Kriittisen infrastruktuurin suojaaminen ja häiriönsietokyky (CER)

Yhteiskunnan kriittisen infrastruktuurin suojaamista ja häiriönsietokyvyn parantamista koskeva laki (ns. CER-laki) tuli voimaan 1.7.2025. Lainsäädäntö koskee yhtätoista toimialaa: energia, liikenne, pankki, rahoitusmarkkinoiden infrastruktuuri, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu.

Yksityinen tai julkinen yhteisö voidaan määrittää kriittiseksi toimijaksi, jos se tarjoaa yhteiskunnan kannalta keskeisiä palveluja, joiden häiriöllä olisi merkittäviä haitallisia vaikutuksia. Kunkin toimialan vastuuministeriöt tunnistavat ja määrittävät sektorinsa kriittiset toimijat 17.7.2026 mennessä.

Kriittisiin toimijoihin sovelletaan myös kyberturvallisuuslakia yrityksen koosta riippumatta. Jos yritys määritellään kriittiseksi toimijaksi, sen on ilmoittauduttava kyberturvallisuuslain mukaiseen toimijaluetteloon tai päivitettävä aiempi ilmoituksensa. 

Tukes valvoo vastuullaan olevia yrityksiä eli energiatoimialan alasektoreihin öljy, vety ja kaasu kuuluvia kriittisiä toimijoita. Katso ohjeet Tukesin toimijaluetteloon ilmoittautumisesta tai aiemman ilmoittautumisen päivittämisestä.

Kriittisen toimijan keskeisiä CER-velvoitteita ovat:

• riskiarviointi toimintaan kohdistuvista riskeistä
• toimenpiteet ja suunnitelma häiriönsietokyvyn varmistamiseksi
• yhteyspisteen ja yhteystietojen ilmoittaminen
• ilmoittaminen merkittävistä poikkeamista, jotka voivat häiritä keskeisten palvelujen tarjoamista.

Kansallisen lainsäädännön taustalla on CER-direktiivi (Critical Entities Resilience Directive), joka tuli voimaan vuonna 2023.

Lisätietoa: Sisäministeriö: Kriittisen infrastruktuurin suojaamista ja kriisinkestävyyttä koskeva laki

Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta 310/2025 Edilex-palvelussa

Kyberturvallisuuslaki 124/2025 Edilex-palvelussa