CER-direktiivi ja kansallinen laki

Mikä on CER-direktiivi?
Kansallisen lain vaatimukset
Kansallinen ohjaus
Viranomaisten roolit ja tehtävät
Muusta lainsäädännöstä
Lyhenteet, käsitteet ja määritelmät

Mikä on CER-direktiivi?

Euroopan Unionin CER-direktiivi (Critical Entities Resilience Directive (EU) 2022/2557) tuli voimaan vuonna 2023. Direktiivin tavoitteena on suojata yhteiskunnan kannalta elintärkeät palvelut ja varmistaa niiden keskeytymätön toiminta kaikissa olosuhteissa, myös kriisien aikana. Tavoitteena on keskeisten palveluiden häiriönsietokyvyn eli resilienssin parantaminen.

Direktiivi edellyttää, että jäsenvaltiot kehittävät varautumistaan kriittiseen infrastruktuuriin kohdistuvia häiriöitä vastaan. Riskien arviointi on oleellinen osa varautumista. Mahdollisia uhkaavia tekijöitä ovat esimerkiksi kyberuhat, luonnonkatastrofit, terrorismi ja tekniset häiriöt. Häiriöiden vaikutukset tulee minimoida erilaisin suojautumiskeinoin ja riskienhallintamenetelmin.

CER-direktiivin taustalla on Euroopan turvallisuus- ja toimintaympäristön muuttuminen ja uudenlaisiin, laaja-alaisiin uhkiin varautumisen korostuminen. 
CER-direktiivin kanssa samaan EU:n sääntelykehykseen sisältyy verkko- ja tietoturvaa koskeva NIS 2 -direktiivi (EU) 2022/2555, joka on implementoitu Suomen lainsäädäntöön kyberturvallisuuslailla (124/2025).

CER-direktiivin mukaan jäsenvaltioiden on tunnistettava toimijat, jotka tuottavat sellaisia keskeisiä palveluita, joiden häiriöillä voisi olla merkittäviä vaikutuksia yhteiskunnan toimintaan. Kriittisiksi toimijoiksi nimettyjen organisaatioiden on arvioitava säännöllisesti toimintaansa uhkaavat riskit, laadittava riskienhallintasuunnitelma sekä ilmoitettava palvelun tarjonnassa ilmenevistä merkittävistä poikkeamista viranomaisille. Jäsenvaltioiden tulee seurata riskien arviointia ja varautumistoimenpiteiden toteutumista sekä raportoida niiden tehokkuudesta komissiolle. Jäsenvaltioiden on lisäksi jaettava hyviä käytäntöjä niin kansallisesti kuin EU:n sisällä.

CER-direktiivin vaatimukset kohdistuvat toimialoihin (jäljempänä CER-toimialat), jotka muodostavat yhteiskunnan perusrakenteen ja joiden vakavat häiriöt tai kriisit voivat johtaa laajamittaisiin yhteiskunnallisiin, taloudellisiin ja turvallisuuteen liittyviin ongelmiin. Direktiivin mukaiset yhteiskunnan toimivuuden kannalta kriittiset toimialat on lueteltu kuvassa 1. 


Kyseiset toimialat on määritelty kriittisiksi, koska niiden häiriöt voivat lamauttaa yhteiskunnan elintärkeät toiminnot ja aiheuttaa vakavia seurauksia kansalliselle turvallisuudelle, taloudelle ja väestön hyvinvoinnille. Toimialat myös muodostavat keskinäisriippuvuuksien verkoston, jossa yhden toimialan häiriö voi nopeasti vaikuttaa muihin. Kaikkien toimialojen varautuminen ja häiriönsietokyvyn varmistaminen on välttämätöntä.

Kansallisen lain vaatimukset

CER-direktiivi otettiin Suomessa käytäntöön kesällä 2025 laatimalla laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025, CER-laki). Lakia sovelletaan kaikilla CER-toimialoilla. CER-lain ulkopuolelle on rajattu erikseen eräitä toimijoita. Lakia ei sovelleta tiettyihin valtion ja lainvalvonnan toimijoihin, kuten tasavallan presidentin kansliaan ja maanpuolustukseen liittyviin viranomaistoimiin. Lisäksi erityisiin kriittisiin toimijoihin, jotka toimivat kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen, lainvalvonnan tai tietyn finanssi- ja digitaalisen infrastruktuurin alalla, ei sovelleta kaikkia lain osia. Laki ei myöskään koske tiedon antamista, joka voisi vaarantaa maanpuolustusta, kansallista turvallisuutta tai yleistä järjestystä.

