Toimintamallit ja käytännön ohjeet

Muistilista kriittiselle toimijalle
Riskienarviointiprosessi
Esimerkki häiriönsietokyvyn varmistamiseksi tehtävän suunnitelman sisällysluettelosta
Poikkeamailmoitusten esimerkkipohjat
Kooste CER-lain mukaisen kriittisen toimijan velvoitteista

Muistilista kriittiselle toimijalle

  1. Riskiarviointi (9 kk päästä tiedon saamisesta nimeämispäätöksestä)
    Tee kattava arvio toimintaan kohdistuvista uhista ja häiriöistä, mukaan lukien fyysiset, digitaaliset ja toimitusketjujen riskit. Huomioi arviossa luonnonriskit ja katastrofit, ihmisen aiheuttamat riskit, kansanterveydelliset hätätilanteet, hybridiuhat ja vieraan valtion toiminta.
     
  2. Häiriönsietokyvyn suunnitelma (21 kk päästä tiedon saamisesta nimeämispäätöksestä)
    Laadi suunnitelma, joka sisältää varautumistoimenpiteet, häiriötilanteisiin reagoinnin, torjunnan ja lieventämisen sekä palautumisen. Voit myös päivittää olemassa olevaa valmiussuunnitelmaa vastaamaan CER-lain vaatimuksia.
     
  3. Toimenpiteet häiriötilanteisiin ja palautumiseen
    Varmista, että organisaatiolla on prosessit ja resurssit häiriöiden hallintaan, liiketoiminnan jatkuvuuden turvaamiseen ja vaihtoehtoisten toimitusketjujen käyttöön. Liitä jatkuvuudenhallinta sekä häiriötilanteisiin vastaaminen ja palautuminen osaksi häiriönsietokyvyn suunnitelmaa.
     
  4. Yhteyspisteen nimeäminen
    Määritä virallinen yhteyspiste, joka vastaa tiedonkulusta viranomaisten ja organisaation välillä. Ilmoita yhteyspisteen tai yhteyshenkilön tiedot viranomaisille.
     
  5. Fyysisen infrastruktuurin suojaaminen
    Varmista fyysisten toimintatilojen turvallisuus arvioimalla fyysisten tilojen riskit ja lisäämällä suojausta arvioinnin perusteella. Suojausmenetelmiä ovat mm. aidat, portit ja muut rakenteelliset ratkaisut, ilmaisulaitteet ja tekninen valvonta, kulunvalvontajärjestelmät, kameravalvonta, valaistus ja lukitukset.
     
  6. Henkilöstön turvallisuus, koulutus ja tiedottaminen 
    Hallitse henkilöstöriskejä kriittisiä tehtäviä hoitavien henkilöiden turvallisuusselvityksillä. Varmista henkilöstön osaaminen riittävällä häiriötilanneohjeistuksella, koulutuksilla ja harjoittelulla.
     
  7. Poikkeamailmoitukset
    Laadi ohjeistus poikkeamien seurantaan ja raportointiin. Ilmoita merkittävistä poikkeamista viranomaisille 24 tunnin kuluessa.
     
  8. Yhteistyö viranomaisten ja muiden toimijoiden kanssa
    Osallistu koordinaatioon ja varmista tiedonkulku kriittisten kumppaneiden kanssa. Osallistuminen viranomaisten järjestämiin harjoituksiin ja arviointeihin.
     
  9. Dokumentointi ja päivitykset
    Pidä suunnitelmat, yhteystiedot ja prosessit ajan tasalla ja dokumentoituna.

Riskienarviointiprosessi

  1. Määritä arvioinnin tavoitteet ja laajuus
    Riskinarvioinnin tarkoituksena on tunnistaa ja arvioida uhkia, jotka voivat vaikuttaa kriittisten palvelujen jatkuvuuteen. Aloita määrittelemällä, mitä toimintoja, järjestelmiä ja toimitusketjuja arviointi kattaa. Käytä pohjana kansallista riskiarviota, alueellista riskiarviota sekä oman toimialasi arvioita.
     
  2. Listaa kriittiset palvelut ja riippuvuudet 
    Kirjaa ylös organisaatiosi tarjoamat kriittiset palvelut ja niihin liittyvät keskeiset resurssit, kuten henkilöstö, teknologia, toimitusketjut ja kumppanit. Huomioi myös ulkoiset riippuvuudet, kuten alihankkijat ja infrastruktuuri.
     
