Perustelut
Valmistelija
Anssi Huhtala, tietoturvapäällikkö, anssi.huhtala@pohde.fi
Toimivalta
Hallintosääntö 91 § Aluehallituksen sisäisen valvonnan tehtävät
Tausta ja perusteet
Euroopan unionin NIS2 verkko- ja tietoturvadirektiivi astui voimaan EU:ssa joulukuussa 2022. Jäsenvaltioiden oli saatava se osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä. NIS2-direktiivin perusteella annettu kansallinen kyberturvallisuuslaki tuli voimaan 8.4.2025.
Lain 10 § mukaan toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. 10 § mukaan johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa sekä muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa.
Lain 8 §:ssä tarkoitettu riskienhallinnan toimintamalli on laadittava kolmen kuukauden kuluessa lain voimaantulosta.
Pohteen kyberturvallisuuden riskienhallinnan toimintamalli
Pohteen malli perustuu Traficomin suositukseen NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä, jonka rakennetta Pohteen malli noudattaa.
Kyberturvallisuuteen liittyviä riskienhallinnan toimenpiteitä on valmisteltu hyvinvointialueen valmistelusta lähtien NIS2-direktiivin perusteella.
Hallintamalli määrittää ja kuvaa kyberturvallisuutta koskevan riskienhallinnan tavoitteet, menettelyt ja vastuut sekä lain 9 §:n mukaiset toimenpiteet.
Lain 7 § mukaisesti hallintamallin avulla tunnistetaan, arvioidaan ja hallitaan riskejä, joita kohdistuu Pohteen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen.
Mallissa kuvatut kyberturvallisuuteen liittyvät riskienhallintatoimenpiteet ja prosessit on jo pääosin toimeenpantu, eivätkä aiheuta enää isoja muutoksia toiminnalle.
Kyberturvallisuuden riskienhallinnan toimintamalli yhteensovitetaan Pohteen kokonaisriskien hallinnan kanssa.
Valmistelijan ehdotus
Anssi Huhtala, tietoturvapäällikkö, (p. 050 438 1453):
1. Aluehallitus hyväksyy kyberturvallisuuslaki 124/2025 10 § mukaisesti kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista.
2. Hallintamallin kehittämisestä vastaa Pohteen tietoturvapäällikkö.
3. Aluehallitus valtuuttaa hyvinvointialuejohtajan hyväksymään tekniset muutokset hallintamalliin. Muut muutokset käsitellään ja hyväksytään aluehallituksessa vuosittain.
Päätösehdotus
Esittelijä: Ilkka Luoma, hyvinvointialuejohtaja
Aluehallitus hyväksyy tietoturvapäällikön ehdotuksen.