Teknologiaturvaat-podcastin jakson 9 mainoskuva, jossa Kati Tuovinen on vieraiden Kati Liljeroosin, Marja Kuosmasen ja Mikko Väätäisen kanssa harmaana tummansinistä taustaa vasten.

Teknologiaturvaajat-podcast jakso 9: Terveyden ja hyvinvoinnin teknologia – ainutlaatuinen M-näkökulma

Vuonna 2009 perustettu in-house-yhtiö Istekki esittäytyy ICMT-talona. ICT on suurelle yleisölle tuttu lyhenne, mutta mitä tämä mystinen M-kirjain tarkoittaa toimialasidonnaisissa palveluissa ja millaista arvoa se tuo Istekille muihin ICT-taloihin nähden? Kati Tuovisen kanssa M-kirjaimesta ovat tänään keskustelemassa Istekin liiketoimintapäälliköt Mikko Väätäinen ja Kati Liljeroos sekä laatuasiantuntija Marja Kuosmanen. Tervetuloa mukaan!

Teknologiaturvaajat-podcast jakso 9: Terveyden ja hyvinvoinnin teknologia – ainutlaatuinen M-näkökulma Read More »

Kuvituskuva, jossa on puupalikoita pinossa ja niissä kättely-ikoni.

Istekin suunnitellut kilpailutukset näkyvät Hilman hankintakalenterissa

Kalenterissa on tällä hetkellä ennakkotietoa yli 20 tulevasta kilpailutuksesta. Kyseessä ovat siis sellaiset kilpailutukset, joista ei vielä ole julkaistu tarjouspyyntöä. Istekki toimii sidosyksikköperiaatteella omistajiensa strategisena kumppanina ja palvelujen tuottajana tai järjestäjänä. ”Jotta pystymme kuvamaan hankinnan laajuuden oikein tarjouspyynnöllä, meidän on todella tärkeää ymmärtää ennen tarjouspyynnön julkaisua, kuinka moni asiakasomistajistamme on kiinnostunut ostamaan palveluamme,” toteaa Istekin hankintapäällikkö Saila Pekkarinen. ”Lisäksi haluamme antaa tarjoajille mahdollisuuden valmistautua tuleviin kilpailutuksiin hyvissä ajoin. Viemme tiedot hankintakalenteriin mahdollisimman varhaisessa vaiheessa. Hankintakalenterissamme on siten myös alustavia suunnitelmia, joiden osalta lopullista päätöstä kilpailutuksen toteuttamisesta ei vielä ole tehty. Hankintakalenterin tiedot täsmentyvät kilpailutuksen valmistelun edetessä,” Pekkarinen jatkaa. Verkkosivuillamme on päivitetty osuus Hankinnat Istekissä. Sivuilla on kerrottu miten Istekissä tehdään hankintoja ja sivuilta löydät myös hankintoihin liittyviä ajankohtaisia asioita. Tästä pääset Istekin hankintakalenteriin Hilmassa. Hilman hankintakalenteri on tarkoitettu kaikkien julkisten hankintayksiköiden käyttöön ja se on ilmainen. Tavoitteena on kerätä kaikki julkiset hankinnat yhteen paikkaan. Istekki on omalta osaltaan tukemassa tätä tavoitetta.

Istekin suunnitellut kilpailutukset näkyvät Hilman hankintakalenterissa Read More »

Kuvituskuva, jossa on puupalikoita, joiden kyljessä on ostoskärrin kuva.

Istekki on julkaissut toiseksi eniten julkisiin IT-hankintoihin liittyviä tarjouspyyntöjä vuonna 2023

North Patrol teki neljännen kerran Julkiset IT-han­kin­tail­moi­tuk­set 2023 -analyysin. Istekin hankintailmoituksia kertyi yhteensä 22 kappaletta. Vain Helsingin kaupunki oli tehnyt enemmän tarjouspyyntöjä viime vuonna kuin Istekki. Tavoitteenamme on pitää huolta siitä, että teemme hankintaa entistäkin kestävämmällä ja laadukkaammalla tavalla tulevaisuudessakin. Lue lisää North Patrolin tutkimuksesta.

