Riskienhallinta ja häiriönsietokyky

Vaatimukset kriittiselle toimijalle
Riskien arviointi ja uhkaskenaariot
Suunnitelma häiriönsietokyvyn varmistamiseksi
Jatkuvuudenhallinta
Fyysisen infrastruktuurin suojaaminen
Yhteyspisteen nimeäminen ja tiedottaminen
Henkilöstön turvallisuusselvitykset
Henkilökunnan tiedottaminen ja kouluttaminen
Tuki kriittiselle toimijalle

Vaatimukset kriittiselle toimijalle

Kriittisille toimijoille on CER-laissa määritelty useita vaatimuksia ja velvoitteita. Osaan toimenpiteistä on määritelty aikaraja, jolloin niiden tulee olla ensimmäisen kerran valmiita (taulukko 1). Jokaisen vaatimuksen kohdalla on huomioitava, että käytäntöjä on pidettävä yllä ja tarkistettava aina toiminnan tai sääntelyn muuttuessa. 

Toimijoiden on säännöllisesti arvioitava riskejään. Arvioinnissa on huomioitava sekä fyysiset että kyberuhat, ja arviointien perusteella on toteutettava asianmukaisia riskienhallintatoimenpiteitä. Toimijoiden on laadittava ja ylläpidettävä häiriönsietokyvyn varmistamiseksi suunnitelmia, jotka sisältävät toimenpiteet häiriöiden ehkäisemiseksi ja niistä toipumiseksi. Kriittisten toimijoiden tulee varmistaa tehokas viestintä ja yhteistyö viranomaisten ja muiden kriittisten toimijoiden kanssa erityisesti häiriötilanteissa.

Lisäksi toimijoiden on järjestettävä säännöllisiä koulutuksia ja harjoituksia henkilöstölleen ja raportoitava viranomaisille merkittävistä häiriöistä sekä niiden vaikutuksista ja toteutetuista toimenpiteistä.

Riskien arviointi ja uhkaskenaariot

Jotta häiriönsietokyky voidaan varmistaa, tulee jokaisen kriittiseksi määritellyn toimijan arvioida toimintaansa kohdistuvat riskit. Riskien arvioinnin tulee kattaa keskeiset palvelut, toimitusketjut ja riippuvuudet, ja sen perusteella toimijan on toteutettava teknisiä ja organisatorisia toimenpiteitä, joilla vähennetään häiriöiden vaikutuksia. Riskien arviointi on päivitettävä säännöllisesti vähintään neljän vuoden välein.

Riskien arvioinnin perustana on viranomaisten laatima kansallinen CER-riskiarvio ja CER-strategia. Kriittisten toimijoiden käyttöön annettavassa ei-julkisessa CER-riskiarviossa on huomioitu kriittisiin toimialoihin kohdistuvat merkittävät riskit sekä toimialojen keskinäisriippuvuudet. Kansallinen CER-riskiarvio kattaa mm. luonnonriskit, ihmisen aiheuttamat riskit, rajat ylittävät ja useita toimialoja koskevat riskit, onnettomuudet, kansanterveysuhat, hybridi- ja kyberuhat, terrorismiin liittyvät uhat sekä teknologiaan ja paikannuksen häiriöihin liittyvät uhkat. 

CER-riskiarvion lisäksi kriittisten toimijoiden käytössä on yleensä oman toimialansa riskiarvioita ja alueellisia riskiarvioita. Riskien arvioinnissa kannattaa hyödyntää myös organisaation olemassa olevia, esimerkiksi osana kokonaisvaltaista riskienhallintaa, jatkuvuudenhallintaa tai valmiussuunnittelua tehtyjä turvallisuusriskien arviointeja sekä käytössä olevia riskienarviointimenetelmiä ja -järjestelmiä.

