Hallintamallisuositus kehittämistyönä

Kyberturvallisuus on kaikkien vastuulla. Terveydenhuollon toimintaympäristössä yksittäinen työntekijä vaikuttaa arjen toiminnallaan siihen, miten hyvin potilastietoja suojataan, häiriöitä tunnistetaan ja palveluiden jatkuvuus turvataan. Samanaikaisesti kyberturvallisuus on myös vahvasti johdon vastuulla oleva kokonaisuus, joka edellyttää selkeää ohjausta, resursointia ja systemaattista seurantaa.

Digitalisaation lisääntyminen ja kyberhyökkäysten voimakas kasvu ovat luoneet painetta siirtyä reaktiivisesta tietoturvasta kohti ennakoivaa ja integroitua kyberturvallisuuden johtamista, erityisesti kriittisillä toimialoilla kuten terveydenhuollossa. Tekoälyn jättimäiset kehitysharppaukset luovat jatkuvasti uusia uhkakuvia myös kyberturvallisuuteen.

EU:n NIS2-direktiivi ja sen toimeenpaneva kansallinen kyberturvallisuuslaki (124/2025) ovat laajentaneet kyberturvallisuuden sääntelyä merkittävästi. Kyberturvallisuus ei rajoitu vain teknisiin hyökkäyksiin, vaan kattaa myös tilanteet ja tapahtumat, jotka häiritsevät tietojärjestelmien käyttäjiä ja organisaation toimintaa (Kyberturvallisuuslaki 124/2025, 2 §; Direktiivi 2022/2555/EU, artikla 6). Kyberturvallisuuslain ydin rakentuu riskiperusteisuudelle ja oikeasuhteisuudelle. Laki määrittelee vaatimukset, mutta jättää organisaation vastuulle arvioida oma riskitasonsa ja sopivien toimenpiteiden valinnan. Riskienhallinnan on oltava jatkuvaa ja säännöllistä, ei kertaluonteinen projekti (Kyberturvallisuuslaki 7–8 §).

Terveydenhuollossa häiriöiden vaikutukset voivat realisoitua suoraan potilasturvallisuutena, hoidon viiveinä ja luottamuksen heikkenemisenä, minkä vuoksi toiminnan jatkuvuus ja häiriönsietokyky korostuvat.

Opinnäytetyö toteutettiin tutkimuksellisena kehittämistyönä konstruktiivista lähestymistapaa hyödyntäen. Aineisto koostui kuvailevasta kirjallisuuskatsauksesta, joka sisälsi lainsäädäntöä sekä vertaisarvioitua tutkimuskirjallisuutta. Lisäksi aineistoon kuului dokumenttianalyysi, jossa arvioitiin tilaajan tietoturvaan liittyvien politiikka‑ ja ohjedokumenttien vaatimustenmukaisuutta. Aineisto analysoitiin teoriaohjaavan sisällönanalyysin avulla siten, että kyberturvallisuuslain vaatimusten pohjalta laadittu analyysikehikko toimi runkona tilaajan dokumentaation tarkastelussa.

Tutkimustuloksia

Opinnäytetyön tulosten perusteella kyberturvallisuuslain vaatimuksia tukee parhaiten riskiperusteinen ja periaateohjautuva hallintamalli, joka on integroitu osaksi organisaation johtamisjärjestelmää. Kyberturvallisuus näyttäytyy tällöin strategisena johtamiskysymyksenä, ei erillisenä teknisenä osa alueena (Taherdoost 2022, 4; Tsen ym. 2025, 3). Keskeistä on roolien ja vastuiden selkeys, dokumentoitu päätöksenteko sekä säännöllinen raportointi, joka tuottaa johdolle ajantasaisen tilannekuvan riskeistä ja valmiuksista (Vandezande 2024, 7).

Kyberresilienssi muodostuu jatkuvista, mitattavista ja toistuvista toimenpiteistä (Ristvej ym. 2025, 6–7). Opinnäytetyön tuloksissa keskeiseksi nousi toimintatapa, jossa riskien tunnistaminen, arviointi, hyväksyntä ja seuranta kytkeytyvät säännöllisesti osaksi johtamista. Resilienssi ei tarkoita vain palautumista häiriöstä, vaan myös kykyä jatkaa toimintaa poikkeustilanteissa ja oppia häiriöistä systemaattisesti. Häiriöiden analysointi ja opitun tiedon palauttaminen osaksi riskienhallintaa, suunnittelua ja henkilöstön koulutusta vahvistavat organisaation häiriönsietokykyä pitkällä aikavälillä. Terveydenhuollon kyberturvallisuus edellyttää teknisten kontrollien lisäksi vahvaa johdon sitoutumista, systemaattisia ja arkeen soveltuvia prosesseja sekä henkilöstön tietoturvatietoisuuden kehittämistä, sillä pelkät tekniset ratkaisut eivät riitä ehkäisemään tai hallitsemaan kyberhäiriöitä monimutkaisissa sosioteknisissä toimintaympäristöissä. (Pollini ym. 2021, 373–384).

