Toimintamallit ja käytännön ohjeet
Muistilista kriittiselle toimijalle
Riskienarviointiprosessi
Esimerkki häiriönsietokyvyn varmistamiseksi tehtävän suunnitelman sisällysluettelosta
Kooste CER-lain mukaisen kriittisen toimijan velvoitteista
Lisätietoja
Muistilista kriittiselle toimijalle
- Riskiarviointi (9 kk päästä tiedon saamisesta nimeämispäätöksestä)
Tee kattava arvio toimintaan kohdistuvista uhista ja häiriöistä, mukaan lukien fyysiset, digitaaliset ja toimitusketjujen riskit. Huomioi arviossa luonnonriskit ja katastrofit, ihmisen aiheuttamat riskit, kansanterveydelliset hätätilanteet, hybridiuhat ja vieraan valtion toiminta.
- Häiriönsietokyvyn suunnitelma (21 kk päästä tiedon saamisesta nimeämispäätöksestä)
Laadi suunnitelma, joka sisältää varautumistoimenpiteet, häiriötilanteisiin reagoinnin, torjunnan ja lieventämisen sekä palautumisen. Voit myös päivittää olemassa olevaa valmiussuunnitelmaa vastaamaan CER-lain vaatimuksia.
- Toimenpiteet häiriötilanteisiin ja palautumiseen
Varmista, että organisaatiolla on prosessit ja resurssit häiriöiden hallintaan, liiketoiminnan jatkuvuuden turvaamiseen ja vaihtoehtoisten toimitusketjujen käyttöön. Liitä jatkuvuudenhallinta sekä häiriötilanteisiin vastaaminen ja palautuminen osaksi häiriönsietokyvyn suunnitelmaa.
- Yhteyspisteen nimeäminen
Määritä virallinen yhteyspiste, joka vastaa tiedonkulusta viranomaisten ja organisaation välillä. Ilmoita yhteyspisteen tai yhteyshenkilön tiedot viranomaisille.
- Fyysisen infrastruktuurin suojaaminen
Varmista fyysisten toimintatilojen turvallisuus arvioimalla fyysisten tilojen riskit ja lisäämällä suojausta arvioinnin perusteella. Suojausmenetelmiä ovat mm. aidat, portit ja muut rakenteelliset ratkaisut, ilmaisulaitteet ja tekninen valvonta, kulunvalvontajärjestelmät, kameravalvonta, valaistus ja lukitukset.
- Henkilöstön turvallisuus, koulutus ja tiedottaminen
Hallitse henkilöstöriskejä kriittisiä tehtäviä hoitavien henkilöiden turvallisuusselvityksillä. Varmista henkilöstön osaaminen riittävällä häiriötilanneohjeistuksella, koulutuksilla ja harjoittelulla.
- Poikkeamailmoitukset
Laadi ohjeistus poikkeamien seurantaan ja raportointiin. Ilmoita merkittävistä poikkeamista viranomaisille 24 tunnin kuluessa.
- Yhteistyö viranomaisten ja muiden toimijoiden kanssa
Osallistu koordinaatioon ja varmista tiedonkulku kriittisten kumppaneiden kanssa. Osallistuminen viranomaisten järjestämiin harjoituksiin ja arviointeihin.
- Dokumentointi ja päivitykset
Pidä suunnitelmat, yhteystiedot ja prosessit ajan tasalla ja dokumentoituna.
Riskienarviointiprosessi
- Määritä arvioinnin tavoitteet ja laajuus
Riskinarvioinnin tarkoituksena on tunnistaa ja arvioida uhkia, jotka voivat vaikuttaa kriittisten palvelujen jatkuvuuteen. Aloita määrittelemällä, mitä toimintoja, järjestelmiä ja toimitusketjuja arviointi kattaa. Käytä pohjana kansallista riskiarviota, alueellista riskiarviota sekä oman toimialasi arvioita.
