Kriittisen infrastruktuurin suojaamista ja kriisinkestävyyttä koskeva laki

Yhteiskunnan kriittisen infrastruktuurin suojaamista ja häiriönsietokyvyn parantamista koskeva laki (ns. CER-laki) tuli voimaan 1.7.2025. Laki asettaa velvoitteita elintärkeitä palveluja tuottaville yrityksille ja muille toimijoille, jotka määritetään kriittisiksi toimijoiksi direktiivin asettamassa aikataulussa.

Kriittisen toimijan keskeiset velvoitteet liittyvät riskiarviointiin, häiriönsietokykyä koskevaan suunnitelmaan ja toimenpiteisiin häiriönsietokyvyn varmistamiseksi. Lisäksi on ilmoitettava poikkeamista, jotka voivat häiritä keskeisten palvelujen tarjoamista.

Venäjän hyökkäyssota Ukrainaan ja muuttunut turvallisuusympäristö ovat lisänneet entisestään tarvetta suojata kriittistä infrastruktuuria ja vahvistaa sen häiriönsietokykyä. Lain tavoite on vahvistaa yhteiskunnan kriisinkestävyyttä ja kansallista turvallisuutta.

Vastauksia kysymyksiin CER-laista.

Valtakunnallinen suunnitelma ohjaa toimintaa

Sisäministeriö vastaa toiminnan yleisestä yhteensovittamisesta, ohjauksesta ja kehittämisestä. Vastuuministeriöt toteuttavat lain edellyttämiä tehtäviä toimialallaan.

Toimintaa ohjaa valtakunnallinen suunnitelma, jonka valtioneuvoston on määrä hyväksyä tammikuussa 2026. Samanaikaisesti uudistetaan kansallinen riskiarvio vastaamaan lain vaatimuksia. Valtakunnallinen suunnitelma ja riskiarvio ovat keskeinen osa lain toimeenpanoa.

Lainsäädäntö koskee yhtätoista toimialaa: energia, liikenne, pankkiala, rahoitusmarkkinoiden infrastruktuuri, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu. Toimialan vastuuministeriöt tunnistavat ja määrittävät sektorinsa kriittiset toimijat 17.7.2026 mennessä.

EU-direktiivi kansallisen lainsäädännön taustalla

Kansallisen lainsäädännön taustalla on niin sanottu CER-direktiivi (Critical Entities Resilience Directive). Euroopan parlamentin ja neuvoston antama CER-direktiivi kriittisten toimijoiden häiriönsietokyvystä tuli voimaan 2023.

Direktiivi edellyttää, että EU-maiden tulee yhdenmukaisin menettelyin määrittää ja tunnistaa yhteiskunnan toimintakyvyn kannalta kriittiset toimijat ja parantaa niiden kriisinsietokykyä. Näin parannetaan myös EU:n ja sen jäsenmaiden varautumista laaja-alaiseen vaikuttamiseen, kuten hybridiuhkiin.