Istekki on julkaissut toiseksi eniten julkisiin IT-hankintoihin liittyviä tarjouspyyntöjä vuonna 2023 Read More »

Istekki tarjoaa kokonaisvaltaista tietoturvapalvelua

Tietoturvallisuudesta huolehtiminen on entistä tärkeämpää nykypäivänä. Kyberuhkiin varautumista tulee tehdä riittävästi, jotta kriittiset järjestelmät saadaan pidettyä toimintakuntoisina kaikissa tilanteissa. Istekistä löytyy vankkaa osaamista tietoturvakonsultointiin. Meiltä löytyy suuri joukko teknologiaturvaajia, jotka ovat erikoistuneet tietoturvallisuuden havainnointiin, ylläpitoon ja kehittämiseen. Tarjoamme tietoturva-asiointipalvelua ja riskitoimiston palvelua, jotka muodostavat yhdessä kattavan tietoturvakokonaisuuden asiakkaillemme.   Tietoturva-arvioinneissa tunnistetaan tietojärjestelmien riskejä ja ongelmakohtia   Istekki tarjoaa tietoturva-arviointipalvelua osana tietoturvakonsultointia. Arviointien tavoitteena on varmistaa tietojärjestelmien turvallisuus ennen niiden käyttöönottoa. Tietoturva-arvioinnit tuotetaan asiantuntijapalveluna, jossa asiantuntijat syventyvät ja tarkastelevat kohteena olevaa tietojärjestelmää tai sen osaa. Arvioinnin tarkoituksena on tunnistaa tietojärjestelmään liittyviä riskejä tai mahdollisia ongelmakohtia, jotta järjestelmä voidaan ottaa turvallisesti käyttöön. Arvioinnin laajuus vaihtelee esimerkiksi järjestelmän käsittelemän tiedon ja järjestelmän kriittisyyden perusteella. Tunnistetuille riskeille muodostetaan hallintakeinot, joiden avulla pyritään varmistamaan, etteivät riskit toteudu ja niiden vaikutukset ovat hallinnassa, eivätkä aiheuta haittaa asiakkaan toiminnalle. Tietoturva-arviointia tehdään yhteistyössä asiakkaan ja toimittajien kanssa. ”Hyvinvointialueiden järjestelmissä käsitellään monenlaista tietoa, ja erityisesti potilastietojen turvallisuus sekä potilaiden turvallisuus heitä hoidettaessa on tärkeä suojata toimivin ja turvallisin järjestelmin. Asiakkaan tavoitteena on palvelun myötä ylläpitää korkeaa tasoa potilas- ja tietoturvallisuuden saralla,” kommentoi tietoturva-asiantuntija Mikko Kausto Istekiltä. Riskitoimisto täydentää tietoturvapalvelun kokonaisuudeksi   Istekin tarjoama riskitoimisto-palvelu toimii jatkona tietoturva-arvioinneille. Riskitoimisto-asiantuntijapalvelu parantaa ja edistää tietoturva- ja tietosuojariskienhallintaa organisaatiossa. Riskitoimiston tehtävänä on päivittää ja ylläpitää tietojärjestelmäriskirekisterin tilaa sidosryhmiltä saatujen tietojen perusteella sekä seurata riskirekisteriin kirjattujen hallintakeinojen edistymistä. Tietojärjestelmäriskien lisäksi Riskitoimisto tukee tietohallintoa yleisten tietoturva- ja tietosuojariskien hallinnassa. Mahdolliset muut tehtävät käsitellään yhteistyössä asiakkaan ja Istekin kanssa. Riskitoimisto ohjaa ja neuvoo asiakkaan tietojärjestelmien riskeihin ja hallintakeinoihin liittyvissä asioissa myös sidosryhmiä. ”Asiakas saa tietoturva-arvioinnin ja riskitoimiston palvelujen yhdistämisellä suurta hyötyä – ensin riskit tunnistetaan ja ne pisteytetään järjestelmäkohtaisesti, ja sen jälkeen suoritetaan jälkiseurantaa. Ilman riskitoimistoa arvioinnissa tunnistetut riskit voisivat jäädä vain mainitsemisen asteelle. Tässä on siis kyse kokonaisvaltaisesta prosessista, jossa on yhdistelty kahta eri palvelua,” kertoo Kausto.

