CER-lain asettamat velvoitteet sekä vaatimuksenmukaisuuden arviointityökalu
Vuonna 2023 julkaistu CER-direktiivi (Critical Entities Resilience), eli kriittisten toimijoiden häiriönsietokykyä koskeva direktiivi (EU) 2022/2557 muodostaa keskeisen osan Euroopan unionin sääntelyä.
CER-direktiivin tavoitteena on vahvistaa yhteiskunnan toiminnan kannalta välttämättömien palvelujen jatkuvuutta, varautumista ja kykyä selviytyä häiriötilanteista. Direktiivin tarkoituksena on varmistaa, että kriittiset palvelut pysyvät toimintakykyisinä myös tilanteissa, joissa yhteiskuntaa kuormittavat laajat häiriöt, turvallisuusympäristön muutokset ja hybridivaikuttaminen.
Suomessa CER-direktiivi on pantu täytäntöön kansallisella lailla yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025), joka astui voimaan 1.7.2025. Laki asettaa nimetyille kriittisille toimijoille velvoitteen:
- Toteuttaa riskiarviointi
- Toteuttaa häiriönsietokykyä edistävät toimet ja laatia niitä tukevat suunnitelmat
- Ilmoittaa poikkeamista
Laki velvoittaa kriittiset toimijat tunnistamaan toimintaansa kohdistuvat uhat ja haavoittuvuudet sekä laatimaan riskiarvion. Riskiarvioon perustuen toimijoiden tulee toteuttaa häiriönsietokykyä edistävät toimet ja laatia niitä tukevat suunnitelmat. Toimijoita koskee lisäksi ilmoitusvelvollisuus tapahtumista tai häiriöistä, jotka ovat olennaisesti haitanneet tai voivat haitata keskeisten palvelujen tarjoamista.
Lakia sovelletaan toimijoihin, jotka on määritelty kriittisiksi niiden tarjoamien palvelujen yhteiskunnallisen merkityksen perusteella. Kriittiseksi toimijaksi voidaan nimetä julkinen tai yksityinen organisaatio, joka toimii jollakin lain soveltamisalaan kuuluvista yhdestätoista toimialasta:
Näiden toimialojen toimivuus on elintärkeää, sillä niiden toiminnan keskeytyminen tai häiriintyminen voi aiheuttaa merkittäviä vaikutuksia väestön hyvinvointiin, yhteiskunnan turvallisuuteen ja elinkeinoelämän toimintaedellytyksiin. Toimialakohtaiset ministeriöt vastaavat kriittisten toimijoiden tunnistamisesta ja nimeämisestä 17.7.2026 mennessä.
Seclion on julkaissut kriittisen toimijoiden tueksi ilmaisen työkalun, jonka avulla toimijat voivat arvioida nykyistä valmiuttaan suhteessa lainsäädännön asettamiin velvoitteisiin, sekä tunnistaa siinä olevat kehityskohdat. Tämä mahdollistaa toiminnan kehittämisen siten, että se vastaa lainsäädännön velvoitteita ja samalla edistää toiminnan jatkuvuutta ja resilienssiä, eli häiriönsietokykyä.
Voit tutustua tarkemmin aiheeseen opinnäytetyössä ”Lakiin 310/2025 perustuva työkalu kriittisen toimijan CER-valmiuden itsearviointiin sekä toteutusta tukevat standardit ja opas”, joka on ladattavissa osoitteesta: https://urn.fi/URN:NBN:fi:amk-2026060321175. Opinnäytetyössä käsitellään lainsäädännön lisäksi parhaiten soveltuvat standardit velvoitteiden täyttämiseksi ja opas, joka tukee fyysisen suojauksen toteutusta.
Seclionilla on yli kymmenen vuoden kokemus onnistuneiden turvallisuushankkeiden läpiviemisestä. Erikoisosaamistamme ovat tekninen ja toiminnallinen turvasuunnittelu, erilaiset turvallisuuden nykytilakartoitukset ja riskien arvioinnit, sekä vaativa turvallisuuden hankintakonsultointi. Osana turvallisuuden kehityspalveluita tarjoamme asiakkaillemme myös tilaturvallisuuden testauspalveluita.
Ota reilusti yhteyttä ja varaa luottamuksellinen sekä maksuton tapaaminen asiantuntijamme kanssa, niin keskustellaan miten voimme kokemuksemme kautta tuottaa lisäarvoa myös sinun organisaatiollesi!
