julkaisut

Kohti turvallisempaa terveydenhuoltoa (tiivistelmä)

Näkemyksiä EU:n toimintasuunnitelmasta kyberturvallisuuden parantamiseksi terveydenhuollossa

Kirjoittajat

Markus Kalliola (Sitra), Mikko Huovila (Nordic Healthcare Group) and Marianne Lindroth (DNV Cyber)

Julkaistu

Terveydenhuolto on yhä alttiimpi kyberuhille vanhentuneiden järjestelmien, vaihtelevien käytäntöjen ja inhimillisten erehdysten vuoksi. Sääntelytoimien ja teknisten ratkaisujen edistysaskeleista huolimatta toimeenpano jää edelleen pistemäisiksi. Tekoälyn ja kvanttilaskennan kaltaiset uudet teknologiat edellyttävät ripeitä turvaamistoimia terveydenhuollon järjestelmissä samalla kun ne monimutkaistavat toimintaympäristöä.

EU:n laajeneva kyberturvallisuussääntely vaikuttaa perusteellisesti eri aloihin, myös terveydenhuoltoon. Sääntelyn tärkein tavoite on yhdenmukaistaa käytäntöjä ja parantaa kriittisten toimijoiden, tuotteiden ja infrastruktuurin kestokykyä kyberuhkia vastaan. Uudet säädökset, kuten Euroopan unionin kyberturvallisuusdirektiivi (NIS2), kyberkestävyyssäädös ja tekoälyasetus, laajentavat toimijoiden joukkoa ja asettavat tiukempia vaatimuksia, mikä korostaa vahvan tietoturvan tarvetta digitaalisessa ympäristössä.

Eurooppa on havahtunut tarpeeseen suojella terveydenhuoltoa ja ryhtynyt lisätoimiin. Euroopan komission tammikuussa 2025 julkaisema kyberturvallisuuden toimintasuunnitelma sairaaloille ja terveydenhuollon tarjoajille sisältää edistyksellisiä ehdotuksia turvallisuuden parantamiseksi.

Sitra esittää seitsemän suositusta EU:n ja jäsenmaiden kyberuhkiin varautumisen parantamiseksi. Esimerkiksi kyberturvallisuuden sisämarkkinoita on vauhditettava, jotta turvallisuuspalvelujen rajat ylittävä myynti helpottuu. Yhteistyötä on tiivistettävä järjestämällä Euroopan laajuisia kyberturvallisuusharjoituksia.

Kyberturvallisuustoimille on asetettava selkeät tavoitteet, jotta niiden vaikuttavuutta voidaan mitata. Tämä koskee komission EU:lle ja jäsenvaltioille osoittamia toimintasuunnitelmaehdotuksia sekä terveydenhuollon organisaatioiden kyberturvallisuuden mittaamista ja parantamista.

Terveydenhuollon organisaatioiden on parannettava kyberturvallisuuden häiriönsietokykyä ennaltaehkäisemällä kyberhyökkäyksiä, toimimalla tehokkaasti hyökkäysten aikana ja kehittämällä toimintaa hyökkäysten jälkeen. Kyberturvallisuuden tulee olla osa kokonaisturvallisuutta, ja terveydenhuollon organisaatioille tulee osoittaa siihen riittävät resurssit.

Suomi toimii esimerkkinä siitä, miten terveydenhuollon kyberturvallisuus on järjestetty EU:n jäsenvaltiossa. Suomen kokonaisturvallisuuden mallissa kyberturvallisuuteen liittyvät vastuut jakautuvat useiden viranomaisten kesken. Ensisijainen vastuu on terveydenhuollon organisaatioilla, joita useat viranomaiset tukevat ja ohjaavat. Roolit ja vastuut on selkeästi määritelty normaaliolosuhteissa. Kansallinen kyberturvallisuusstrategia määrittelee ensisijaiset toimet.

Julkaisun perustiedot

Otsikko

Towards safer healthcare

Alaotsikko

Insights on the European action plan on cybersecurity for hospitals and healthcare providers

Tekijät

Markus Kalliola (Sitra), Mikko Huovila (Nordic Healthcare Group) and Marianne Lindroth (DNV Cyber)

Julkaisupaikka

Helsinki

Julkaisuvuosi

2025

Julkaisija

Sitra

Sivumäärä

39

ISBN (PDF)

978-952-347-414-7

ISSN (PDF)

2737-1042

Aihe

healthcare, health services, hospitals, cyber security, data security, European Union countries

Sarja

Työpaperi

Mistä on kyse?