Monilla toimialoilla oli jo ennen kansallista CER-lakia kriittisen toimijan riskiarviointiin tai poikkeamista ilmoittamiseen velvoittavia lakeja ja säädöksiä. CER-lain mukaan niiden noudattaminen on ensisijaista silloin, jos vaatimukset ovat vaikutuksiltaan vähintään CER-lain velvoitteita vastaavia.  

CER-lakia ei voi noudattaa ymmärtämättä sen kytköstä kyberturvallisuuslakiin eli NIS 2 -direktiiviin. Lainsäädäntö on suunniteltu siten, että CER ja NIS2 muodostavat kokonaisuuden, jossa CER-laki kattaa fyysisen turvallisuuden, henkilöstöturvallisuuden ja häiriönhallinnan, kun taas kyberturvallisuuslaki (NIS 2) kattaa digitaalisen turvallisuuden ja kyberresilienssin. NIS 2 -direktiivi edellyttää, että kaikki CER-direktiivin nojalla kriittisiksi toimijoiksi määritellyt toimijat ovat automaattisesti myös NIS 2 -sääntelyn alaisia riippumatta niiden koosta.

Kyberturvallisuuslain soveltaminen perustuu pitkälti organisaation kokoon ja kohdistuu pääsääntöisesti keskisuuriin ja suuriin yrityksiin. CER-lain myötä tämä kokoraja kuitenkin poistuu. Esimerkiksi elintärkeä lääkejakelija, joka olisi normaalisti liian pieni kyberturvallisuuslain soveltamisalaan, voi tulla nimetyksi kriittiseksi toimijaksi CER-lain nojalla. Jos siis tällainen toimija määritetään CER-lain mukaan kriittiseksi, se tulee samalla koostaan riippumatta täysimääräisesti myös kyberturvallisuuslain (NIS 2) velvoitteiden piiriin.

Suomessa CER-kriittisiksi toimijoiksi tullaan nimeämään joukko organisaatioita ja yrityksiä. Määrittämisessä tulee ottaa huomioon kansallinen CER-riskiarvio sekä valtakunnallinen suunnitelma (CER-strategia). Kriittisten toimijoiden lista ei ole julkinen. 

Kansallinen ohjaus

Suomessa sisäministeriö toimii yhteensovittavana ministeriönä ja vastaa toiminnan yleisestä ohjauksesta, seurannasta, yhteensovittamisesta ja kehittämisestä. Sisäministeriö toimii myös CER-direktiivin mukaisena toimivaltaisena viranomaisena. Sisäministeriö valmistelee muun muassa kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvion (kansallinen CER-riskiarvio) sekä kriittisten toimijoiden häiriönsietokykyä koskevan valtakunnallisen suunnitelman (CER-strategia). Lisäksi sisäministeriö raportoi komissiolle kriittisten toimijoiden lukumäärästä sekä kokoaa yhteenvetokertomuksen poikkeamailmoituksista komissiolle ja kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle (CERG). 

CER-lain mukaan strategiset tavoitteet häiriönsietokyvyn parantamiseksi tulee kirjoittaa valtioneuvoston hyväksymään kansalliseen strategiaan. Kriittisten toimijoiden häiriönsietokykyä koskevasta valtakunnallisesta suunnitelmasta käytetään lyhennettä CER-strategia. Strategia tukee kriittisten toimijoiden varautumista ja toimintakyvyn kehittämistä erilaisissa häiriötilanteissa. Strategiassa esitetään strategiset tavoitteet ja painopistealueet, joiden avulla pyritään parantamaan keskeisten palveluiden jatkuvuutta. Lisäksi siinä määritellään ohjauskehys, jonka avulla tavoitteet pyritään saavuttamaa sekä toimenpiteet, joilla häiriönsietokykyä voidaan vahvistaa. CER-strategiassa käsitellään myös julkisen ja yksityisen sektorin välistä yhteistyötä, viranomaisten välistä koordinointia sekä tukitoimia organisaatioille ja yrityksille, jotka on määritetty kriittisiksi toimijoiksi. Lisäksi siinä kuvataan, miten eri toimialojen ja valtioiden väliset riippuvuudet otetaan huomioon häiriönsietokyvyn kehittämisessä. CER-strategia päivitetään vähintään neljän vuoden välein.