- Listaa kriittiset palvelut ja riippuvuudet
Kirjaa ylös organisaatiosi tarjoamat kriittiset palvelut ja niihin liittyvät keskeiset resurssit, kuten henkilöstö, teknologia, toimitusketjut ja kumppanit. Huomioi myös ulkoiset riippuvuudet, kuten alihankkijat ja infrastruktuuri.
- Tunnista uhkat ja haavoittuvuudet
Tunnista uhkat, jotka voivat aiheuttaa häiriöitä ja vaikuttaa organisaatiosi toimivuuteen. Näitä voivat olla fyysiset uhkat (esim. tulipalo, sabotaasi), kyberuhkat (esim. tietomurrot), luonnonkatastrofit sekä hybridiuhat. Selvitä myös organisaatiosi kriittisten järjestelmien haavoittuvuudet.
- Arvioi riskien todennäköisyys ja vaikutus
Käytä systemaattista menetelmää, kuten riskimatriisia, arvioidaksesi kunkin uhan todennäköisyyttä ja vaikututusta kriittisiin palveluihin. Voit hyödyntää organisaatiossasi muussa riskien arvioinnissa käytettävää menetelmää tai listata riskit esimerkiksi asteikolla matala–korkea.
- Määritä riskienhallintatoimenpiteet
Suunnittele toimenpiteet riskien hallitsemiseksi ja pienentämiseksi. Näitä voivat olla tekniset ratkaisut (varajärjestelmät, kyberturva), organisatoriset toimet (koulutus, ohjeistus) ja sopimukselliset järjestelyt (varatoimittajat).
- Dokumentoi ja hyväksytä arviointi
Kirjaa arvioinnin tulokset selkeästi ja varmista, että ne hyväksytään organisaation johdossa. Vaikka riskit olisi arvioitu ja kirjattu erikseen, ne tulee dokumentoida osana häiriönsietokyvyn varmistamisen suunnitelmaa.
- Päivitä arviointi säännöllisesti
Riskinarviointi ei ole kertaluonteinen tehtävä. Päivitä se vähintään neljän vuoden välein tai aina merkittävien muutosten yhteydessä (esim. uusi teknologia, kumppani tai uhkakuva).
Esimerkki häiriönsietokyvyn varmistamiseksi tehtävän suunnitelman sisällysluettelosta
- Johdanto
- Suunnitelman tarkoitus ja soveltamisala
- Lainsäädännöllinen tausta (CER-laki ja direktiivi)
- Liitynnät muihin organisaation varautumis- ja turvallisuusohjeisiin
- Organisaation kuvaus
- Kriittiset palvelut ja toiminnot
- Keskeiset riippuvuudet ja toimitusketjut
- Riskinarviointi
- Menetelmät ja arviointiprosessi
- Tunnistetut riskit ja uhkakuvat (fyysiset, digitaaliset, hybridiuhat)
- Häiriönsietokyvyn hallintamalli
- Vastuut ja roolit
- Yhteyspiste ja viranomaisyhteistyö
- Varautumistoimenpiteet
- Fyysiset ja kyberturvallisuustoimet
- Sopimukset ja varajärjestelyt
- Häiriötilanteisiin reagointi
- Toimenpiteet poikkeamien seurauksiin vastaamiseksi, torjumiseksi ja lieventämiseksi
- Häiriönhallintaprosessi ja kriisiviestintä
- Palautuminen ja jatkuvuus
- Liiketoiminnan jatkuvuussuunnitelma
- Vaihtoehtoiset toimitusketjut ja palautumisaikataulut
- Poikkeamailmoitukset
- Ilmoitusmenettely viranomaisille
- Dokumentointi ja raportointi
- Henkilöstön tiedottaminen ja koulutus
- Tiedotuskanavat ja ohjeistus
- Harjoitukset ja osaamisen varmistaminen
- Suunnitelman ylläpito ja päivitys
- Tarkistusväli ja päivitysprosessi
- Auditoinnit ja testaukset
Kooste CER-lain mukaisen kriittisen toimijan velvoitteista
