Johdanto

Tämän oppaan tarkoituksena on auttaa lukijaa ymmärtämään, mitä CER-lailla (laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta 310/2025) tavoitellaan ja mitä velvoitteita laki antaa toimijoille ja viranomaisille. Opas on tarkoitettu erityisesti kriittisiksi toimijoiksi nimettyjen organisaatioiden ja yritysten henkilöstölle. Kriittisillä toimijoilla tarkoitetaan organisaatioita, jotka tuottavat yhteiskunnan toimintakyvyn kannalta keskeisiä palveluja. Opas tukee myös toimivaltaisten viranomaisten toimintaa ja on käytettävissä esimerkiksi uuden työntekijän perehdyttämisessä.

Oppaan tarkoituksena on kuvata, mitä toimijoita CER-laki koskee, miten kriittiset toimijat tunnistetaan ja mitkä ovat ne konkreettiset, lakisääteiset velvoitteet, jotka näiden toimijoiden on täytettävä varautumisensa varmistamiseksi. Opas ei ole velvoittava, vaan se on tarkoitettu selittämään mahdollisimman ymmärrettävästi, miten laissa määritetyt velvoitteet voi parhaiten toteuttaa. Oppaan lisäksi tulee huomioida toimivaltaisten viranomaisten ohjeet ja määräykset omaan toimialaansa liittyen. 

Opas on laadittu EU:n Technical Support Instrumentin rahoittamassa monikansallisessa hankkeessa ”Integrating strategic risk systems to advance the resilience of critical entities”. Vuosina 2024–2025 Suomessa, Irlannissa ja Virossa toteutetun hankkeen tavoitteena oli tukea kansallisten CER-strategioiden, kansallisen riskiarvion ja toimintasuunnitelmien toimeenpanoa huomioiden CER-direktiivin asettamat vaatimukset. Hanketta johti KPMG Viro ja Suomen osuudesta vastasivat KPMG Oy Ab:n asiantuntijat. Hankkeen toteutukseen osallistui lisäksi OECD:n asiantuntijoita. 

Oppaan ensimmäinen versio on laadittu joulukuussa 2025. Sähköiseen muotoon laadittu sisäministeriön verkkosivuilla julkaistava opas päivittyy, kun kansallinen CER-strategia ja CER-riskiarvio valmistuvat ja toimialat ovat tunnistaneet kriittiset toimijansa vuoden 2026 aikana. Sisäministeriö vastaa käsikirjan päivittämisestä.