Kyberuhkiin kannattaa varautua

Fimea sai viime vuonna uuden tehtävän, kun sen vastuulle tuli kyberturvallisuuden valvonta lääkkeiden ja lääkinnällisten laitteiden alalla. Valvontaa toteutetaan muun muassa kyberturvallisuustarkastuksilla, jotka ovat alkaneet tänä vuonna.

Kukapa meistä jättäisi ottamatta kotivakuutuksen, joka korvaa vahingot, jos asuntoon murtaudutaan?

Samalla tavalla yritysten kannattaa varautua tietomurtoihin ja muihin kyberhyökkäyksiin, jotka voisivat muuten lamauttaa toiminnan pitkäksi aikaa.

– Riskienhallinta ja ennakoiva suojaus on tärkeää, jotta voidaan minimoida kyberuhkien vaikutukset. Ennakoinnilla ja varautumisella voidaan vaikuttaa todella paljon siihen, kuinka laaja isku on ja kuinka nopeasti siitä palaudutaan, jos tai kun sellainen tulee, kuvailee ylitarkastaja Antti-Ville Piirainen Fimeasta.

Fimea sai viime vuonna uuden tehtävän, kun sen vastuulle tuli kyberturvallisuuden valvonta lääkkeiden ja lääkinnällisten laitteiden alalla. Käytännössä valvonta koskee esimerkiksi lääkkeiden tai lääkinnällisten laitteiden valmistajia, veripalvelulaitoksia, lääketutkimusta ja kehitystä harjoittavia toimijoita sekä apteekkeja, jotka täyttävät keskisuuren tai suuren yrityksen kriteerit.

Taustalla on uusi kyberturvallisuuslaki, joka tuli voimaan huhtikuussa 2025. Laissa toimeenpantiin kansallisesti Euroopan unionin uuden kyberturvallisuusdirektiivin eli NIS2-direktiivin vaatimukset – ensimmäisten joukossa Euroopassa.

– Lainsäädännön tavoitteena on varmistaa kyberturvallisuuden yhteinen korkea taso koko EU:ssa. Samalla sen soveltamisala laajeni ja myös terveyssektori tuli laajemmin velvoitteiden piiriin, Piirainen kertoo.

Monia uusia velvoitteita

Direktiivi ja kyberturvallisuuslaki toivat toimijoille monia uusia velvoitteita.

Toimijoilla on nyt esimerkiksi velvollisuus ilmoittautua valvovan viranomaisen toimijaluetteloon. Samalla kyberturvallisuuden riskienhallinta- ja raportointivelvoitteet täsmentyivät.

Velvoitteet koskevat terveyssektorilla keskisuuria ja suuria yrityksiä sekä yhteiskunnan häiriönsietokyvyn kannalta kriittisiä toimijoita (niin sanotut CER-toimijat). Sosiaali- ja terveysministeriö nimeää nämä CER-toimijat 17.7.2026 mennessä.

Fimea muistutti alansa toimijoita tulevista velvoitteista jo ennen lain voimaantuloa.

– Fimean valvomat toimijat ilmoittautuivat toimijaluetteloon viimeistään kesän aikana. Suurin osa ilmoittautui heti, kun se oli mahdollista, Piirainen kiittelee.

Lain mukaan toimijan on toteutettava riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa riskeihin, joita sen viestintäverkoille ja tietojärjestelmille aiheutuu. Riskienhallinnan velvoitteita on kuvattu tarkemmin Traficomin alaisen Kyberturvallisuuskeskuksen julkaisemassa ohjeessa.

– Keskeistä on, että perustason tietoturvakäytännöt ovat kaikilla toimijoilla kunnossa. Viestintäverkot ja tietojärjestelmät tulee suojata haittaohjelmilta, ja kriittiset ja haavoittuvat järjestelmät tulee erottaa muusta ympäristöstä.

Jos toimija havaitsee merkittävän turvallisuuspoikkeaman, siitä on ilmoitettava vuorokauden kuluessa valvovalle viranomaiselle.

Jos toimija havaitsee merkittävän turvallisuuspoikkeaman, siitä on ilmoitettava vuorokauden kuluessa valvovalle viranomaiselle. Tällä tarkoitetaan kyberuhkaa, joka on aiheuttanut tai voisi aiheuttaa vakavan palvelun toimintahäiriön, huomattavaa taloudellista tappiota tai muuta huomattavaa haittaa.

Käytännössä poikkeamailmoitukset tehdään Traficomin kaikille viranomaisille ylläpitämässä sovelluksessa, josta Fimea saa suoraan tiedon poikkeamasta.

Fimea käsittelee ja arvioi alansa merkittävät poikkeamat ja raportoi niistä neljännesvuosittain Traficomille, joka raportoi niistä edelleen EU-tasolle. Näin saadaan kokonaiskuva siitä, millaisia riskejä kyberturvallisuuteen Euroopassa liittyy.

Yrityksen ylin johto vastaa kyberturvallisuudesta

Uusi laki selkeyttää yritysten johdon vastuuta kyberturvallisuusasioissa.

Laissa todetaan, että toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä. Johdolla tarkoitetaan yleensä yrityksen hallitusta, hallintoneuvostoa ja toimitusjohtajaa.

