Tillsyn över skyldigheterna enligt CER-lagen

CER-lagen gäller motståndskraften hos samhällets viktiga tjänster och kritiska infrastruktur. Genom den uppfylls de skyldigheter som fastställs i EU:s CER-direktiv, och som är förknippade med riskhantering, beredskap och avvikelseanmälningar för kritiska aktörer.

CER-lagen trädde i kraft 1.7.2025.
Läs mer om lagen på inrikesministeriets webbplats.

CER-direktivet (eng. Critical Entities Resilience Directive) är ett EU-direktiv som gäller motståndskraften hos kritiska aktörer. Syftet med den är att säkerställa funktionen för samhällsviktiga tjänster även vid störningar. Bakgrunden till direktivet är den förändrade säkerhets- och verksamhetsmiljön i Europa. På nationell nivå utövar Valvira och regionförvaltningsverken tillsyn över att skyldigheterna enligt CER-lagen iakttas inom social- och hälsovården. Tillsynsuppgifterna överförs till Tillstånds- och tillsynsverket 1.1.2026.

Även Fimea har tillsynsuppgifter enligt CER-lagen inom sitt verksamhetsområde.

Aktör som har utsetts som kritisk

CER-lagen tillämpas på aktörer inom social- och hälsovården som social- och hälsovårdsministeriet har utsett som kritiska. Beslutet om kritiska aktörer ska fattas för första gången senast 17.7.2026 och gäller i högst fyra år.

En aktör kan utses som kritisk om:

den tillhandahåller en eller flera tjänster som är väsentliga för samhällets funktion
dess verksamhet och kritiska infrastruktur är belägna i Finland
en avvikelse skulle ha en betydande påverkan på funktionen för tjänsten eller därmed förknippade andra tjänster.

Om en organisation har utsetts som en kritisk aktör enligt CER-lagen, betraktas den även automatiskt som en kritisk aktör enligt lagen om hantering av cybersäkerhetsrisker. Detta innebär att organisationen också omfattas av skyldigheterna i lagen om hantering av cybersäkerhetsrisker. Läs mer om lagen om hantering av cybersäkerhetsrisker.

Förfarande för avvikelseanmälningar

En kritisk aktör ska utan dröjsmål anmäla om betydande avvikelser som stör eller kan störa tillhandahållandet av väsentliga tjänster. Anmälningar skickas till den behöriga tillsynsmyndigheten och till statsrådets lägescentral.

Kritiska aktörer anmäler om betydande avvikelser i den elektroniska rapporteringskanalen. Den första anmälan ska lämnas inom 24 timmar från det att avvikelsen konstaterats. Den behöriga tillsynsmyndigheten anmäler den kritiska aktören om mottagandet av avvikelseanmälan och eventuella stödåtgärder.

Lagstiftning

Lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025)

Se även

Läs mer CER-lagen på inrikesministeriets webbplats

Kontakta oss

Reijo Jormanainen

jurist

[email protected]

0295 209 320