Poikkeamailmoitukset

Raportoitavan poikkeaman määrittely
Poikkeamailmoitusraportit
Poikkeamailmoitusprosessi

Raportoitavan poikkeaman määrittely

CER-lain mukaan kriittisellä toimijalla on velvollisuus ilmoittaa merkittävästä poikkeamasta. Ilmoitus tehdään oman toimialan valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle. Sisäministeriö saa ilmoitukset tiedoksi osana prosessia. 

Ilmoitukset tehdään seuraaviin sähköpostiosoitteisiin (tiedot päivittyvät myöhemmin):

Kaikki toimijat: Valtioneuvoston tilannekeskus, osoite:

Toimialakohtaiset yhteystiedot: 
Valvovien viranomaisten yhteystiedot CER-poikkeamailmoitusten osalta: 

  1. Energiavirasto: 
  2. Kaakkois-Suomen elinvoimakeskus: 
  3. Liikenne- ja viestintävirasto Traficom: 
  4. Turvallisuus- ja kehittämiskeskus Fimea: 
  5. Ruokavirasto: 
  6. Turvallisuus- ja kemikaalivirasto Tukes:
  7. Lupa- ja valvontavirasto:

Merkittävä poikkeama tarkoittaa tapahtumaa, joka häiritsee tai voi häiritä keskeisen palvelun tarjoamista. Poikkeama voi olla tekninen, organisatorinen tai muu häiriö, joka vaikuttaa toimijan kykyyn tuottaa yhteiskunnan toiminnan kannalta keskeistä palvelua.

Poikkeama katsotaan merkittäväksi, jos se on

  • aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön
  • johtanut tai voi johtaa huomattaviin taloudellisiin tappioihin toimijalle
  • aiheuttanut tai voi aiheuttaa huomattavaa aineellista tai aineetonta vahinkoa muille henkilöille.

Jotta häiriötilanteisiin voitaisiin reagoida mahdollisimman nopeasti, poikkeamasta ilmoittamisen kynnys on asetettu matalalle. Ilmoitusvelvollisuus aktivoituu jo mahdollisuudesta siihen, että poikkeama voisi häiritä palvelujen tarjoamista tai aiheuttaa edellä mainittuja seurauksia. Tämä tarkoittaa, että ilmoitus on tehtävä, vaikka poikkeama ei vielä olisi aiheuttanut vakavaa toimintahäiriötä, mutta laajetessaan se todennäköisesti häiritsisi kriittisten palvelujen toimittamista. 

Poikkeaman merkittävyyttä arvioitaessa on otettava huomioon erityisesti

  • Käyttäjien lukumäärä ja osuus, joihin häiriö vaikuttaa
  • Häiriön kesto
  • Maantieteellinen alue, johon häiriö ulottuu
  • Alueen eristyneisyys, joka voi lisätä vaikutusten vakavuutta.

Merkittävien poikkeamien määrittely vaihtelee toimialoittain. Ilmoitettavia poikkeamia ovat esimerkiksi sähkönjakelun keskeytys laajalla alueella, joka vaikuttaa sairaaloihin, vesihuoltoon tai liikenteeseen, rautatieliikenteen merkittävä keskeytys kyberhyökkäyksen vuoksi, korttimaksujärjestelmän kaatuminen, sairaaloiden tietojärjestelmien lamautuminen, juomaveden saastuminen ja merkittävä katkos elintarviketuotannossa. Toimialoista vastaavat ministeriöt ja valvovat viranomaiset antavat tarkentavia ohjeita oman toimialansa merkittävän poikkeaman kriteereihin.

Jos kyseessä on merkittävä tietoturvapoikkeama, joka kohdistuu organisaation viestintäverkkoihin tai tietojärjestelmiin, toimijan on kyberturvallisuuslain mukaan ilmoitettava poikkeamasta myös valvovalle viranomaiselle eli Traficomin ylläpitämään järjestelmään, josta tieto välittyy valvovalle viranomaiselle. Kyberturvallisuuslaki edellyttää myös jatkoilmoitusta 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta ja loppuraporttia kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä.