Istekki tarjoaa kokonaisvaltaista tietoturvapalvelua Read More »

Kuvituskuva

Kategoriatyö luo pohjaa onnistuneille hankinnoille

Istekissä hankintakategoriat on jaettu kuuteen kategoriaan: tietojärjestelmät, terveyden ja hyvinvoinnin teknologiapalvelut, konesali-, tietoliikenne- ja viestintäteknologia, asiantuntijapalvelut, loppukäyttäjäpalvelut sekä Istekin omat hankinnat. Kategoriatyömme ydin perustuu ohjausryhmätoimintaan sekä sisäiseen, tiiviiseen yhteistyöhön kategorioittain. Kategoriajohtamisella tavoittelemme parempaa sopimusten ja toimittajien hallintaa sekä kustannustehokkuutta. Tavoitteenamme on proaktiivinen toimittaja- ja asiakasyhteistyö. Haluamme tuntea toimittajamarkkinat, tuotteet ja palvelut. Tärkeä tavoite on, että olemme oikeaan aikaan kilpailuttamassa hankintatarpeita. Tämä edellyttää sitä, että meillä on vuosisuunnitelma tulevista hankinnoista kategorioittain. Viestimme toimittajille ja asiakkaille tulevista hankinnoista mahdollisimman aikaisessa vaiheessa. Tästä syystä olemme ottaneet käyttöön myös Hilman kilpailutussuunnitelman. Hyödynnä Hilman kilpailutussuunnitelma ja tutustu Istekin tuleviin kilpailutussuunnitelmiin Yksi tärkeä askel hankinnan valmistelussa on hyvä markkinakartoitus. Käytännön toimenpiteenä tämä tarkoittaa sitä, että teemme jokaiseen hankintaan markkinakartoituksen. Tietopyynnöt julkaisemme Hilmassa. Seuraa Hilmaa ja ota osaa markkinakartoitukseen. Me haluamme ja tarvitsemme uusimmat tiedot markkinoilla tarjolla olevista tuotteista ja palveluista. Haluamme tehdä onnistuneita hankintoja!

Kategoriatyö luo pohjaa onnistuneille hankinnoille Read More »

Softa 2030 -hankkeen ensimmäinen vuosi 2023 on ollut täynnä työtä ja tapahtumia

Softa 2030 on tietojärjestelmien yhtenäistämisen strateginen kehityshanke vuosille 2023–2030. Hyvinvointialueiden käynnistyessä tietojärjestelmiä oli lukumäärällisesti liikaa, alueilta löytyi useita järjestelmiä samaan tarkoitukseen, järjestelmien ylläpidettävyys on hankalaa ja kallista ja käyttötavat vanhojen organisaatioiden mukaisia.  Softa 2030 -hankkeen tietojärjestelmien konsolidoinnilla luodaan pohja asiakkaiden toiminnan yhtenäistämiselle ja uudistamiselle. Hanke toimii käynnistettävien konsolidointiprojektien sateenvarjohankkeena. Keskeistä hankkeessa on laaja vuoropuhelu asiakasomistajien, toimittajien, kansallisten toimijoiden ja Istekin toimijoiden välillä.   Hankkeen tavoitteissa pääsimme vuonna 2023 tavoitetasolle; konsolidointimalli luotiin ja konsolidointeja käynnistettiin kahdella hyvinvointialueella tuoden kustannussäästöjä tulevaisuudessa. Vuosina 2024–2025 jatketaan hankkeen tavoitteena raportoida kustannussäästöjä toteutettavista konsolidoinneista ja tukea niiden onnistumista.  Hankesuunnitelma vuosille 2024–2025 Yhteistyön vahvistaminen Istekki ja hyvinvointialueiden välillä: Sosiaalihuollon asiakasjärjestelmän käyttöönotot ovat meneillään 2023-Q1/2025 Pirkanmaalla ja Pohjois-Savossa Istekin hankintana. Pohjois-Pohjanmaan hyvinvointialue on hankkinut saman asiakastietojärjestelmän omalla sopimuksellaan ja se käyttöönotetaan Istekin alustalle Potilastietojärjestelmä konsolidoinnit ovat menneillään 2024–2025 Pirkanmaalla ja Pohjois-Savossa​  Säästöt: Konkreettinen lista ja tiekartta toteutuksineen​ Poistettavat turhat ja päällekkäiset​  Olemassa olevien ratkaisujen tuotteistaminen/laajentaminen/konsolidointi​: Tiedolla johtamisen ratkaisut (tuotteistettu tietoalusta ja yhtenäinen tietopohja)​  Arkistointi​  Uudet ratkaisut, joilla saadaan konsolidoitua vanhoja tietojärjestelmiä: Samaan käyttötarkoitukseen hankittujen ERI tietojärjestelmien konsolidointi yhteisillä kilpailutuksilla ​  esim. asiakastietojärjestelmän ja potilastietojärjestelmän kilpailutuksien uudet lähdöt hyvinvointialueille​  Laaturekisterit​  Toiminnanohjausratkaisut (kotihoidon toiminnanohjaus, suun terveydenhuolto)​  Yhteisten konsolidoitujen järjestelmien testaus​ Konsolidointeja tukevaa Istekin sisäistä kehittämistä                      Hankkeen omistajuudessa on tapahtunut muutos Istekissä pitkään vaikuttanut Harri Kumpulainen on aloittanut hankkeen omistajana 1.2.2024. Matti Hakomäki on siirtynyt eläkkeelle 1.3.2024. Mukavia eläkepäiviä Matille! Hankepäällikkönä jatkaa edelleen Auli Viitanen.  Lisätietoja: Hankepäällikkö Auli Viitanen puh. +358504872122, auli.viitanen@istekki.fi  Hankkeen omistaja ja ohjausryhmän puheenjohtaja Harri Kumpulainen puh. +358400681028, harri.kumpulainen@istekki.fi 

