Kriittisen infrastruktuurin suojaaminen ja häiriönsietokyky (CER)

Yhteiskunnan kriittisen infrastruktuurin suojaamista ja häiriönsietokyvyn parantamista koskeva laki (ns. CER-laki) tuli voimaan 1.7.2025. Lainsäädäntö koskee yhtätoista toimialaa: energia, liikenne, pankki, rahoitusmarkkinoiden infrastruktuuri, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu.

Yksityinen tai julkinen yhteisö voidaan määrittää kriittiseksi toimijaksi, jos se tarjoaa yhteiskunnan kannalta keskeisiä palveluja, joiden häiriöllä olisi merkittäviä haitallisia vaikutuksia. Kunkin toimialan vastuuministeriöt tunnistavat ja määrittävät sektorinsa kriittiset toimijat 17.7.2026 mennessä. Kriittisiin toimijoihin sovelletaan myös kyberturvallisuuslakia yrityksen koosta riippumatta.

Tukes valvoo vastuullaan olevia yrityksiä eli energiatoimialan alasektoreihin öljy, vety ja kaasu kuuluvia kriittisiä toimijoita.

Kriittisen toimijan keskeisiä velvoitteita ovat:

riskiarviointi toimintaan kohdistuvista riskeistä
toimenpiteet ja suunnitelma häiriönsietokyvyn varmistamiseksi
yhteyspisteen ja yhteystietojen ilmoittaminen
ilmoittaminen merkittävistä poikkeamista, jotka voivat häiritä keskeisten palvelujen tarjoamista.

Kansallisen lainsäädännön taustalla on CER-direktiivi (Critical Entities Resilience Directive), joka tuli voimaan vuonna 2023.

Lisätietoa: Sisäministeriö: Kriittisen infrastruktuurin suojaamista ja kriisinkestävyyttä koskeva laki

Lainsäädäntö

Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta 310/2025 Edilex-palvelussa

Kyberturvallisuuslaki 124/2025 Edilex-palvelussa

Kriittisen infrastruktuurin suojaaminen ja häiriönsietokyky (CER)

Lainsäädäntö

Turvallisuus- ja kemikaalivirasto (Tukes)