Riskien arviointi voidaan aloittaa esimerkiksi määrittelemällä, mitä arviointi koskee ja millä tarkkuustasolla se halutaan toteuttaa (kuva 3). Tämän jälkeen voidaan hahmotella toimijan omat kriittiset palvelut sekä niihin liittyvät keskeiset resurssit, kuten henkilöstö ja teknologiset ratkaisut. Palveluja määriteltäessä voidaan myös tarkastella ulkoisia riippuvuuksia, kuten alihankkijoita ja muita yhteistyötahoja. 

Joillakin toimialoilla häiriö yhdessä palvelussa voi aiheuttaa laajempia kerrannaisvaikutuksia ja heijastua keskeisten palvelujen saatavuuteen. Tämän vuoksi on hyvä tarkastella toimitusketjuja kokonaisvaltaisesti ja arvioida, missä määrin toimitusketjun eri osat ovat varautuneet toiminnan häiriöihin. Esimerkiksi ne osat, joiden keskeytyminen voisi olennaisesti vaarantaa keskeisen palvelun tuottamisen, voivat tarvita valmiussuunnitelmien päivittämistä.

Kuva 3. Kriittisen toimijan riskienhallintaprosessi

Riskien arvioinnin keskeisin vaihe on tunnistaa uhkat, jotka voivat aiheuttaa häiriöitä ja vaikuttaa organisaation toimivuuteen. Kriittisen toimijan riskiarvioinnissa on otettava huomioon kaikki sellaiset merkitykselliset luonnon ja ihmisen aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Huomioon on otettava myös toimialojen väliset tai rajat ylittävät riskit, onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut uhat sekä muut toimivaltaisen ministeriön määrittämät uhat. Toimijan riskiarvioinnissa on otettava huomioon, missä määrin muut toimialat ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta.

Riskien arvottamista helpottaa, jos niiden suuruus on arvioitu. Se tapahtuu yleensä arvioimalla riskien todennäköisyys ja vaikutus. Tässä kannattaa käyttää systemaattista menetelmää, kuten riskimatriisia. Usein organisaatiossa on jo valmiiksi käytössä arviointimenetelmä, jota voidaan hyödyntää, mutta riskit voidaan arvioida myös laajemmin, esim. asteikolla matala–korkea.

Kun riskit on arvioitu, tulee määritellä toimenpiteet niiden hallitsemiseksi. Riskejä voidaan pyrkiä estämään poistamalla riskin juurisyyt. Riskejä voidaan pienentää ja hallita esim. teknisillä ratkaisuilla (varajärjestelmät, kyberturva), organisatorisilla toimilla (koulutus, ohjeistus) ja sopimuksellisilla järjestelyillä (varatoimittajat). Riskien arvioinnin tulokset tulee kirjata osaksi häiriönsietokyvyn varmistamisen suunnitelmaa. Riskien arviointi tulee päivittää säännöllisesti (vähintään neljän vuoden välein) ja aina toiminnan tai ohjeistuksen muuttuessa.

Suunnitelma häiriönsietokyvyn varmistamiseksi

Kriittisen toimijan on laadittava suunnitelma häiriönsietokyvyn varmistamiseksi. Suunnitelman tarkoituksena on kuvata, miten organisaatio varmistaa toimintansa jatkuvuuden ja kestävyyden erilaisissa häiriötilanteissa. Suunnitelman tarkoituksena on lisäksi määrittää toimenpiteet ja luoda rakenteet, joilla häiriöiden vaikutuksia voidaan ehkäistä tai lieventää. Suunnitelma häiriönsietokyvyn varmistamisesta perustuu toimijan tekemään riskien arviointiin.

Suunnitelma häiriönsietokyvyn varmistamiseksi voidaan laatia osana muuta organisaation suunnitelmaa, kuten valmiussuunnitelmaa, varautumissuunnitelmaa tai jatkuvuudenhallinnan suunnitelmaa. Käytettävässä dokumentissa on tällöin mainittava, että se kattaa myös CER-lain vaatimuksen.