Softa 2030 -hankkeen ensimmäinen vuosi 2023 on ollut täynnä työtä ja tapahtumia Read More »

Virtuaalinen älylääkekaappi Opaali on kustannustehokas tapa tuottaa digitaalinen katkeamaton lääkehoitoprosessi

Virtuaalinen älylääkekaappi Opaali on työasemalla käytettävä sovellus, jossa on samat ominaisuudet kuin älylääkekaapeissa, mutta lääkkeet säilytetään edelleen perinteisessä lääkekaapissa. Opaali on kehitetty yhteistyössä Tampereen yliopistollisen sairaalan, Istekin ja CGI:n kanssa. Virtuaalinen älylääkekaappi mahdollistaa digitaalisen katkeamattoman lääkehoitoprosessin. Opaali pitää huolta myös esimerkiksi lääkkeiden varastosaldoista. Ensimmäiset virtuaaliset älylääkekaapit on otettu käyttöön Pirkanmaan hyvinvointialueella ja niiden käyttöönottoa uusissa yksiköissä laajennetaan vahvasti. ”Virtuaalista älylääkekaappi Opaalia alettiin kehittää siinä vaiheessa, kun oli tehty päätökset varsinaisten älylääkekaappien käyttöönotosta ja kaivattiin jonkinlaista automaatioratkaisua myös vähemmän lääkkeitä käyttäville toimintayksiköille. Älylääkekaappi on suhteellisen kallis ratkaisu ja niitä on Taysissa hankittu eniten lääkkeitä käyttäville toimintayksiköille, kuten vuodeosastoille ja teho-osastoille. Opaali puolestaan soveltuu mm. poliklinikoille ja sitä voidaan hyödyntää laajemmin hyvinvointialueen eri toimintayksiköissä,” kommentoi Pirhan sairaala-apteekin proviisori Mari Ränkimies. ”Kehityksen alussa kehittäjät kutsuivat Opaalia ”köyhän miehen älylääkekaapiksi”. Tavoitteena on kehittää digitaalinen katkeamaton lääkehoitoprosessi mahdollisimman yksinkertaisesti, tehokkaasti ja edullisesti, joka voidaan ottaa käyttöön laajasti eri toimiyksiköissä”, kertoo Istekin johtava asiantuntija Marjo Uusitalo. Opaali tehostaa ja yhtenäistää modernien sairaaloiden lääkehuoltoa   Tulevaisuudessa potilaalle annetun lääkemääräyksen on tarkoitus siirtyä potilastietojärjestelmästä Opaaliin. Tämä ominaisuus on jo testiympäristössä testattavana. Hoitaja kirjautuu sovellukseen, jakaa potilaan lääkkeet, ja varmistaa viivakoodin alulla, että lääke on oikea. Opaali tuottaa lääkemukiin tunnisteen, jonka avulla varmistetaan lääkettä annettaessa lääkkeen menevän oikealle potilaalle. Kaikista vaiheista jää tietojärjestelmään tietoa, jota voidaan seurannan lisäksi myös tulevaisuudessa hyödyntää kehittämisessä ja johtamisessa. ”Opaali virtuaalinen älylääkekaappipalvelu on varsin kustannustehokas tapa ottaa käyttöön digitaalinen katkeamaton lääkehoitoprosessi. Myös lääkeautomaatiopalvelun laajentaminen on joustavaa sen jälkeen, kun palvelun käyttöönotto on kerran tehty”, kertoo Istekin sairaala-apteekin ja lääkehuollon tuoteomistaja Pirkko Piirainen Opaali virtuaalisten älylääkekaappien tehtävänä on tehostaa ja yhtenäistää modernien sairaaloiden ja hoitolaitosten lääkehuoltoa ja -hoitoa. Opaali pitää huolen lääkehuoneen varasto- ja inventaariodatasta. Virtuaaliseen älylääkekaappiin voidaan asettaa lääkkeille tavoitesaldo ja hälytysraja aivan kuten fyysisissäkin älylääkekaapeissa. Kun lääkevarasto alkaa loppua, saadaan helposti hankintaehdotus niistä lääkkeistä, joita on enää vain tietty määrä jäljellä. Mikäli asiakkaalla on käytössään lääketilausjärjestelmä OSTi, siirtyy hankintaehdotus automaattisesti Opaalista lääketilausjärjestelmään. Opaalin ohjelmistoa kehitetään koko ajan asiakkaan tarpeiden, Suomen lainsäädännön vaatimusten ja kansallisen katkeamattoman lääkehoitoprosessin kehityksen mukaisilla ominaisuuksilla ja vaatimuksilla.

