Den allmänna lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft innehåller allmänna bestämmelser och principer. Till dessa hör bland annat kriterierna för identifiering av kritisk aktör och skyldigheterna för kritiska aktörer. Dessutom innehåller lagen bestämmelser om den allmänna styrningen och samordningen av verksamheten.

Målen med CER-lagen hänför sig till att förbättra åtgärderna för motståndskraft, och åtgärderna fokuserar på inledningsfasen för att förebygga incidenter eller lindra konsekvenserna av incidenter.

Genom lagen införs kraven enligt EU:s CER-direktiv i den nationella lagstiftningen. Av medlemsstaterna förutsätts bland annat en riksomfattande plan och riskbedömning, ett förfarande för anmälan av incidenter och en nationell kontaktpunkt för gränsöverskridande samarbete.

Målet med CER-direktivet (Critical Entities Resilience) är att förbättra motståndskraften och funktionssäkerheten hos kritiska tjänster. Direktivet förenhetligar identifieringen av kritiska aktörer och förfarandena gällande motståndskraften inom EU och skapar tydliga förfaranden i samarbetet mellan medlemsstaterna. Direktivet trädde i kraft 2023.

Inrikesministeriet bereder en riksomfattande plan (CER-strategi), som är en central del av verkställigheten av CER-lagen. Avsikten är att statsrådet ska godkänna planen i januari.  Den riksomfattande planen inkluderar en beskrivning av vilka åtgärder som behövs för att förbättra kritiska aktörers allmänna motståndskraft samt en beskrivning av den kritiska infrastrukturen och den nationella riskbedömningen.

Det ansvariga ministeriet för respektive sektor fastställer de kritiska aktörerna per sektor. Vid fastställandet beaktas den riksomfattande planen och den nationella riskbedömningen samt den tjänst som aktören tillhandahåller och som är central med tanke på samhällets funktionsförmåga. 

Bestämmelser om identifiering av kritiska aktörer finns i kap. 3 i CER-lagen.

Ministerierna ska fatta beslut om de kritiska aktörerna för första gången senast 17 juni 2026.

Lagstiftningen omfattar följande elva sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel.

Skyldigheterna i lagen gäller de aktörer som av det ansvariga ministeriet för sektorn identifieras som kritiska aktörer.

De kritiska aktörerna ska bedöma riskerna, upprätta en plan för motståndskraften och vidta nödvändiga åtgärder. Av aktörerna förutsätts anmälan om varje incident som medför eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster.

Kritiska aktörer ska göra en riskbedömning inom nio månader från det att aktören har identifierats som kritisk aktör. Planen för motståndskraften ska utarbetas inom ett år från det att den egna riskbedömningen har utarbetats.

En kritisk aktör ska utan dröjsmål lämna in en anmälan till tillsynsmyndigheten och statsrådets lägescentral om varje incident som medför eller kan medföra en betydande störning i tillhandahållandet av samhällsviktiga tjänster. De som har identifierats som kritiska aktörer får anvisningar om anmälningsförfarandet. Vid planerade avbrott i en aktörs verksamhet kan det vara ändamålsenligt att informera tillsynsmyndigheten och andra relevanta parter.

Vid anmälan om incidenter är det inte fråga om ett larm, som görs i brådskande nödsituationer om det finns ett behov av omedelbara åtgärder från räddningsväsendet, polisen, social- och hälsovårdsväsendet eller Gränsbevakningsväsendet. Skedda eller misstänkta brott kan aktörerna anmäla direkt till polisen, precis som för närvarande.

Tillsynsmyndigheten övervakar iakttagandet av de skyldigheter som med stöd av denna lag har föreskrivits och fastställts för kritiska aktörer. Tillsynsmyndigheter är Energimyndigheten, Närings-, trafik- och miljöcentralen i Södra Savolax, Transport- och kommunikationsverket (Traficom), Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea), Livsmedelsverket, Säkerhets- och kemikalieverket (Tukes) samt Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) och regionförvaltningsverken.

Vid justitieministeriet bereddes följande författningar som en del av verkställigheten av direktivet: lagen om ändring av 19 § i säkerhetsutredningslagen, lagen om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen, lagen om ändring av 4 a och 5 § i straffregisterlagen, lagen om ändring av lagen om sjöfartskydd på vissa fartyg och i hamnar som betjänar dem och om tillsyn över skyddet (lagen om sjöfartsskydd), lagen om ändring av 6 § i lagen om tillämpning av bestämmelserna om utlämning för brott och utbyte av straffregisteruppgifter i handels- och samarbetsavtalet mellan Europeiska unionen och Förenade kungariket samt lagen om ändring av 1 § i lagen om verkställighet av böter.

Bestämmelser om de kritiska aktörernas skyldigheter att hantera risker som rör cybersäkerheten finns i cybersäkerhetslagen, som kommunikationsministeriet ansvarar för.

Genom ändringarna av lagen om sjöfartsskydd säkerställs sjöfartsskyddet i hamnarna. En hamninnehavare i en hamn för utrikesfart ska säkerställa att endast den som kan anses vara oförvitlig och tillförlitlig har tillgång till sådana uppgifter och informationssystem som är kritiska med tanke på hamnens säkerhet. I detta syfte ska hamninnehavaren ansöka om säkerhetsutredning.