CER-lain mukaisten velvoitteiden valvonta

CER-laki koskee yhteiskunnan kannalta keskeisten palveluiden ja kriittisen infrastruktuurin häiriönsietokykyä. Sen avulla täytetään EU:n CER-direktiivin edellyttämät velvoitteet, jotka liittyvät kriittisten toimijoiden riskienhallintaan, varautumiseen ja poikkeamista ilmoittamiseen.

CER-laki tuli voimaan 1.7.2025.
Lue laista tarkemmin sisäministeriön verkkosivuilta.

CER-direktiivi (engl. Critical Entities Resilience Directive) on EU-direktiivi, joka koskee kriittisten toimijoiden häiriönsietokykyä. Sen tavoitteena on turvata yhteiskunnan kannalta keskeisten palveluiden toiminta myös häiriötilanteissa. Direktiivin taustalla on Euroopan muuttunut turvallisuus- ja toimintaympäristö. Valvira ja aluehallintovirastot valvovat kansallisesti CER-lain mukaisten velvoitteiden noudattamista sosiaali- ja terveydenhuollossa. Valvontatehtävät siirtyvät 1.1.2026 Lupa- ja valvontavirastolle.

Myös Fimealla on CER-lain mukaisia valvontatehtäviä omalla toimialallaan.

Kriittiseksi nimetty toimija

CER-lakia sovelletaan sosiaali- ja terveydenhuollon toimijoihin, jotka sosiaali- ja terveysministeriö on nimennyt kriittisiksi. Päätös kriittisistä toimijoista on tehtävä ensimmäisen kerran 17.7.2026 mennessä ja on voimassa enintään neljä vuotta.

Toimija voidaan nimetä kriittiseksi, jos:

se tuottaa yhteiskunnan toimintakyvyn kannalta yhtä tai useampaa keskeistä palvelua
sen toiminta ja kriittinen infrastruktuuri sijaitsevat Suomessa
poikkeamalla olisi merkittävä vaikutus palvelun tai siihen liittyvien muiden palvelujen toimintaan.

Jos organisaatio on nimetty CER-lain mukaiseksi kriittiseksi toimijaksi, se katsotaan automaattisesti myös kyberturvallisuuslain mukaiseksi keskeiseksi toimijaksi. Tämä tarkoittaa, että organisaatiota koskevat myös kyberturvallisuuslain velvoitteet. Lue lisää kyberturvallisuuslaista.

Poikkeamailmoitusmenettely

Kriittisen toimijan on ilmoitettava viipymättä merkittävästä poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista. Ilmoitukset toimitetaan asianomaiselle valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle.

Kriittinen toimija ilmoittaa merkittävästä poikkeamasta sähköisessä ilmoituskanavassa. Ensi-ilmoitus on tehtävä 24 tunnin kuluttua siitä, kun poikkeama on todettu. Asianomainen valvova viranomainen ilmoittaa kriittiselle toimijalle poikkeamailmoituksen vastaanottamisesta ja mahdollisista tukitoimista.

Lainsäädäntö

Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025)

Katso myös

Lisätietoa CER-laista sisäministeriön verkkosivuilta

Ota yhteyttä

Reijo Jormanainen

juristi

[email protected]

0295 209 320