin lisäksi opinnäytetyöhön sisältyy visuaalinen käsitekartta sosiaali- ja terveysalalle soveltuvista keskeisistä laeista, asetuksista ja vaatimuksista. Käsitekartta sisältää myös valikoituja kansallisia ja kansainvälisiä standardeja ja viitekehyksiä, kuten ISO/IEC 27000 -sarjan standardit ja CIS:n tietoturvakontrollit, jotka tukevat vahvan tietoturvallisuuden hallintajärjestelmän rakentamista ja jatkuvaa kehittämistä.
Seurantajakson loppuun mennessä ISMS-toteutushanke on vielä käynnissä. ISMS-toteutushankkeen tehokkaan etenemisen varmistamiseksi tunnistettiin keskeisiä kehittämiskohteita. Huomionarvoista on, että jakson loppupuolella NIS2-direktiivin toimeenpaneva kansallinen lainsäädäntö hyväksyttiin, mikä lisäsi organisaation velvoitetta noudattaa uusia sääntelyvaatimuksia.
Visuaalinen koonti sosiaali- ja terveysalan erityisvaatimuksista ja tukityökaluista voi myös toimia käytännöllisenä perehdytysmateriaalina organisaation tietohallintoyksikköön tuleville uusille ICT-asiantuntijoille.