  3. Tunnista uhkat ja haavoittuvuudet 
    Tunnista uhkat, jotka voivat aiheuttaa häiriöitä ja vaikuttaa organisaatiosi toimivuuteen. Näitä voivat olla fyysiset uhkat (esim. tulipalo, sabotaasi), kyberuhkat (esim. tietomurrot), luonnonkatastrofit sekä hybridiuhat. Selvitä myös organisaatiosi kriittisten järjestelmien haavoittuvuudet.
     
  4. Arvioi riskien todennäköisyys ja vaikutus
    Käytä systemaattista menetelmää, kuten riskimatriisia, arvioidaksesi kunkin uhan todennäköisyyttä ja vaikututusta kriittisiin palveluihin. Voit hyödyntää organisaatiossasi muussa riskien arvioinnissa käytettävää menetelmää tai listata riskit esimerkiksi asteikolla matala–korkea.
     
  5. Määritä riskienhallintatoimenpiteet
    Suunnittele toimenpiteet riskien hallitsemiseksi ja pienentämiseksi. Näitä voivat olla tekniset ratkaisut (varajärjestelmät, kyberturva), organisatoriset toimet (koulutus, ohjeistus) ja sopimukselliset järjestelyt (varatoimittajat).
     
  6. Dokumentoi ja hyväksytä arviointi
    Kirjaa arvioinnin tulokset selkeästi ja varmista, että ne hyväksytään organisaation johdossa. Vaikka riskit olisi arvioitu ja kirjattu erikseen, ne tulee dokumentoida osana häiriönsietokyvyn varmistamisen suunnitelmaa.
     
  7. Päivitä arviointi säännöllisesti
    Riskinarviointi ei ole kertaluonteinen tehtävä. Päivitä se vähintään neljän vuoden välein tai aina merkittävien muutosten yhteydessä (esim. uusi teknologia, kumppani tai uhkakuva).

Esimerkki häiriönsietokyvyn varmistamiseksi tehtävän suunnitelman sisällysluettelosta

  1. Johdanto
    - Suunnitelman tarkoitus ja soveltamisala
    - Lainsäädännöllinen tausta (CER-laki ja direktiivi)
    - Liitynnät muihin organisaation varautumis- ja turvallisuusohjeisiin
     
  2. Organisaation kuvaus
    Kriittiset palvelut ja toiminnot
    - Keskeiset riippuvuudet ja toimitusketjut
     
  3. Riskinarviointi
    Menetelmät ja arviointiprosessi
    - Tunnistetut riskit ja uhkakuvat (fyysiset, digitaaliset, hybridiuhat)
     
  4. Häiriönsietokyvyn hallintamalli
    - Vastuut ja roolit
    - Yhteyspiste ja viranomaisyhteistyö
     
  5. Varautumistoimenpiteet
    Fyysiset ja kyberturvallisuustoimet
    - Sopimukset ja varajärjestelyt
     
  6. Häiriötilanteisiin reagointi
    Toimenpiteet poikkeamien seurauksiin vastaamiseksi, torjumiseksi ja lieventämiseksi
    - Häiriönhallintaprosessi ja kriisiviestintä
     
  7. Palautuminen ja jatkuvuus
    Liiketoiminnan jatkuvuussuunnitelma 
    - Vaihtoehtoiset toimitusketjut ja palautumisaikataulut
     
  8. Poikkeamailmoitukset
    Ilmoitusmenettely viranomaisille
    - Dokumentointi ja raportointi
     
  9. Henkilöstön tiedottaminen ja koulutus
    - Tiedotuskanavat ja ohjeistus
    - Harjoitukset ja osaamisen varmistaminen
     
  10. Suunnitelman ylläpito ja päivitys
    Tarkistusväli ja päivitysprosessi
    - Auditoinnit ja testaukset

Poikkeamailmoitusten esimerkkipohjat

Ensi-ilmoitus (välittömästi)

  1. Tieto poikkeaman havaitsemisesta ja sen luonteesta.
  2. Arvio mahdollisesta aiheuttajasta tai syystä.
  3. Arvio mahdollisista seurauksista ja arvio keskeisen palvelun käyttäjien lukumäärästä tai osuudesta, johon häiriö vaikuttaa.
  4. Tieto, joka on tarpeen poikkeaman mahdollisten rajat ylittävien vaikutusten määrittämiseksi.

