Terveydenhuoltoa täytyy suojata – Eurooppa tarvitsee vahvemmat kyberturvallisuuden sisämarkkinat

Kyberturvallisuuden sisämarkkinoita täytyy vauhdittaa, jotta yritysten on helpompi myydä kyberturvapalveluitaan maasta toiseen. Se kannustaisi yrityksiä luomaan uudenlaisia terveydenhuoltoon keskittyviä kyberturvallisuuspalveluja, jotka eivät nykyisillä hajanaisilla markkinoilla ole kannattavia, arvioidaan Sitran uudessa selvityksessä.

Hajanaiset markkinat hidastavat eurooppalaisten yritysten kasvumahdollisuuksia. Tähän asti eurooppalaiset kyberturvallisuusalan yritykset ovat myyneet palveluitaan enimmäkseen kansallisilla markkinoilla, vaikka yrityksissä on potentiaalia palveluiden ja tuotteiden myymiseen Euroopan laajuisesti, raportissa todetaan.

Viime vuosina EU on säätänyt useita säädöksiä kyberturvallisuuden vahvistamiseksi, jotka vaikuttavat perusteellisesti myös terveydenhuoltoon.

“Sääntelytoimien ja teknisten ratkaisujen edistysaskeleista huolimatta toimeenpano jää edelleen pistemäiseksi. Nyt on aika siirtyä pohjatyöstä käytännön toimiin”, sanoo Markus Kalliola, Sitran ohjelmajohtaja. Kalliola johtaa Sitran Hyvinvointiratkaisut-ohjelmaa, jossa vahvistetaan sosiaali- ja terveysdatan turvallista hyödyntämistä Suomessa ja Euroopassa yhdessä alan toimijoiden kanssa.

Toimiva sisämarkkina vauhdittaisi alan kasvua ja vahvistaisi eurooppalaista kyberturvallisuusosaamista ja kypsyystasoa. Tämä voisi vähentää Euroopan riippuvuutta Euroopan ulkopuolisten maiden osaamisesta.

Terveydenhuoltoon kohdistuu yhä enemmän kyberuhkia. Valtiolliset toimijat ja niitä lähellä olevat ryhmittymät pyrkivät hyökkäyksillä heikentämään terveydenhuollon infrastruktuuria, ja kyberrikolliset tavoittelevat taloudellista hyötyä.

Sitran työpaperi Towards safer healthcare – insights on the European action plan on cybersecurity for hospitals and healthcare providers analysoi Euroopan komission tammikuussa 2025 julkaisemaa toimintasuunnitelmaa terveydenhuollon ja sairaaloiden kyberturvallisuuden vahvistamiseksi ja esittää suosituksia EU:lle ja jäsenmaille kyberuhkiin varautumisen parantamiseksi.

Kyberturvallisuus osana kansallista turvallisuutta

Terveydenhuollon kyberturvallisuus tulee nähdä laajemmin osana yhteiskunnan välttämättömien palveluiden turvaamista sen sijaan, että keskitytään ainoastaan tietoturvakysymyksiin.

Perinteisesti kyberturvallisuutta on tarkasteltu ala- tai organisaatiokohtaisesti. Kyberturvallisuus tulee kuitenkin nähdä osana kansallista turvallisuutta, sillä turvallisuusympäristömme on murroksessa ja kyberhyökkäysten taustalla voivat olla niin valtiolliset toimijat kuin myös erilaiset ryhmittymät.

Kyberturvallisuuden vahvistaminen edellyttää julkisen ja yksityisen sektorin tiivistä yhteistyötä yhteiskunnalle elintärkeiden toimintojen ylläpitämisessä. Esimerkiksi Suomessa viranomaisten ja yhteiskunnan eri toimijoiden tehtävät on määritelty normaalioloissa, jotta häiriötilanteissa vastuut ovat selvät.

Kansallisen valmiuden nostamisen lisäksi raportissa ehdotetaan, että EU:n tulee järjestää yleiseurooppalaisia kyberturvallisuusharjoituksia yhteistyön tiivistämiseksi.

Terveydenhuollon kyberhyökkäykset kasvussa

Eurooppa on havahtunut tarpeeseen suojella terveydenhuoltoa ja ryhtynyt lisätoimiin. Kalliolan mukaan komission suunnitelma tulee otolliseen aikaan.

“Suunnitelma sisältää hyviä ehdotuksia terveydenhuollon vahvistamiseksi kyberuhkia vastaan ja luo hyvän pohjan keskustelulle kyberturvallisuuden vahvistamisesta Euroopassa. Ehdotuksillamme pyrimme kirittämään Eurooppaa asettamaan kunnianhimoisia toimenpiteitä terveydenhuollon toimintavarmuuden turvaamiseksi”, sanoo Kalliola.

Raportin mukaan kyberturvallisuustoimille on asetettava selkeät tavoitteet, jotta niiden vaikuttavuutta voidaan mitata. Tämä koskee komission EU:lle ja jäsenvaltioille osoittamia toimintasuunnitelmaehdotuksia sekä terveydenhuollon organisaatioiden kyberturvallisuuden mittaamista ja parantamista. Suoraa kansallista tai EU-rahoitusta tulee ohjata toimiin, jotka parantavat organisaation kyberturvallisuutta.

Raportti ehdottaa, että komission ja jäsenmaiden tulisi yksinkertaistaa hallintoa ja vähentää lukuisia kyberturvallisuuden verkostoja ja toimielimiä.

Euroopan komission on määrä julkaista toimintasuunnitelman päivitetty version vuoden 2025 loppuun mennessä. Suunnitelma kuului komission puheenjohtaja Ursula von der Leyenin poliittisiin suuntaviivoihin.

Sitra on työskennellyt pitkäjänteisesti terveydenhuollon kehittämiseksi kotimaassa ja Euroopassa. Olemme olleet vaikuttamassa esimerkiksi eurooppalaisen terveystietoalueen eurooppalaisen terveystietoalueen syntyyn.

Turvallisuusympäristömme on muuttunut viime vuosina merkittävästi. Sitra tarkastelee turvallisuusaiheita esimerkiksi ennakoinnin keinoin. Lähestymme turvallisuusympäristön murrosta kokonaisturvallisuutta tai huoltovarmuutta laajempana yhteiskunnallisena kysymyksenä – valtaan, talouteen, teknologiaan, luontoon ja ihmisiin kytkeytyvänä ilmiönä. Pyrimme havaitsemaan uusia tulevaisuuteen vaikuttavia kehityskulkuja.