CER-laki edellyttää valtakunnallisen kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan riskiarvion laatimista (kansallinen CER-riskiarvio). Riskiarvion tulee kattaa monenlaiset uhat, mukaan lukien luonnonriskit, ihmisen aiheuttamat riskit, useita toimialoja tai rajat ylittävät riskit, onnettomuudet, kansanterveydelliset uhat, hybridiuhat, terrorismiin liittyvät uhat sekä teknologiaan ja paikkatiedon väärinkäyttöön liittyvät uhat. Suomessa ensimmäinen kansallinen CER-riskiarvio laadittiin osana Kansallinen riskiarvio 2026 -hanketta ja siinä käsitellään keskeisiin palveluihin kohdistuvia merkityksellisiä riskejä, rajat ylittäviä riippuvuuksia ja toimialojen keskinäisriippuvuuksia. Valtioneuvosto hyväksyi kansallisen CER-riskiarvion 15.1.2026. Riskiarvio tulee päivittää vähintään neljän vuoden välein. Riskiarvio ei ole julkinen asiakirja, vaan se on tarkoitettu viranomaisten ja kriittisiksi toimijoiksi nimettyjen organisaatioiden käyttöön. 

Viranomaisten roolit ja tehtävät

CER-laki velvoittaa kansallisia viranomaisia toteuttamaan useita toimenpiteitä kriittisen toimijoiden häiriönsietokyvyn varmistamiseksi. Toimialoista vastaavat ministeriöt ovat vastuussa kriittisten toimijoiden määrittämisestä omilla toimialoillaan. Laki edellyttää kriittisiltä toimijoilta kattavaa riskien, uhkien ja haavoittuvuuksien arviointia sekä häiriönhallinnan suunnittelua ja toteuttamista. CER-lain mukaisten valvovien viranomaisten tehtävänä on valvoa, että kriittiset toimijat noudattavat lain mukaisia vaatimuksia ja säännöksiä. Lisäksi tulee järjestää koulutusta ja harjoituksia kriittisille toimijoille sekä tiedotusta myös kansalaisille.

Valvovat viranomaiset valvovat kriittisten toimijoiden velvoitteiden noudattamista eri sektoreilla varmistaen, että häiriönsietokykyä ja turvallisuutta koskevat vaatimukset täytetään. Valvontaviranomainen tarkastaa, että kriittinen toimija on toteuttanut lain mukaiset velvoitteet, kuten riskiarvioinnin, häiriönsietokyvyn suunnitelman, poikkeamailmoitukset ja yhteyspisteen nimeämisen. Valvonta voi sisältää dokumenttien tarkastamista, haastatteluja, auditointeja sekä tarvittaessa myös tukintoimia, ohjeistusta tai korjauskehotuksia. 

Valvovina viranomaisina toimivat

  1. Energiavirasto: Valvoo energiatoimialan kriittisiä toimijoita, kuten sähkö-, kaukolämpö- ja -jäähdytystoimijoita, sekä kaasun ja vedyn siirron jakeluverkonhaltijoita ja toimittajia.
     
  2. Kaakkois-Suomen elinvoimakeskus: Valvoo juomaveden ja jäteveden toimijaluokkaan kuuluvia kriittisiä toimijoita. (Muutokset voimaan 1.1.2026)
     
  3. Liikenne- ja viestintävirasto Traficom: Valvoo liikennetoimialan kriittisiä toimijoita, kuten ilmaliikenteessä, raideliikenteessä, vesiliikenteessä, tieliikenteessä ja julkisessa liikenteessä, sekä avaruustoimialan toimijoita.
     
  4. Lääkealan turvallisuus- ja kehittämiskeskus Fimea: Valvoo lääketutkimusta, lääkkeiden ja lääkinnällisten laitteiden valmistusta, lääkkeiden tukkukauppaa, apteekkeja ja veripalvelulaitosten toimintaa.
     
  5. Ruokavirasto: Valvoo elintarvikkeiden tuotantoa, jalostusta ja jakelua koskevia kriittisiä toimijoita.
     
  6. Turvallisuus- ja kemikaalivirasto (Tukes): Valvoo energia-alan öljy-, vety- ja kaasutoimijoita, lukuun ottamatta Energiaviraston valvonnan piiriin kuuluvia.
     