Ohjeellinen sisältö:

  • Riskien arviointi ja toimenpiteet poikkeamien syntymisen estämiseksi

    Suunnitelmassa kuvataan, miten organisaatio ehkäisee poikkeamien syntymistä ja tunnistettujen riskien toteutumista. Tämä sisältää riskien vähentämiseen tähtäävät toimet sekä ilmastonmuutokseen sopeutumisen huomioimisen. Toimenpiteiden tulee perustua riskiarvioinnissa tunnistettuihin uhkiin.
     
  • Tilojen ja infrastruktuurin suojaaminen

    Suunnitelmassa esitetään fyysiset turvatoimet, joilla suojataan kriittiset tilat ja infrastruktuuri. Fyysisiä suojaustoimia ovat esimerkiksi aidat, esteet, ilmaisulaitteet ja kulunvalvontajärjestelmät sekä muut fyysiset turvatoimet, jotka estävät luvattoman pääsyn ja vähentävät vahinkoriskiä.
     
  • Toimenpiteet häiriötilanteisiin vastaamiseksi

    Suunnitelmassa määritellään, miten organisaatio reagoi poikkeamiin ja häiriötilanteisiin. Organisaatiolla tulee olla kirjattuna menettelytavat poikkeamien torjumiseen, häiriötilanteiden hallintaan ja vaikutusten lieventämiseen. Lisäksi tulee kuvata häiriönhallintaprosessi ja kriisiviestinnän periaatteet sekä nimetyn yhteyspisteen toiminta.
     
  • Palautuminen ja jatkuvuus

    Suunnitelmassa tehdään selkoa palautumistoimenpiteistä ja liiketoiminnan jatkuvuuden varmistamisesta vaiheineen ja aikatauluineen. Tähän sisältyy liiketoiminnan jatkuvuussuunnitelma, vaihtoehtoiset toimitusketjut ja resurssien varmistaminen kriittisten toimintojen palauttamiseksi.
     
  • Henkilöstöturvallisuuden varmistaminen

    Suunnitelmassa tarkastellaan henkilöstön luotettavuuteen ja turvallisuuteen liittyvä näkökulmia. Kriittisiä tehtäviä hoitavat henkilöstöryhmät määritellään huomioiden myös ulkopuolisten palveluntarjoajien henkilöstö. Suunnitelmassa kuvataan pääsyoikeuksien hallinta tiloihin, kriittiseen infrastruktuuriin ja arkaluonteisiin tietoihin sekä menettelyt turvallisuusselvitysten hakemiseksi.
     
  • Tiedottaminen ja henkilöstön koulutus

    Suunnitelmassa kuvataan, miten henkilöstölle tiedotetaan suunnitelman sisällöstä ja häiriötilanteisiin liittyvistä ohjeista ja miten henkilöstöä koulutetaan. Käytettävät tiedotuskanavat ja vastuut tulee määritellä.
     
  • Toteuttamisaikataulu

    Suunnitelmaan liitetään aikataulu toimenpiteiden määräajoille ja toteuttamiselle. Aikataulun tulee olla realistinen ja perustua riskiarvioinnin tuloksiin.

Suunnitelmaan liittyvät prosessit, harjoitukset ja päivitykset on suositeltavaa toteuttaa säännöllisesti. Suunnitelma on pidettävä ajan tasalla ja sen toteutusta valvoo toimialan viranomainen. Häiriönsietokyky tulee varmistaa koko hallintorakenteessa ylimmästä johdosta operatiiviseen tasoon asti. Varautumiseen liittyvä päätöksenteko kytketään osaksi organisaation johtamisjärjestelmää siten, että kriisitilanteen johtaminen on selkeästi määritelty ja helposti toteutettavissa.