Taulukko 2. Eri toimijoiden roolit ja velvollisuudet poikkeamailmoitusprosessissa.

Toimija Tehtävät
Kriittinen toimija
  • Toimittaa ensi-ilmoituksen 24 tunnin kuluessa poikkeaman havaitsemisesta valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle.
  • Toimittaa yksityiskohtaisen raportin viimeistään kuukauden kuluessa poikkeaman tiedoksi saamisesta yhteensovittamistehtävää hoitavalle ministeriölle, toimialasta vastaavalle ministeriölle ja toimivaltaiselle valvovalle viranomaiselle.
Valvova viranomainen
  • Vastaanottaa poikkeamailmoitukset kriittisiltä toimijoilta.
  • Varmistaa, että ilmoitukset ovat riittävän kattavia ja tarvittaessa pyytää lisätietoja.
  • Tarjoaa tukitoimia kriittiselle toimijalle tilanteen hallitsemiseksi.
  • Toimittaa raportin edelleen asianomaisille ministeriöille, jos tarpeen. 
Valtioneuvoston tilannekeskus
  • Välittää poikkeamailmoituksen Euroopan komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen jatkuvuuteen vähintään kuudessa EU-jäsenvaltiossa.
  • Välittää tietoa muille EU-jäsenvaltioiden kansallisille yhteyspisteille, jos poikkeama vaikuttaa niiden kriittisiin toimijoihin.
  • Vastaanottaa poikkeamailmoituksia muista jäsenvaltioista ja toimittaa ne asianomaisille ministeriöille Suomessa.
  • Toimittaa kahden vuoden välein yhteenvedon poikkeamailmoituksista komissiolle ja CER-direktiivin asiantuntijaryhmälle.
Yhteensovittamistehtävää hoitava ministeriö (sisäministeriö)
  • Vastaanottaa yksityiskohtaiset raportit kriittisiltä toimijoilta. 
  • Koordinoi poikkeamailmoitusten käsittelyä ja viranomaisten välistä yhteistyötä.
Toimialasta vastaava ministeriö
  • Vastaanottaa yksityiskohtaiset raportit ja osallistuu arviointiin.

Poikkeamailmoitusraportit

Kriittisen toimijan on toimitettava ensi-ilmoitus merkittävästä poikkeamasta ilman aiheetonta viivästystä ja viimeistään 24 tunnin kuluessa siitä, kun poikkeama on tullut toimijan tietoon. Määräaika "tullut tietoon" alkaa siitä hetkestä, kun poikkeama on organisaatiossa havaittu tai se olisi pitänyt havaita. Ensi-ilmoitus tehdään samanaikaisesti kahteen paikkaan: asianomaiselle valvovalle viranomaiselle sekä Valtioneuvoston tilannekeskukselle. 

Ensi-ilmoituksessa tulee kuvata, milloin ja miten poikkeama havaittiin sekä millainen poikkeama on kyseessä. Lisäksi ilmoitukseen sisällytetään arvio siitä, mikä poikkeaman todennäköisesti aiheutti tai mihin se liittyy. Ilmoituksessa tulee myös arvioida poikkeaman mahdollisia seurauksia, erityisesti sen vaikutuksia keskeisten palvelujen käyttäjiin. Tämä tarkoittaa arviota siitä, kuinka suuri osa käyttäjistä tai kuinka moni käyttäjä on häiriön piirissä. Mikäli poikkeamalla voi olla rajat ylittäviä vaikutuksia, tulee ilmoitukseen sisällyttää myös tätä koskevat tiedot, jotta viranomaiset voivat arvioida tilanteen laajuuden kansainvälisesti.