Kyberturvallisuuslaki on teknologianeutraali eikä edellytä tietyn hallintajärjestelmän käyttöönottoa, mutta standardoidut viitekehykset tarjoavat rakenteen vaatimustenmukaisuuden ja kyberresilienssikyvyn systemaattiselle toteutukselle (Direktiivi 2022/2555/EU, artikla 25; Kyberala ry 2025). Tulosten perusteella ratkaisevaa ei ole se, mitä viitekehystä organisaatio hyödyntää, vaan se, että kyberturvallisuutta johdetaan johdonmukaisesti ja jatkuvasti. Kyberturvallisuutta ylläpidetään yhteisesti, mutta sitä kehitetään suunnitelmallisesti osana organisaation johtamista.

Suosituksia kyberturvallisuuden kehittämiseksi

Kyberturvallisuuden kehittämiseksi organisaation tulee koota hajanaiset käytännöt yhtenäiseksi ja dokumentoiduksi hallintamalliksi, jossa määritellään selkeästi johdon vastuut, raportointi ja seuranta sekä integroidaan kyberturvallisuus osaksi strategista johtamis- ja päätöksentekoa. Hallintamallia tulee vahvistaa siirtymällä reaktiivisesta toiminnasta kohti ennakoivaa tilannekuvajohtamista kytkemällä riskienhallinnan sykli säännölliseen päätöksentekoon ja mittarointiin esimerkiksi vuosikellomallin avulla. Lisäksi organisaation tulee kehittää sosioteknistä lähestymistapaa panostamalla jatkuvaan henkilöstön koulutukseen ja tietoturvakulttuuriin. Organisaation on hyvä luoda systemaattinen prosessi tietoturvapoikkeamien ja läheltä piti -tilanteiden analysoimiseksi sekä varmistaa opitun tiedon hyödyntäminen jatkuvassa kehittämisessä ja kyberresilienssin vahvistamisessa säännöllisten harjoitusten avulla.

#MasterSchool #YAMK

---

Kirjoittajat

Tuomas Reunamo, Digitalisaation asiantuntija sosiaali- ja terveysalalla, Savonia-ammattikorkeakoulu

Virpi Maijala, Tuntiopettaja (sivutoiminen) Savonia-ammattikorkeakoulu

---

Lähteet

Direktiivi 2022/2555/EU. Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU): N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi). https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32022L2555. Viitattu 13.5.2026.

Kyberala ry. 2025. NIS2-OPAS 1.0 (huhtikuu 2025). FISC. Teknologiateollisuus. https://teknologiateollisuus.fi/fisc/wp-content/uploads/sites/11/2025/03/NIS2-OPAS-1.0-JULKAISU.pdf. Viitattu 13.5.2026.

Kyberturvallisuuslaki 124/2025. Finlex. https://finlex.fi/fi/lainsaadanto/2025/124. Viitattu 13.5.2026.

Pollini, Alessandro, Callari, Tiziana C., Tedeschi, Alessandra, Ruscio, Daniele, Save, Luca, Chiarugi, Franco & Guerri, Davide. 2021. Cognition, Technology & Work 24:371–390. Viitattu 13.5.2026.

Ristvej, J., Tonhauser, M., Chovanec, D., Kubás, J., Kollár, B. & Zamiar, Z. 2025. Cyber resilience conceptual model for European Union NIS2 standards implementation in Slovakia. Sci Rep 15, 26902 (2025). https://doi.org/10.1038/s41598-025-12829-3. Viitattu 13.5.2026.

Taherdoost, H. 2022. Understanding Cybersecurity Frameworks and Information Security Standards A Review and Comprehensive Overview. Electronics 2022, 11, 2181. https://doi.org/10.3390/electronics11142181. Viitattu 13.5.2026.

Tsen, E., Ko, R. K. L. & Slapničar, S. The effect of organizational cyber resilience on cyber incident outcomes, Journal of Cybersecurity, Volume 11, Issue 1, 2025, tyaf040, https://doi.org/10.1093/cybsec/tyaf040. Viitattu 13.5.2026.

Vandezande, N. 2024. Cybersecurity in the EU: How the NIS2-directive stacks up against its predecessor. Computer Law & Security Review. The International Journal of Technology Law and Practice. Volume 52. https://doi.org/10.1016/j.clsr.2023.105890. Viitattu 13.5.2026.