Taulukko 4. Kooste CER-lain mukaisen kriittisen toimijan velvoitteista
| Velvoite | Tavoite | Kuvaus | Aikataulu |
|---|---|---|---|
| Riskinarviointi | Tunnistaa riskit ja varmistaa toiminnan jatkuvuus | Toimintaan kohdistuvien riskien sekä niiden vaikutusten arviointi
|
9 kk sen jälkeen, kun toimija on saanut tiedon päätöksestä, jossa toimija nimetään kriittiseksi. Tämän jälkeen päivitys aina tarvittaessa. |
| Suunnitelma häiriönsieto-kyvyn varmistamiseksi | Varmistaa, että organisaatiolla on prosessit ja resurssit häiriöiden hallintaan, liiketoiminnan jatkuvuuden turvaamiseen ja vaihtoehtoisten toimitusketjujen käyttöön | Suunnitelma häiriönsietokyvyn varmistamiseksi ja sen ylläpito
|
12 kk riskiarvion valmistumisen jälkeen eli 21 kuukauden päästä tiedon saamisesta nimeämispäätöksestä. Tämän jälkeen päivitys aina tarvittaessa. |
| Jatkuvuuden-hallinta | Varmistaa, että organisaatio voi jatkaa toimintaansa kaikissa olosuhteissa | Jatkuvuudenhallinta sekä häiriötilanteisiin vastaaminen ja palautuminen | Osana häiriönsietokyvyn varmistamisen suunnitelmaa |
| Yhteyspisteen nimeäminen | Helpottaa tiedonkulkua ja koordinointia | Yhteyshenkilön nimeäminen ja yhteystietojen ilmoittaminen viranomaisille
|
Osana häiriönsietokyvyn varmistamisen suunnitelmaa |
| Fyysisen infrastruktuurin suojaaminen | Varmistaa fyysisten toimintatilojen turvallisuus | Fyysisten tilojen riskien arviointi ja tarvittava suojaaminen
|
Osana häiriönsietokyvyn varmistamisen suunnitelmaa |
| Henkilöstön turvallisuus, koulutus ja tiedottaminen | Hallita henkilöstöriskejä ja varmistaa henkilöstön osaaminen | Kriittisiä tehtäviä hoitavien henkilöiden luotettavuuden varmistaminen turvallisuusselvityksillä Ohjeet häiriötilanteisiin, koulutukset ja harjoittelu | Osana häiriönsietokyvyn varmistamisen suunnitelmaa |
| Poikkeamien ilmoittaminen | Mahdollistaa nopea reagointi | Ilmoitus merkittävistä poikkeamista viranomaisille | Ensi-ilmoitus 24 tunnin kuluessa tietoon tulosta ja yksityiskohtainen ilmoitus 1 kk tapahtumasta |
| Osallistuminen arviointeihin ja harjoituksiin | Osallistua viranomaisten järjestämiin harjoituksiin ja arviointeihin | Kehittää valmiuksia ja yhteistyötä | Viranomaisten ohjeistuksen mukaan |
Lisätietoja
- Sisäministeriön sivut CER-laista Kriittisen infrastruktuurin suojaaminen - Sisäministeriö.
- Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025)
- Laki huoltovarmuuden turvaamisesta ja Huoltovarmuuskeskuksesta (107/2026)
- CER-direktiivi (EU) 2022/2557
- Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi (HE 205/2024 vp)
- Hallituksen esitys eduskunnalle laeiksi huoltovarmuuden turvaamisesta ja Huoltovarmuuskeskuksesta sekä turvavarastolain muuttamisesta (HE 145/2025)
- NIS 2 -direktiivi (EU) 2022/2555
- Kyberturvallisuuslaki (124/2025)
- Valmiuslaki (1552/2011)
- Laki viranomaisten toiminnan julkisuudesta (621/1999)
- Tietosuojalaki (1050/2018)
- Laki kyberturvallisuuslain muuttamisesta (369/2025)
- NIS 2-direktiivin mukainen poikkeamailmoitus