  7. Lupa- ja valvontavirasto: Valvoo sosiaali- ja terveydenhuollon palveluiden järjestäjiä ja tuottajia sekä EU:n vertailulaboratorioita vakavien terveysuhkien osalta. (Muutokset voimaan 1.1.2026)

CER-laissa lueteltujen viranomaisten lisäksi on pankkialan ja rahoitusmarkkinoiden infrastruktuurin toimialan osalta huomioitava myös Finanssivalvonnan rooli. Finanssivalvonta osallistuu yhteistyöhön kriittisten toimijoiden häiriönsietokyvyn parantamiseksi sekä tiedonvaihdon edistämiseksi yhdessä valtiovarainministeriön, sisäministeriön, Huoltovarmuuskeskuksen ja muiden asianomaisten viranomaisten kanssa. Tämä tarkoittaa, että Finanssivalvonta tukee CER-direktiivin mukaisten tavoitteiden toteuttamista erityisesti pankkialan rahoitusmarkkinoiden infrastruktuurin toimialan kriittisten toimijoiden resilienssin kehittämisessä, vaikka se ei ole varsinainen CER-valvoja.

CER-direktiivin mukaan jokainen jäsenvaltio vastaa omalla alueellaan toimivien kriittisten toimijoiden valvonnasta, vaikka yritys tai organisaatio toimisi useassa maassa. Toimijan on noudatettava kunkin maan kansallisia vaatimuksia, ja viranomaiset tekevät valvontaa muun muassa tarkastuksilla, tietopyynnöillä ja auditoinneilla. Rajat ylittävien toimijoiden osalta jäsenvaltioiden viranomaiset koordinoivat keskenään ja vaihtavat tietoja kansallisten yhteyspisteiden kautta, ja jos toimija on EU-tasolla erityisen merkittävä, komissio voi osallistua valvonnan koordinointiin.

Jos kriittinen toimija ei noudata lakia, valvova viranomainen voi sille antaa huomautuksen tai varoituksen. Varoitus annetaan silloin, kun pelkkä huomautus ei riitä tilanteen vakavuuden vuoksi. Varoitus annetaan aina kirjallisesti, ja siinä kerrotaan tarkasti, mikä puute tai laiminlyönti on kyseessä. Viranomainen voi myös määrätä toimijan korjaamaan havaitut puutteet tai laiminlyönnit kohtuullisessa ajassa. Jos toimija ei noudata määräystä, viranomainen voi liittää päätökseen uhkasakon tai teettämisuhan tai määrätä päätöksellään kriittisen toimijan maksamaan laiminlyöntimaksun.

Muusta lainsäädännöstä

CER-direktiivin lisäksi kriittisille toimijoille tulee vaatimuksia useasta muusta direktiivistä ja kansallisista säädöksistä. NIS 2 -direktiivin (EU 2022/2555) toimeenpaneva kyberturvallisuuslaki (124/2025) tuo velvoitteita tietoturvariskien hallintaan, poikkeamailmoituksiin ja teknisiin suojaustoimiin. Turvallisuusselvityslaki (726/2014) voi koskea henkilöitä, jotka käsittelevät kriittistä infrastruktuuria koskevaa salassa pidettävää tietoa. Lisäksi toimijaan voi soveltua huoltovarmuuteen liittyvä sääntely, joka sisältää varautumisvelvoitteita ja toimitusvarmuuden turvaamista. Julkishallinnon toimialalla sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), ja toimialakohtaisesti voivat tulla kyseeseen esimerkiksi lääkedirektiivi ja lääkinnällisiä laitteita koskevat EU-asetukset terveyssektorilla.

Valmiuslain (1552/2011) 12 §:n mukaan valtioneuvoston, valtion hallintoviranomaisten, valtion itsenäisten julkisoikeudellisten laitosten, muiden valtion viranomaisten ja valtion liikelaitosten sekä hyvinvointialueiden ja hyvinvointiyhtymien, kuntien, kuntayhtymien ja muiden kuntien yhteenliittymien tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa. Valmiuslain kokonaisuudistus on käynnissä.

Euroopan unionin tietosuoja-asetus GDPR, joka on Suomessa täsmennetty tietosuojalailla (1050/2018), asettaa CER-direktiivin mukaisille kriittisille toimijoille samat tietosuoja- ja henkilötietojen käsittelyvaatimukset kuin muille organisaatioille, mutta niiden merkitys korostuu kriittisten palvelujen luonteen vuoksi. Henkilötietojen käsittelyssä on varmistettava laillinen peruste, kuten sopimus tai lakisääteinen velvoite, ja kerättävä vain välttämättömät tiedot. Tietoturvan osalta GDPR edellyttää riittäviä teknisiä ja organisatorisia toimenpiteitä, mikä liittyy myös NIS 2 -direktiivin mukaisiin kyberturvallisuusvelvoitteisiin, koska tietovuoto voi vaarantaa kriittisen infrastruktuurin. GDPR:n mukaan tietoturvaloukkauksista on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa, mikä täydentää CER-lain velvoitetta ilmoittaa merkittävistä häiriöistä 24 tunnin sisällä. Erityisillä aloilla, kuten terveys, pankkiala ja digitaalinen infrastruktuuri, GDPR:n vaatimukset ovat erityisen tiukat, koska käsitellään arkaluonteisia tietoja, kuten terveystietoja ja maksutietoja. Myös kyberturvallisuuslain mukaan henkilötietojen tietoturvaloukkauksesta on sekä toimijan että valvojan tehtävä ilmoitus tietosuojavaltuutetulle.