Vaatimus ensi-ilmoituksen tekemisestä 24 tunnin sisällä edellyttää, että kriittisellä toimijalla on oltava käytössään 24/7-valvonta- ja reagointikyky. 

Organisaatiolla on oltava jatkuvassa valmiudessa prosessi, jossa

  1. Fyysinen tai tekninen poikkeama havaitaan (esim. laiterikko, luvaton tunkeutuminen, tulipalo, kemikaalivuoto).
  2. Tieto eskaloidaan välittömästi vastuuhenkilölle, jolla on päätösvalta.
  3. Kyseinen vastuuhenkilö arvioi, täyttääkö poikkeama merkittävän poikkeaman kriteerit.

Mikäli kriteerit täyttyvät, henkilöllä on oltava valmiit toimintaohjeet ja yhteystiedot ensi-ilmoituksen tekemiseksi sekä valvovalle viranomaiselle että Valtioneuvoston tilannekeskukselle 24 tunnin kuluessa. Vastaanotettuaan ilmoituksen valvova viranomainen antaa toimijalle kuittauksen ja tarvittaessa ohjeita tai tukea tilanteen hoitamiseksi.

Kriittisen toimijan on toimitettava yksityiskohtainen raportti merkittävästä poikkeamasta viimeistään kuukauden kuluessa poikkeaman tiedoksi saamisesta. Raportti toimitetaan sisäministeriölle, toimialasta vastaavalle ministeriölle sekä toimivaltaiselle valvovalle viranomaiselle. 

Yksityiskohtaisessa raportissa tulee kuvata poikkeama tarkasti. Raportissa esitetään, mitä on tapahtunut, kuinka vakava poikkeama on ollut, millaisia vaikutuksia sillä on ollut ja mille maantieteelliselle alueelle vaikutukset ovat ulottuneet. Lisäksi kuvataan, mikä todennäköisesti aiheutti poikkeaman tai millainen uhka siihen liittyy. Raporttiin sisällytetään myös tiedot toimenpiteistä, joita on jo toteutettu tai jotka ovat käynnissä poikkeaman vaikutusten lieventämiseksi. Mikäli poikkeamalla on mahdollisia rajat ylittäviä vaikutuksia, ne tulee tuoda esiin selkeästi. Lopuksi raporttiin lisätään kaikki muu olennainen tieto, joka voi auttaa viranomaisia ymmärtämään poikkeaman laajuutta ja hallintaa, vaikka se ei sisältyisi edellä mainittuihin kohtiin.

Poikkeamailmoitusprosessi

Havaittuaan merkittävän poikkeaman kriittinen toimija ilmoittaa siitä valvovalle viranomaiselle ja valtioneuvoston tilannekeskukselle. Valvova viranomainen vastaanottaa ilmoituksen ja vahvistaa sen vastaanoton. Valvovan viranomaisen tehtävänä on tukea kriittistä toimijaa tilanteen hallinnassa.

Valvova viranomainen arvioi tapahtumaa ja kriittisen toimijan häiriönhallintatoimien riittävyyttä. Viranomainen voi pyytää havaittuun poikkeamaan liittyviä lisätietoja, jotka voivat sisältää teknisiä yksityiskohtia, dokumentaatiota tai muuta viranomaisen arvioinnin kannalta merkityksellistä aineistoa. Kriittisen toimijan tulee tarvittaessa toimittaa ensi-ilmoitus myös Huoltovarmuuskeskukselle tiedoksi. 

Valvova viranomainen välittää tietoa eteenpäin ministeriöille. Saatuaan tiedon tapahtumasta kriittisen toimijan toimialasta vastaava ministeriö osallistuu tilanteen arviointiin ja ohjaa tarvittaessa oman toimialansa muita kriittisiä toimijoita. Sisäministeriö koordinoi poikkeamailmoitusten käsittelyä ja vastaa kansallisesta yhteensovittamisesta. 