Virtuaalinen älylääkekaappi Opaali on kustannustehokas tapa tuottaa digitaalinen katkeamaton lääkehoitoprosessi Read More »

Istekki 15 logo. Istekin logo valkovihreä ja numero 15 vihreä. Logon tausta on tummansininen.

Istekin 15-vuotishistoriikki

Paljon on ehtinyt tapahtua Istekin kohta 15-vuotiaalla liiketoiminnan taipaleella. Koostimme 15-vuotiaan yhtiömme kunniaksi pienimuotoisen historiikin, johon haastateltiin henkilöitä matkan varrelta. Istekin historia alkaa vuodesta 2008, kun Kuopion kaupungin tietohallintojohtaja Jukka Vornanen sai vetääkseen projektin, jonka lopputuloksen tuli olla ICT-palveluyhtiön perustaminen. Istekki sai alkunsa yhteistyökeskusteluista, kun Pohjois-Savon sairaanhoitopiiri ja Kuopion kaupunki halusivat leveämmät hartiat hoitamaan ICT-toimintoja ja terveydenhuollon teknologiaa. Istekki perustettiin 29.9.2009 ja sen operatiivinen toiminta käynnistyi 1.1.2010. Istekin ensimmäinen toimitusjohtaja oli Urpo Karjalainen. Istekin yhtiömalliksi valikoitui osakeyhtiö inhouse-periaatteella. Yhtiön siis omistavat ne organisaatiot, jotka käyttävät yhtiön palveluita. Tämän vuoksi Istekin ja sen omistajien välillä on tiivis yhteistyö ja omistaja-asiakkaat myös ohjaavat yhtiön toimintaa.  Istekin toiminta oli alussa hyvin pitkälti kaupungin ja sairaanhoitopiirin ICT-palveluiden silloisen tilanteen tukemista ja varmistamista. Teknologian lisäksi vaadittiin myös sairaalatekniikan tukea, kehittämistä ja käyttöönottopalveluita. Siksi Istekin palvelukokonaisuutta kuvataankin tyypillisesti lyhenteellä ICMT eli Information, Communications and Medical Technology. Yhteistyön merkitys ja tarve kasvoi, kun asiakasomistajien määrä lisääntyi. Kasvusuunnitelman keskeisimpinä kohteina nähtiin yliopistosairaaloiden sairaanhoitopiirit. Laajasti esillä olleiden kansallisten yhtenäistämistarpeiden pohjalta Istekissä valjastettiin toimenpiteitä Pirkanmaan ja Pohjois-Pohjanmaan sairaanhoitopiirien sekä Tampereen ja Oulun kaupungin suuntaan. Istekki laajensi toimintaansa Keski-Suomeen vuonna 2017 ja alkoi mm. rakentamaan Jyväskylän NOVA-sairaalaan ICT-ratkaisuja. Myös Espoo on tänään yksi Istekin toimipisteistä. Istekin kasvuun on liittynyt paljon onnistuneita strategisia ratkaisuja, joilla on tuettu yhtiön hallittua kasvua omistajia kuullen. Lue lisää Istekin historiikista (PDF). Historiikin toimittaja: Minna Akiola, Akiola-Media Oy Historiikin taitto: Istekki Oy

Istekin 15-vuotishistoriikki Read More »

Teknologiaturvaajat-podcastin mainoskuva. Kati Tuovinen ja vieraat harmaina tummansinistä taustaa vasten.