Jatkuvuudenhallinta

Osana häiriönsietokyvyn varmistamisen suunnitelmaa kriittisen toimijan tulee varmistaa, että sen toiminnassa on suunniteltu ja toteutettu toimenpiteet, joiden avulla voidaan vastata poikkeamiin ja häiriötilanteisiin sekä torjua ja lieventää niiden seurauksia. Käytännössä tämä tarkoittaa, että organisaatiolla tulee olla käytössä toimintamalleja ja resursseja, joiden avulla häiriötilanteita voidaan ehkäistä ja mahdolliset häiriöt hallita nopeasti ja tarkoituksenmukaisesti. Tavoitteena on ehkäistä häiriöiden laajenemista, minimoida niiden vaikutuksia ja turvata kriittisten palvelujen jatkuvuus. Toimenpiteisiin voi sisältyä esimerkiksi teknisiä ratkaisuja, varajärjestelmiä, kriisiviestintää ja henkilöstön toimintavalmiuksia.

Kriittisten toimijoiden toteuttamien toimenpiteiden odotetaan olevan sekä tarkoituksenmukaisia että oikeasuhteisia. Tarkoituksenmukaisilla toimenpiteillä viitataan riskiperusteisiin, tehokkaisiin ja tasapainoisiin ratkaisuihin, joiden avulla varmistetaan riittävä häiriönsietokyky keskeisten palveluiden tuottamisessa. 

Oikeasuhteisilla toimenpiteillä puolestaan tarkoitetaan ratkaisuja, jotka ovat tarpeellisia, sopivia ja riittäviä suhteessa arvioituihin riskeihin ja häiriöiden vakavuuteen. Toimenpiteet räätälöidään toimijan erityispiirteisiin sopiviksi, huomioiden muun muassa palvelujen luonne, toimitusketjujen ja keskinäisten riippuvuuksien rakenne, toimenpiteiden kustannustehokkuus sekä toimijan koko.

Lisäksi toimijan tulee huolehtia siitä, että poikkeamista voidaan palautua hallitusti ja mahdollisimman nopeasti. Tämä edellyttää liiketoiminnan jatkuvuuden turvaamista sekä vaihtoehtoisten toimitusketjujen huomioimista. Organisaation on laadittava palautumissuunnitelma, jossa määritellään, miten toiminta normalisoidaan häiriön jälkeen ja millä keinoin kriittisten palvelujen jatkuvuus varmistetaan esimerkiksi varatoimittajien tai korvaavien järjestelyjen avulla. Tavoitteena on, että häiriöiden vaikutukset jäävät mahdollisimman rajallisiksi ja yhteiskunnan kannalta keskeiset palvelut pysyvät käytettävissä.

Käytännössä tämä edellyttää, että toimija on laatinut häiriönhallinnan prosessin ja kriisiviestintäsuunnitelman. Suunnitelmassa kuvataan myös tekniset ja hallinnolliset varajärjestelmät, joita voidaan hyödyntää tarvittaessa. Kriittisen toimijan tulee kyetä palauttamaan toimintansa normaaliksi mahdollisimman nopeasti häiriön jälkeen. Palautuminen voi edellyttää erityisiä järjestelyjä esimerkiksi poikkeusoloja varten. 

Kriittisen toimijan on suunniteltava ja toteutettava käytännön toimet, joilla 

  • Reagoidaan nopeasti häiriöön (esim. tekninen vika, kyberhyökkäys, fyysinen vahinko).
  • Torjutaan häiriön laajeneminen (esim. eristetään ongelma, suljetaan vaaralliset järjestelmät).
  • Lievennetään vaikutuksia (esim. siirretään kriittiset toiminnot varajärjestelmiin, aktivoidaan kriisiviestintä).

Kriittisen toimijan on varmistettava häiriötilanteesta palautuminen tavalla, joka mahdollistaa toiminnan jatkumisen mahdollisimman nopeasti ja hallitusti. Tämä edellyttää suunnitelmia, joissa määritellään, miten keskeiset palvelut palautetaan, millä aikataululla ja missä järjestyksessä. Lisäksi tulee varautua vaihtoehtoisiin toimitusketjuihin, jos ensisijaiset toimittajat eivät ole käytettävissä. Palautumisen hallinta sisältää myös resurssien varmistamisen ja sen, että suunnitelmat testataan ja pidetään ajan tasalla.