– Vaikka käytännön toimenpiteistä huolehtisi esimerkiksi tietoturvapäällikkö, ylin johto on viime kädessä vastuussa myös kyberturvallisuudesta, Piirainen kiteyttää.

Toimijan tehtävänä on varmistaa, että kyberturvallisuus toteutuu koko toimitusketjussa, myös alihankkijoiden ja niiden käyttämien alihankkijoiden toiminnassa.

Toimija saattaa hyödyntää toiminnassaan alihankkijoita, joita esimerkiksi kyberturvallisuuslain raportointivelvoitteet Fimealle eivät suoraan koske. Toimijan tehtävänä on silloin varmistaa, että kyberturvallisuus toteutuu koko toimitusketjussa, myös alihankkijoiden ja niiden käyttämien alihankkijoiden toiminnassa.

Tarkastukset ovat alkaneet tänä vuonna

Fimea valvoo alallaan erityisesti keskeisiä toimijoita, eli käytännössä suuria yrityksiä. Lisäksi valvontaa kohdistetaan tärkeisiin toimijoihin eli keskisuuriin yrityksiin, jos on perusteltu syy epäillä, että toimija ei ole noudattanut lakia.

Fimean valvonta voi sisältää kirjallisia selvityspyyntöjä, tarkastuksia sekä ohjaavaa neuvontaa. 

– Tarkastuksilla keskustelemme yrityksen johdon ja asiantuntijoiden kanssa heidän vastuistaan ja käymme läpi kyberturvallisuuden riskienhallintaa, häiriötilanteisiin varautumista sekä turvallisuuspoikkeamien raportointia, Piirainen kuvailee.

Piirainen vastaa Fimeassa kyberturvallisuuslain velvoitteiden täytäntöönpanosta yhdessä kollegansa, ylitarkastaja Noora Allosen kanssa.

Piiraisen vastuulla ovat lääkealan toimijat ja veripalvelulaitokset, Allosen tontilla puolestaan lääkinnälliset laitteet. Ensimmäiset kyberturvallisuustarkastukset on juuri tehty.

– Koulutamme myös muita Fimean ylitarkastajia, jotta he voivat käydä kyberturvallisuusasioita läpi omilla tarkastuksillaan. 

Insinööristä ylitarkastajaksi

Antti-Ville Piirainen aloitti työt Fimeassa vuoden 2025 kesäkuussa, pian uuden kyberturvallisuuslain voimaantulon jälkeen.

Tätä ennen hänelle oli kertynyt noin 16 vuoden työkokemus lääketeollisuudesta, pääasiassa automaatioteknisistä ja tietojärjestelmäpuolen tehtävistä. Pohjakoulutukseltaan hän on automaatioinsinööri.

– Koen, että automaatiotekniikan osaamisesta on kyberturvallisuuden valvonnassa valtavasti hyötyä. Suurimmalla osalla kollegoista on kuitenkin farmasian ala taustalla, hän pohtii.

Ennen Fimeaan tuloaan Piirainen työskenteli lääkeyhtiö Orionilla automaatiojohtajana. Siellä hän koki olevansa alan seniori, jolta muut kysyivät neuvoa.

– On tuntunut hauskalta aloittaa työt Fimeassa, aivan uudessa tehtävässä ja huippuosaavien kollegojen keskellä. Vaikka minulla on paljon kokemusta, näissä tehtävissä olen vielä juniori ja opin joka päivä uutta. 

Piirainen myöntää, että hänellä oli valtion virastoissa työskentelevistä ihmisistä entuudestaan hieman virallinen ja vakava mielikuva. Fimeassa hänet onkin yllättänyt työyhteisön avoimuus ja rentous.

Vaakakupissa luottamus ja potilasturvallisuus

Miksi toimijoilta laissa vaaditut toimenpiteet sitten ovat niin tärkeitä?

Jos kyberuhkiin ei varauduta eikä niiltä suojauduta, se voi Piiraisen mukaan aiheuttaa yrityksille valtavia taloudellisia tappioita.

Terveysalalla vaarassa on myös potilasturvallisuus: lailliseen jakelukanavaan saattaisi päätyä esimerkiksi väärennettyjä tai laatuvaatimuksista poikkeavia lääkkeitä, jos rikolliset onnistuisivat murtautumaan järjestelmään.

– Lopulta kyse on maineen ja luottamuksen säilyttämisestä. Ihmisten tulee voida olla varmoja siitä, että apteekissa myyty lääkevalmiste on juuri sitä, mitä luvataan, tai että lääkinnällinen laite toimii oikein, Piirainen korostaa.

Tehtävän takana

Tehtävä Fimeassa

Ylitarkastaja, kyberturvallisuuden valvonta.

Pöydällä juuri nyt

Toimijoiden kyberturvallisuustarkastusten aloittamiseen liittyvät tehtävät.

Koulutus

Automaatioinsinööri, M.Eng. ja MBA, Tampereen ja Turun ammattikorkeakoulu 2007, 2013 ja 2018. 

Vapaa-aika

Liikkuu paljon luonnossa, ui, maastopyöräilee, lumilautailee ja hiihtää. Opettelee lisäksi tanssikurssilla vakiotansseja.