Yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annettu yleislaki sisältää yleiset säännökset ja periaatteet. Näitä ovat muun muassa kriittisen toimijan määrittämisen kriteerit ja velvoitteet kriittisille toimijoille. Lisäksi laissa säädetään toiminnan yleisestä ohjauksesta ja yhteensovittamisesta.

CER-lain tavoitteet liittyvät kriittisten toimijoiden kriisinkestävyystoimien parantamiseen ja toimenpiteet ovat etupainotteisia tapahtumien estämiseksi tai tapahtumien seurausten lieventämiseksi.

Lailla tuotiin kansalliseen lainsäädäntöön EU:n CER-direktiivin vaatimukset. Jäsenvaltioilta edellytetään muun muassa valtakunnallista suunnitelmaa ja riskiarviointia, menettelyä poikkeamien ilmoittamiselle ja kansallista yhteyspistettä rajat ylittävään yhteistyöhön.

CER-direktiivin (Critical Entities Resilience) tavoite on parantaa EU:n kriittisten palveluiden häiriönsietokykyä ja toimintavarmuutta. Direktiivi yhdenmukaistaa kriittisten toimijoiden tunnistamista ja häiriönsietokykyä koskevat menettelyt EU:ssa sekä luo selkeät menettelyt jäsenvaltioiden väliseen yhteistyöhön. Direktiivi tuli voimaan vuonna 2023.

Sisäministeriö valmistelee valtakunnallisen suunnitelman (CER-strategia), joka on keskeinen osa CER-lain toimeenpanoa. Valtioneuvoston on määrä hyväksyä suunnitelma tammikuussa.  Valtakunnallinen suunnitelma sisältää kuvauksen kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseen tarvittavista toimenpiteistä, kuvauksen kriittisestä infrastruktuurista ja kansallisesta riskiarviosta.

Kunkin toimialan vastuuministeriö määrittää kriittiset toimijat sektorikohtaisesti. Määrittämisessä otetaan huomioon valtakunnallinen suunnitelma ja kansallinen riskiarvio sekä toimijan tarjoama yhteiskunnan toimintakyvyn kannalta keskeinen palvelu. 

Kriittisen toimijoiden määrittämisestä ja toimijoita koskevista yleisistä vaatimuksista säädetään CER-lain 3 luvussa.

Ministeriön päätös kriittisistä toimijoista tulee tehdä ensimmäisen kerran 17.7.2026 mennessä.

Lainsäädäntö koskee yhtätoista toimialaa: energia, liikenne, pankkiala, rahoitusmarkkinoiden infrastruktuuri, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu. Lain velvoitteet koskevat toimijoita, jotka toimialasta vastaava ministeriö määrittää sektorilla kriittisiksi toimijoiksi.

Kriittisen toimijan on arvioitava riskit, laadittava häiriönsietokykyä koskeva suunnitelma ja toteutettava tarvittavat toimenpiteet. Lisäksi toimijalta edellytetään ilmoitusta merkittävistä poikkeamista, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista.
Kriittisen toimijan on tehtävä riskiarviointi yhdeksän kuukauden kuluessa siitä, kun toimija on määritetty kriittiseksi toimijaksi. Häiriönsietokykyä koskeva suunnitelma on laadittava vuoden sisällä oman riskiarvioinnin laatimisesta.

Kriittisen toimijan on ilmoitettava viipymättä valvovalle viranomaiselle ja valtioneuvoston tilannekeskukselle poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista. Ilmoittamisen menettelystä ohjeistetaan kriittisiksi määriteltyjä toimijoita.
Toimijan toiminnan suunnitellusta katkoksesta voi olla tarkoituksenmukaista informoida valvovaa viranomaista ja muita relevantteja tahoja.

Poikkeamia koskevassa ilmoituksessa kyse ei ole kyse hätäilmoituksesta, joka tehdään kiireellisessä hätätilanteessa, jos on tarve pelastustoimen, poliisin, sosiaali- ja terveystoimen tai Rajavartiolaitoksen välittömiin toimenpiteisiin. Tapahtuneista tai epäillyistä rikoksista kriittiset toimijat voivat ilmoittaa suoraan poliisille kuten nykyisinkin.

Valvova viranomainen valvoo kriittiselle toimijalle tämän lain nojalla säädettyjen ja määrättyjen velvoitteiden noudattamista. Valvovia viranomaisia ovat Energiavirasto, Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus, Liikenne- ja viestintävirasto (Traficom), Lääkealan turvallisuus- ja kehittämiskeskus (Fimea), Ruokavirasto ja Turvallisuus- ja kemikaalivirasto (Tukes) sekä sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ja aluehallintovirastot.

Oikeusministeriössä valmisteltiin osana direktiivin täytäntöönpanoa seuraavat säännökset: laki turvallisuusselvityslain 19 §:n muuttamisesta, laki rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain muuttamisesta, laki rikosrekisterilain 4 a ja 5 §:n muuttamisesta, laki eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta (turvatoimilaki), laki Euroopan unionin ja Yhdistyneen kuningaskunnan välisen kauppa- ja yhteistyösopimuksen rikoksen johdosta tapahtuvaa luovuttamista ja rikosrekisteritietojen vaihtamista koskevien määräysten soveltamisesta annetun lain 6 §:n muuttamisesta ja laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta.

Kriittisen toimijan velvollisuudesta hallita kyberturvallisuuteen liittyviä riskejä säädetään puolestaan kyberturvallisuuslaissa, josta vastaa liikenne- ja viestintäministeriö.

Turvatoimilain muutoksilla vahvistetaan satamien turvatoimia. Ulkomaanliikenteen sataman satamanpitäjän on varmistettava, että sataman turvallisuuden kannalta kriittisiin tietoihin ja tietojärjestelmiin on pääsy vain henkilöllä, jota voidaan pitää nuhteettomana ja luotettavana. Tässä tarkoituksessa satamanpitäjän on haettava turvallisuusselvitystä.