Kriittisillä toimijoilla on lisäksi valmiuslain ja huoltovarmuuslain mukaisia velvoitteita poikkeusoloihin varautumisessa. Yhteiskunnan toiminnan kannalta välttämättömiä hyödykkeitä tai palveluja tuottavien toimijoiden on yhdessä viranomaisten kanssa varmistettava, että toiminta jatkuu kaikissa olosuhteissa.

Fyysisen infrastuktuurin suojaaminen

Kriittisen toimijan tulee arvioida fyysisten tilojen turvallisuus osana häiriönsietokyvyn varmistamista. Arvioinnissa huomioidaan toimitilojen lisäksi myös muut organisaation toiminnan kannalta keskeiset tilat, kuten varastot ja tekniset tilat. Tavoitteena on ehkäistä luvaton pääsy sekä estää vahingonteot ja muut fyysiset uhat tarkoituksenmukaisin keinoin. Suojaustoimien odotetaan olevan suhteessa tunnistettuihin riskeihin, jolloin valitut ratkaisut perustuvat riskien arvioinnin tuloksiin ja organisaation erityispiirteisiin.

Suojaamiseen voi sisältyä esimerkiksi:

  • Aidat ja esteet: Rakenteelliset ratkaisut, kuten aidat, portit ja ajoneuvoesteet, jotka rajoittavat pääsyä alueelle.
     
  • Ilmaisulaitteet: Tekninen valvonta, kuten liike-, lämpö- ja tunkeutumisanturit, jotka havaitsevat luvattoman liikkumisen.
     
  • Kulunvalvonta: Järjestelmät, joilla hallitaan ja seurataan henkilöstön ja vierailijoiden pääsyä tiloihin (esim. kulkukortit, biometriset tunnisteet).
     
  • Muu fyysinen suojaaminen: Kameravalvonta, valaistus, lukitusjärjestelmät, turva-alueiden erottelu ja kriittisten laitteiden suojaaminen.

Näillä toimenpiteillä pyritään varmistamaan, että kriittinen infrastruktuuri on suojattu myös häiriötilanteiden aikana. Suojaustoimenpiteet kuvataan osana kriittisen toimijan häiriönsietokyvyn suunnitelmaa, jossa esitetään niiden tarkoitus, toteutustapa ja keskeiset vastuukäytännöt. 

Yhteyspisteen nimeäminen ja tiedottaminen

CER-lain mukaan kriittisen toimijan on nimettävä yhteyspiste, joka toimii ensisijaisena kanavana viranomaisten ja kriittisen toimijan välillä. Yhteyspisteen tehtävänä on varmistaa, että tiedonkulku on nopeaa ja luotettavaa erityisesti häiriötilanteissa ja poikkeamien ilmoittamisessa.

Kriittisen toimijan tulee nimetä yhteyspisteeksi henkilö tai yksikkö, jonka yhteystiedot toimitetaan valvovalle viranomaiselle. Yhteyspiste (yhteyshenkilö) vastaa muun muassa seuraavista asioista:

  • vastaanottaa viranomaisilta tulevat ohjeet ja tiedotteet
  • välittää poikkeamailmoitukset ja muut velvoitteisiin liittyvät tiedot viranomaisille
  • koordinoi sisäistä ja ulkoista viestintää häiriötilanteissa.

Yhteyspisteen yhteystiedot on pidettävä ajan tasalla. Tämä velvoite on osa kriittisen toimijan häiriönsietokyvyn varmistamista ja liittyy myös poikkeamailmoitusmenettelyyn, jossa merkittävistä häiriöistä on ilmoitettava viranomaisille 24 tunnin kuluessa. Yhteyshenkilö varmistaa kriittisen toimijan ja toimivaltaisten viranomaisten välisen tehokkaan ja vaikuttavan viestinnän sekä koordinoinnin. 