Teknologiaturvaajat-podcast jakso 8: Maailman paras aikakriittinen viranomaistoiminta

Nopea ja koordinoitu viranomaisyhteistyö tuettuna nykyaikaisella teknologialla on avainasemassa onnettomuuksien torjunnassa, ihmishenkien pelastamisessa ja omaisuuden suojelemisessa. Kun käymme keskustelua sote-uudistuksesta, otsikoita hallitsevat usein juuri soteen liittyvät asiat, mutta ei tänään. Tämä jakso on oodi pelastustoimelle, sillä Suomen aikakriittistä viranomaisyhteistyötä ei turhaan ole kehuttu maailman parhaaksi. Kati Tuovisen kanssa studiossa aiheesta ovat tällä kertaa keskustelemassa yrittäjä Jussi Simolin Innoduelilta ja toiminta-arkkitehti Markus Pakkala Istekistä. Tervetuloa mukaan!

Teknologiaturvaajat-podcast jakso 8: Maailman paras aikakriittinen viranomaistoiminta Read More »

Blogi: Uusi NIS2-direktiivi parantaa varautumista kyberuhkia vastaan

EU hyväksyi uuden The Network and Information Security 2 -direktiivin (NIS2) vuoden 2023 alussa. Tämä korvaa vuonna 2016 hyväksytyn aiemman NIS1-direktiivin ja laajentaa sen soveltamista uusille toimialoille. NIS2-direktiivin tarkoituksena on vahvistaa ja yhdenmukaistaa EU:n yhteistä kyberturvallisuustasoa. Suomessa kansallisen täytäntöönpanon määräpäivä on 17.10.2024 ja soveltaminen alkaa 18.10.2024. Organisaatioiden kannattaa valmistautua direktiivin vaatimuksiin ennen sen soveltamisen aloittamista. Ensimmäiseksi organisaation tulisi tunnistaa kuuluvatko he direktiivin piiriin. Direktiivi koskee keskeisiä ja tärkeitä toimijoita usealta toimialalta NIS2 -direktiivissä määritellään toimialat, joilla sitä on sovellettava. Lisäksi toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin. Keskeiset toimijat: Energia Liikenne Pankkitoiminta Finanssimarkkinat Terveys Juomavesi Jätevesi Tieto- ja viestintäteknologian hallinta Julkishallinto Avaruus CER-direktiivin mukaiset keskeiset toimijat Digitaalinen infrastruktuuri (DNS-palveluntarjoajat, luottamuspalvelun tarjoajat, aluetunnusrekisterit, yleisten sähköisten viestintäverkkojen tai –palveluiden tarjoajat jne.) Tärkeät toimijat: Energia Liikenne Pankkitoiminta Finanssimarkkinat Terveys Juomavesi Jätevesi Tieto- ja viestintäteknologian hallinta Julkishallinto Avaruus Digitaalinen infrastruktuuri Posti- ja kuriiripalvelut Jätehuolto Kemikaalien valmistus, tuotanto ja jakelu Elintarvikkeiden valmistus, tuotanto ja jakelu Valmistus Digitaalisten palveluiden tarjoajat Tutkimustoiminta Se, kumpaan ryhmään toimija kuuluu, määritellään työtekijöiden määrän, liikevaihdon ja taseen loppusumman perusteella. Keskeiseksi toimijaksi määritellään organisaatiot, joiden palveluksessa on yli 250 työntekijää ja joiden vuosiliikevaihto on yli 50 milj. € tai joiden taseen loppusumma on yli 43 milj. €. Tärkeillä toimijoilla rajat ovat yli 50 työntekijää, vuosiliikevaihto on yli 10 milj. € tai taseen loppusumma on yli 10 milj. € Molempia toimijoita koskee samat kyberturvallisuutta koskevat määräykset. Eroina on toisistaan poikkeavat sanktiomaksut sekä erot valvonnassa. Keskeisiin toimijoihin voidaan kohdistaa ennakkovalvontaa, jotta NIS2-direktiivin vaatimukset täyttyvät. Keskeisiin ja tärkeisiin toimijoihin voidaan