Yksityiskohtainen raportti (1 kk tapahtumasta)

  1. Poikkeaman kuvaus
    Milloin poikkeama tapahtui: Päivämäärä ja kellonaika
    Missä poikkeama tapahtui: Tapahtumapaikka
    Mitä poikkeamatilanteessa tapahtui: Tarkka kuvaus tapahtuneesta
    Kuinka laaja poikkeaman vaikutus oli: Kuvaus tapahtuman laajuudesta
     
  2. Poikkeaman syy tai uhka
    Mikä aiheutti poikkeaman: Arvio poikkeaman selvitetystä tai todennäköisestä aiheuttajasta (esim. tekninen vika, kyberhyökkäys, inhimillinen virhe)
    Minkälainen uhka tilanteessa syntyi: Mitä seurauksia tilanteella oli tai mitä olisi voinut tapahtua
     
  3. Toimenpiteet vaikutusten lieventämiseksi
    Mitä toimenpiteitä on toteutettu: Kuvaus toteutetuista toimenpiteistä
    Mitä toimenpiteitä on meneillään tai suunniteltu: Kuvaus meneillään olevista ja suunnitelluista toteutetuista toimenpiteistä
     
  4. Mahdolliset rajat ylittävät vaikutukset
    Oliko poikkeamalla rajat ylittäviä vaikutuksia: Kyllä, kuvaus / Ei
    Muut oleelliset tiedot tapahtumasta    

Kooste CER-lain mukaisen kriittisen toimijan velvoitteista 

Taulukko 4. Kooste CER-lain mukaisen kriittisen toimijan velvoitteista

Velvoite Tavoite Kuvaus Aikataulu
Riskinarviointi Tunnistaa riskit ja varmistaa toiminnan jatkuvuus Toimintaan kohdistuvien riskien sekä niiden vaikutusten arviointi
  • Luonnonriskit ja katastrofit
  • Ihmisen aiheuttamat riskit (esim. terrorismi)
  • Kansanterveydelliset hätätilanteet
  • Hybridiuhat ja vieraan valtion toiminta
 9 kk sen jälkeen, kun toimija on saanut tiedon päätöksestä, jossa toimija nimetään kriittiseksi. Tämän jälkeen päivitys aina tarvittaessa.
Suunnitelma häiriönsieto-kyvyn varmistamiseksi Varmistaa, että organisaatiolla on prosessit ja resurssit häiriöiden hallintaan, liiketoiminnan jatkuvuuden turvaamiseen ja vaihtoehtoisten toimitusketjujen käyttöön Suunnitelma häiriönsietokyvyn varmistamiseksi ja sen ylläpito
  • Toimenpiteet poikkeamien syntymisen estämiseksi
  • Tilojen ja infrastruktuurin suojaaminen
  • Toimenpiteet häiriötilanteisiin vastaamiseksi
  • Palautuminen ja jatkuvuus
  • Henkilöstöturvallisuuden varmistaminen
  • Tiedottaminen henkilöstölle
  • Toteuttamisaikataulu
 12 kk riskiarvion valmistumisen jälkeen eli 21 kuukauden päästä tiedon saamisesta nimeämispäätöksestä. Tämän jälkeen päivitys aina tarvittaessa.
Jatkuvuuden-hallinta  Varmistaa, että organisaatio voi jatkaa toimintaansa kaikissa olosuhteissa Jatkuvuudenhallinta sekä häiriötilanteisiin vastaaminen ja palautuminen Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Yhteyspisteen nimeäminen     Helpottaa tiedonkulkua ja koordinointia Yhteyshenkilön nimeäminen ja yhteystietojen ilmoittaminen viranomaisille
Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Fyysisen infrastruktuurin suojaaminen Varmistaa fyysisten toimintatilojen turvallisuus Fyysisten tilojen riskien arviointi ja tarvittava suojaaminen
  • Aidat, portit ja muut rakenteelliset ratkaisut
  • Ilmaisulaitteet ja tekninen valvonta
  • Kulunvalvontajärjestelmät 
  • Muu fyysinen suojaaminen, esim. kameravalvonta, valaistus ja lukitukset
 Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Henkilöstön turvallisuus, koulutus ja tiedottaminen Hallita henkilöstöriskejä ja varmistaa henkilöstön osaaminen  Kriittisiä tehtäviä hoitavien henkilöiden luotettavuuden varmistaminen turvallisuusselvityksillä Ohjeet häiriötilanteisiin, koulutukset ja harjoittelu Osana häiriönsietokyvyn varmistamisen suunnitelmaa
Poikkeamien ilmoittaminen Mahdollistaa nopea reagointi Ilmoitus merkittävistä poikkeamista viranomaisille Ensi-ilmoitus 24 tunnin kuluessa tietoon tulosta ja yksityiskohtainen ilmoitus 1 kk tapahtumasta
Osallistuminen arviointeihin ja harjoituksiin Osallistua viranomaisten järjestämiin harjoituksiin ja arviointeihin Kehittää valmiuksia ja yhteistyötä Viranomaisten ohjeistuksen mukaan