Tilanteessa on arvioitava myös yleisölle tiedottamisen tarvetta. Mikäli tapahtuma vaatii laajempaa tiedottamista, valvova viranomainen tiedottaa tilanteesta arvionsa mukaan. Tiedottamisvastuu voidaan antaa myös kriittiselle toimijalle. Häiriöstä tiedotetaan, jos siitä ilmoittaminen on valvovan viranomaisen näkemyksestä yleisen edun mukaista.

Valtioneuvoston tilannekeskus toimii keskitettynä yhteyspisteenä poikkeamailmoitusten kansainvälisessä välittämisessä. Se lähettää kriittisen toimijan laatiman poikkeamailmoituksen Euroopan komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen jatkuvuuteen useassa EU-jäsenvaltiossa. Tilannekeskus myös välittää tietoa muille jäsenvaltioille, jos poikkeama vaikuttaa niiden kriittisiin toimijoihin tai palveluihin, sekä vastaanottaa vastaavia ilmoituksia muista maista ja toimittaa ne eteenpäin kansallisille viranomaisille. Lisäksi tilannekeskus toimittaa kahden vuoden välein sisäministeriön laatiman yhteenvedon poikkeamailmoituksista komissiolle ja CER-direktiivin mukaiselle asiantuntijaryhmälle. Ilmoitusprosessi on kuvattu vaiheittain taulukossa 3.

Taulukko 3. Ilmoitusprosessi vaiheittain.

Vaihe Vastuu Huomioitavaa Aika
Poikkeaman havaitseminen Kriittinen toimija havaitsee poikkeaman ja arvioi sen merkittävyyden. Merkittävän poikkeaman määritelmään vaikuttavat käyttäjien määrä/osuus, kesto, maantieteellinen alue ja eristyneisyys. Heti
Ensi-ilmoitus Kriittinen toimija tekee ensi-ilmoituksen valvovalle viranomaiselle ja valtioneuvoston tilannekeskukselle. Ensi-ilmoituksessa kuvataan havainto, sen luonne, syy ja seuraukset ja sekä mahdolliset rajat ylittävät vaikutukset. Viimeistään 24 h sisällä
Ilmoituksen vastaanotto Valvova viranomainen vastaanottaa kriittisen toimijan ilmoituksen. Valvovan viranomaisen tulisi tiedottaa jatkotoimista viivytyksettä. Heti
Lisätietopyyntö ja tukitoimet Valvova viranomainen pyytää kriittiseltä toimijalta lisätietoja ja antaa tarvittaessa tukitoimia. Kriittisellä toimijalla on velvollisuus toimittaa valvovan viranomaisen lisätietopyynnöt. Pyynnöstä
Tietojen jakaminen Kriittinen toimija jakaa ensi-ilmoituksen Huoltovarmuus-keskukselle. Huoltovarmuuskeskuksella on oikeus saada tiedot tehtäviensä hoitamiseksi. Tarvittaessa
Yksityiskohtainen raportti Kriittinen toimija toimittaa yksityiskohtaisen raportin toimialasta vastaavalle ministeriöille, valvovalle viranomaiselle ja sisäministeriölle. Yksityiskohtaisessa raportissa annetaan kuvaus, syy, toimenpiteet, rajat ylittävät vaikutukset ja muut olennaiset tiedot. Viimeistään 1 kk kuluttua
Julkinen tiedottaminen Valvova viranomainen määrittelee, tiedotetaanko tapahtumasta. Jos yleinen etu vaatii tiedottamista, valvova viranomainen voi velvoittaa toimijan tiedottamista tai valvova viranomainen voi tiedottaa itse. Tilannekohtaisesti
EU-ilmoitus Valtioneuvoston tilannekeskus ilmoittaa tapahtumasta EU:lle, jos sen vaikutus on arvioitu merkittäväksi EU-ilmoitus tulee tehdä, jos vaikutus kohdistuu useaan jäsenvaltioon (≥1 tai ≥6). Saatujen tietojen perusteella