kohdistaa jälkivalvontaa kyberpoikkeaman jälkeen. Mahdollisista rikkomuksista voidaan määritellä toimijalle sanktiomaksuja. Seuraamusmaksut velvoitteiden laiminlyönnistä on keskeisillä toimijoilla enintään 10 milj. € tai 2 % vuosittaisesta liikevaihdosta ja tärkeillä toimijoilla enintään 7 milj. € tai 1,4 % vuosittaisesta liikevaihdosta. Johdon vastuu kyberturvallisuudesta korostuu Direktiivi tuo velvoitteita toimijalle. Yksi näistä on raportointivelvoite merkittävästä kyberpoikkeamasta. Ensimmäinen ilmoitus on lähetettävä 24 tunnin kuluessa havainnosta valvovalle viranomaiselle. Jatkoilmoitus on tehtävä 72 tunnin kuluessa. Loppuraportti on toimitettava kuukauden kuluessa tapahtumasta. Valvova viranomainen voi pyytää tarvittaessa väliraporttia ilmoittajalta. Lisäksi viranomaisen on vastattava ilmoitukseen 24 tunnin kuluessa ja pyydettäessä annettava ohjeita poikkeamatilanteeseen. Toinen velvoitteista on tiedottaa palvelujen vastaanottajia, jos organisaatio tietää niihin kohdistuvasta merkittävästä kyberuhasta. Merkittävin velvoite, jonka NIS2-direktiivi tuo, on riskienhallintavelvoitteet. NIS2 on riskipohjainen direktiivi, joten se tarkistelee uhkia riskipohjaisesti. Tavoitteena on estää tai minimoida poikkeaminen vaikutus palveluihin. Tämä edellyttää riskianalyysia, jossa riskit tunnistetaan, niille tehdään hallintakeinot ja riski hyväksytään johdon toimesta. Tämä asettaa vaatimuksia johdolle: heillä tulee olla tarvittava osaaminen riskienhallinnasta. Tarkoituksena on, että riskejä hallitaan kokonaisuutena ja että riskienhallinta on jatkuva prosessi – ei riitä, että riskit vain tunnistetaan, mutta niitä ei käsitellä. Hallintoelinten tulee hyväksyä riskienhallintakäytännöt sekä tunnistetut riskit ja niiden hallintakeinot säännöllisin välein. Näiden vaatimusten takia johdon vastuun merkitys korostuu. Lisäksi direktiivi vaatii jatkuvuudenhallintaa, jotta palveluiden saatavuus taataan. Organisaatiolla pitää myös olla prosessit poikkeaminen käsittelyyn ja kyky havaita poikkeamia ympäristössään.   Toimitusketjujen turvallisuudesta huolehtiminen mukaan direktiiviin NIS2-direktiivin artikla 21 määrittelee kyberturvallisuusriskien hallintatoimenpiteet. Merkittävimmistä muutoksista edelliseen NIS1-direktiiviin on toimitusketjujen turvallisuudesta huolehtiminen. Tämä tarkoittaa sitä, että toimittajien ja alihankkijoiden vaatimuksenmukaisuutta tulee seurata. Hallintatoimet edellyttävät, että esimerkiksi riskienhallinnan, tietoturvan, pääsynhallinnan, jatkuvuudenhallinnan politiikat ja prosessit ovat kuvattuna ja käytössä. Henkilökunnan kyberturvallisuuskoulutuksesta ja -tietoisuudesta on huolehdittu. Direktiivi itsessään on teknologianeutraali, joten se ei vaadi mitään tiettyä tapaa tai tekniikkaa, kuinka vaatimukset täytetään. Vaikka NIS2 on lakisääteinen sen piirissä oleville organisaatioille, sen käyttöönottoa ei kannata tarkastella ainoastaan pakollisten vaatimusten kautta, vaan huomioida, kuinka se parantaa organisaation kyberturvallisuutta ja riskien hallintaa.   Kirjoittaja:Kimmo Iso-Aholatietoturva-asiantuntija

Blogi: Uusi NIS2-direktiivi parantaa varautumista kyberuhkia vastaan Read More »