Lyhenteet, käsitteet ja määritelmät

CER on lyhenne englanninkielisistä sanoista Critical Entities Resilience eli kriittisten toimijoiden häiriönsietokyky.

CER-direktiivi (Critical Entities Resilience Directive, EU 2022/2557) on Euroopan unionin säädös, jonka tavoitteena on vahvistaa kriittisten palveluiden ja infrastruktuurin häiriönsietokykyä ja varmistaa yhteiskunnan toimintavarmuus. Direktiivi tuli voimaan vuonna 2023 ja korvasi aiemman ECI-direktiivin (2008).

CER-laki eli laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025) on Suomen kansallinen säädös, jolla toimeenpannaan EU:n CER-direktiivi (Critical Entities Resilience Directive). Sen tarkoituksena on parantaa kriittisten toimijoiden ja palveluiden häiriönsietokykyä ja varmistaa yhteiskunnan toimintavarmuus.

CER-riskiarvio tarkoittaa CER-lain 6:n mukaista kriittisten toimijoiden häiriönsietokykyä koskevaa kansallista CER-riskiarviota. 

CER-strategia tarkoittaa CER-lain 5 §:n mukaista kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallista suunnitelmaa.

Häiriönsietokyky tarkoittaa kriittisen toimijan kykyä ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä.

Kansallinen riskiarvio on valtioneuvoston ja sisäministeriön johdolla laadittu asiakirja, jonka tarkoituksena on tunnistaa merkittävät uhkat ja häiriöt, jotka voivat vaarantaa yhteiskunnan elintärkeät toiminnot. Se perustuu EU:n pelastuspalvelumekanismiin, joka velvoittaa jäsenvaltiot laatimaan ja päivittämään riskiarvion kolmen vuoden välein.
Keskeinen palvelu tarkoittaa palvelua, joka on olennainen välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi.

Kriittinen infrastruktuuri tarkoittaa hyödykettä, tilaa, laitteistoa, verkostoa ja järjestelmää sekä osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka on välttämätön keskeisen palvelun tarjoamiseksi.

Kriittinen toimija on yritys tai organisaatio tai sen toiminnallinen osa, joka tarjoaa CER-lain tarkoittamaa keskeistä palvelua ja jonka kriittisen infrastruktuuri sijaitsee Suomessa ja jonka toiminnassa tapahtuvalla poikkeamalla on tai voi olla merkittävä haitallinen vaikutus palvelun tarjoamiseen.

NIS 2 -direktiivi (EU) 2022/2555 on Euroopan unionin kyberturvallisuussäädös, jonka tavoitteena on varmistaa korkea yhteinen kyberturvallisuuden taso koko EU:ssa. Se korvasi aiemman NIS-direktiivin (2016) ja laajensi soveltamisalaa sekä velvoitteita.

Poikkeama tarkoittaa tapahtumaa, joka voi merkittävästi häiritä tai joka häiritsee keskeisen palvelun tarjoamista, myös silloin, kun se vaikuttaa kansallisiin järjestelmiin, joilla ylläpidetään oikeusvaltiot.

Riski tarkoittaa poikkeaman aiheuttaman menetyksen tai häiriön mahdollisuutta, joka ilmaistaan tällaisen menetyksen tai häiriön suuruuden ja kyseisen poikkeaman toteutumisen todennäköisyyden yhdistelmänä.

Riskiarvio on kokonaisprosessi, jonka avulla määritetään riskin luonne ja laajuus tunnistamalla ja analysoimalla sellaiset mahdolliset asiaankuuluvat uhat, heikkoudet ja vaarat, jotka voivat johtaa poikkeamaan, ja arvioidaan mahdollinen kyseisen poikkeaman aiheuttama keskeisen palvelun tarjonnan menetys tai häiriytyminen.

Sektori eli toimiala tarkoittaa yhteiskunnan kannalta keskeistä palvelualuetta, jonka häiriötön toiminta on välttämätöntä yhteiskunnan toimintakyvyn ja turvallisuuden kannalta.