Henkilöstön turvallisuusselvitykset

Sisäisten uhkien minimoimiseksi kriittisen toimijan tulee huolehtia siitä, että henkilöstö ei aiheuta riskiä keskeisten palvelujen jatkuvuudelle. Velvoite koskee myös ulkopuolisten palveluntarjoajien työntekijöitä. Kriittisten toimijoiden tulee tunnistaa ja yksilöidä henkilöstöryhmät, jotka vastaavat kriittisistä toiminnoista, sekä laatia kattavat luettelot näistä ryhmistä. Luetteloiden tulee sisältää myös ulkoisten palveluntarjoajien, kuten urakoitsijoiden ja alihankkijoiden, henkilöstö, jotta varmistetaan kokonaisvaltainen riskienhallinta. Henkilöiden luotettavuus on varmistettava turvallisuusselvitysten avulla ja käytössä oleva turvallisuusselvitysmenettely tulee kuvata häiriönsietokyvyn varmistamisen suunnitelmaan.

Toimijan tulee varmistaa, että pääsyoikeudet kriittisiin tiloihin ja järjestelmiin sekä arkaluonteisiin tietoihin on annettu ainoastaan asianmukaisesti valtuutetuille ja päteville henkilöille. Henkilökunta tulee kouluttaa toimimaan turvallisesti myös häiriötilanteissa.

Henkilökunnan tiedottaminen ja kouluttaminen

Kriittisen toimijan tulee huolehtia oman henkilöstönsä osaamisesta häiriönsietokyvyn varmistamisessa. Toimijan tulee tarjota henkilöstölle riittävät tiedot ja ohjeet siitä, miten toimitaan poikkeustilanteissa, häiriöissä ja kriiseissä. Kriittisiin tehtäviin liittyvien inhimillisten virheiden ehkäiseminen tulee varmistaa hyödyntämällä automaatiota mahdollisimman paljon sekä dokumentoimalla prosessit ja tehtävät yksityiskohtaisesti.

Tiedottamisella varmistetaan, että henkilöstö ymmärtää omat roolinsa ja vastuualueensa sekä osaa soveltaa suunnitelmia ja toimintamalleja käytännössä. Tämä voi sisältää esimerkiksi ohjeita häiriötilanteiden tunnistamisesta ja ilmoittamisesta, kriisiviestinnän menettelytavoista, sekä varautumiseen liittyvistä toimintatavoista. Lisäksi henkilöstölle tulee järjestää koulutuksia ja harjoituksia, jotta henkilöstö pystyy toimimaan tehokkaasti ja turvallisesti myös häiriötilanteessa ja poikkeusoloissa. 

Tuki kriittiselle toimijalle

Kriittisille toimijoille tarjotaan monipuolista tukea, jonka tavoitteena on vahvistaa näiden toimijoiden häiriönsietokykyä ja varautumista erilaisiin uhkiin. Tuki on myös osa viranomaisten valvontatehtävää, ja se kohdistuu erityisesti pieniin ja keskisuuriin yrityksiin, jotka on määritetty kriittisiksi.

Kriittisille toimijoille annettava tuki voi sisältää mm. seuraavia toimenpiteitä:

  • Ohjemateriaaleja ja menetelmiä, jotka auttavat toimijoita toteuttamaan lain edellyttämiä velvoitteita, kuten riskiarviointeja ja häiriönsietokyvyn suunnitelmia.
  • Neuvontaa ja koulutusta, esimerkiksi kyberturvallisuuteen, poikkeamien hallintaan ja varautumiseen liittyen.
  • Harjoitukset, joilla testataan ja kehitetään häiriönsietokykyä käytännössä.
  • Yhteistyön edistämistä julkisten ja yksityisten toimijoiden välillä, jotta tieto, osaaminen ja resurssit saadaan tehokkaasti käyttöön.
  • Koordinoitua viranomaisyhteistyötä, erityisesti kyberturvallisuusriskeihin ja poikkeamiin liittyvässä tiedonvaihdossa.

Kriittisille toimijoille annettavasta tuesta vastaavat valvovat viranomaiset yhteistyössä Huoltovarmuuskeskuksen kanssa.

Taulukko 1. CER-lain mukaisen kriittisen toimijan velvoitteet 

Velvoite Tavoite Kuvaus Aikataulu
Riskiarviointi Tunnistaa riskit ja varmistaa toiminnan jatkuvuus Toimintaan kohdistuvien riskien sekä niiden vaikutusten arviointi
  • Luonnonriskit ja katastrofit
  • Ihmisen aiheuttamat riskit (esim. terrorismi)
  • Kansanterveydelliset hätätilanteet
  • Hybridiuhat ja vieraan valtion toiminta
 9 kk sen jälkeen, kun toimija on saanut tiedon päätöksestä, jossa toimija nimetään kriittiseksi. Tämän jälkeen päivitys aina tarvittaessa.
Suunnitelma häiriönsieto-kyvyn varmistamiseksi Varmistaa, että organisaatiolla on prosessit ja resurssit häiriöiden hallintaan, liiketoiminnan jatkuvuuden turvaamiseen ja vaihtoehtoisten toimitusketjujen käyttöön Suunnitelma häiriönsietokyvyn varmistamiseksi ja sen ylläpito
  • Toimenpiteet poikkeamien syntymisen estämiseksi
  • Tilojen ja infrastruktuurin suojaaminen
  • Toimenpiteet häiriötilanteisiin vastaamiseksi
  • Palautuminen ja jatkuvuus
  • Henkilöstöturvallisuuden varmistaminen
  • Tiedottaminen henkilöstölle
  • Toteuttamisaikataulu
 12 kk riskiarvion valmistumisen jälkeen eli 21 kuukauden päästä tiedon saamisesta nimeämispäätöksestä. Tämän jälkeen päivitys aina tarvittaessa
Jatkuvuudenhallinta  Varmistaa, että organisaatio voi jatkaa toimintaansa kaikissa olosuhteissa Jatkuvuudenhallinta sekä häiriötilanteisiin vastaaminen ja palautuminen Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Yhteyspisteen nimeäminen Helpottaa tiedonkulkua ja koordinointia Yhteyshenkilön nimeäminen ja yhteystietojen ilmoittaminen viranomaisille Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Fyysisen infrastruktuurin suojaaminen Varmistaa fyysisten toimintatilojen turvallisuus Fyysisten tilojen riskien arviointi ja tarvittava suojaaminen
  • Aidat, portit ja muut rakenteelliset ratkaisut
  • Ilmaisulaitteet ja tekninen valvonta
  • Kulunvalvontajärjestelmät 
  • Muu fyysinen suojaaminen, esim. kameravalvonta, valaistus ja lukitukset
 Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Henkilöstön turvallisuus, koulutus ja tiedottaminen Hallita henkilöstöriskejä ja varmistaa henkilöstön osaaminen  Kriittisiä tehtäviä hoitavien henkilöiden luotettavuuden varmistaminen turvallisuusselvityksillä

Ohjeet häiriötilanteisiin, koulutukset ja harjoittelu		 Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Poikkeamien ilmoittaminen
 		 Mahdollistaa nopea reagointi Ilmoitus merkittävistä poikkeamista viranomaisille Ensi-ilmoitus 24 tunnin kuluessa tietoon tulosta ja yksityiskohtainen ilmoitus 1 kk tapahtumasta
Osallistuminen arviointeihin ja harjoituksiin Osallistua viranomaisten järjestämiin harjoituksiin ja arviointeihin Kehittää valmiuksia ja yhteistyötä Viranomaisten ohjeistuksen mukaan