Tekve Oy Logo
Regulaatio-ohjeistus

Mikä on CER-direktiivi?

Kriittisten toimijoiden häiriönsietokykyä koskeva direktiivi vahvistaa yhteiskunnan toiminnan kannalta keskeisten infrastruktuurien fyysistä turvallisuutta.

Mikä on CER-direktiivi?

CER-direktiivi (Critical Entities Resilience Directive) on Euroopan unionin säädös, joka astui voimaan 16. tammikuuta 2023. Sen tarkoituksena on vahvistaa yhteiskunnan kriittisten toimijoiden ja fyysisten infrastruktuurien häiriönsietokykyä koko EU:n alueella.

Siinä missä NIS2-direktiivi keskittyy kyberturvallisuuteen ja digitaaliseen turvallisuuteen, CER-direktiivi keskittyy fyysisiin ja toiminnallisiin uhkiin, kuten luonnonkatastrofeihin, onnettomuuksiin, sabotaasiin, terrori-iskuihin ja hybridiuhkiin.

Direktiivi on sovitettava osaksi jäsenvaltioiden kansallista lainsäädäntöä. Suomessa kansallinen täytäntöönpano on valmisteilla, ja uuden lainsäädännön arvioidaan astuvan voimaan vuoden 2025 puolivälin tienoilla.

Mitä sektoreita CER-direktiivi koskee?

CER-direktiivi kattaa 11 yhteiskunnalle elintärkeää sektoria:

  1. Energia: Sähkö, kaukolämmitys ja -jäähdytys, öljy, maakaasu ja vety.
  2. Liikenne: Ilma-, rautatie-, vesi- ja maantieliikenne sekä niiden infrastruktuuri.
  3. Pankkiala: Luottolaitokset.
  4. Finanssimarkkinat: Kauppapaikkojen ylläpitäjät ja keskusvastapuolet.
  5. Terveys: Terveydenhuoltopalvelujen tarjoajat, laboratoriot ja lääkinnällisten laitteiden/lääkkeiden valmistus.
  6. Juomavesi: Juomaveden keruu, käsittely ja jakelu.
  7. Jätevesihuolto: Jäteveden keruu, käsittely ja poisto.
  8. Digitaalinen infrastruktuuri: DNS-palvelut, TLD-rekisterit, pilvipalvelut, datakeskukset, CDN-verkot sekä televiestintä.
  9. Julkishallinto: Julkisen sektorin kriittiset viranomaiset.
  10. Avaruus: Avaruuspohjaisia palveluja tuottavien maanpäällisten infrastruktuurien ylläpitäjät.
  11. Elintarvikkeet: Elintarvikkeiden teollinen tuotanto, jalostus, tukkukauppa ja logistiikka.

Miten kriittiset toimijat tunnistetaan?

Kunkin jäsenvaltion (Suomessa sektorikohtaisten ministeriöiden) on tunnistettava ja määriteltävä alueellaan toimivat kriittiset toimijat (Critical Entities) viimeistään 17. heinäkuuta 2026 mennessä. Tunnistaminen perustuu yhtenäiseen arviointikehykseen, jossa huomioidaan:

  • Palvelun välttämättömyys: Tarjoaako toimija sellaista palvelua, jonka häiriintyminen lamauttaisi yhteiskunnan tai talouden keskeisiä toimintoja.
  • Maantieteellinen sijainti: Missä infrastruktuuri sijaitsee ja miten se riippuu muista kriittisistä resursseista.
  • Keskinäisriippuvuudet: Miten häiriö yhdellä sektorilla (esim. sähkönsyötössä) heijastuisi muille sektoreille (kuten vesihuoltoon tai liikenteeseen).
  • Rajat ylittävät vaikutukset: Voiko toimijan häiriö vaikuttaa muihin EU-maihin.

Tunnistetut toimijat lisätään kansalliseen, suojattuun luetteloon, jota päivitetään vähintään neljän vuoden välein.

Mitä vaatimuksia CER-direktiivi asettaa yrityksille?

Kun organisaatio tunnistetaan “kriittiseksi toimijaksi”, sen on täytettävä seuraavat velvoitteet:

1. Riskienarviointi

Toimijoiden on tehtävä säännöllisesti (vähintään neljän vuoden välein) oma riskienarviointinsa. Arvioinnissa on otettava huomioon sekä kansallisen tason uhkamallit että toimipistekohtaiset riskit, kuten tulvat, tulipalot, sähkökatkot tai fyysinen tunkeutuminen.

2. Häiriönsietosuunnitelma ja turvatoimet

Toimijoiden on laadittava häiriönsietosuunnitelma ja toteutettava riittävät ja oikeasuhtaiset toimenpiteet:

  • Fyysinen suojaus: Toimitilojen, laitteiden ja kulunvalvonnan varmistaminen (esim. aidat, kameravalvonta, vartiointi).
  • Toiminnallinen toipumiskyky: Varautuminen häiriöihin vaihtoehtoisilla toimitusketjuilla, varavoimalla ja kriisiviestintäjärjestelmillä.
  • Henkilöstöturvallisuus: Pääsynhallinta kriittisiin tiloihin ja tarvittaessa henkilöstön turvaselvitykset.

3. Poikkeamailmoitukset

Kriittisten toimijoiden on ilmoitettava valvovalle viranomaiselle viipymättä (viimeistään 24 tunnin kuluessa havaitsemisesta) kaikista merkittävistä poikkeamista, jotka häiritsevät tai voivat häiritä heidän tarjoamiensa välttämättömien palvelujen jatkuvuutta.

4. Valvonta ja tarkastukset

Viranomaisilla on oikeus tehdä ilmoitettuja tai yllätystarkastuksia kriittisten toimijoiden tiloihin, pyytää dokumentaatiota ja testata suojatoimenpiteiden tehokkuutta. Vaatimusten laiminlyönnistä voidaan määrätä kansallisessa laissa säädettyjä seuraamuksia.

Miten Tekve voi auttaa?

Fyysisen ja digitaalisen turvallisuuden rajapinnat hämärtyvät jatkuvasti. Autamme organisaatiotasi hallitsemaan häiriönsietokykyä kokonaisvaltaisesti ja valmistautumaan CER-direktiivin kansallisiin vaatimuksiin:

  1. Esivalmistautuminen ja soveltuvuuden arviointi: Autamme selvittämään, kuuluuko organisaatiosi todennäköisesti CER-direktiivin piiriin kansallisen määrittelyn myötä.
  2. Fyysisten ja toiminnallisten riskien arviointi: Teemme kattavat uhka- ja riskianalyysit, jotka huomioivat toimitilat, toimitusketjut ja keskinäisriippuvuudet.
  3. Jatkuvuussuunnittelu (BCP/DR): Kehitämme ja testaamme häiriönsietosuunnitelmia, jotta organisaatiosi pystyy toimimaan myös kriisitilanteissa.
  4. Viranomaisyhteistyön ja raportoinnin valmistelu: Määritämme prosessit poikkeamien tunnistamiseksi ja raportoimiseksi vaaditussa ajassa.
Yhteydenotto

Ota yhteyttä asiantuntijoihimme

Keskustellaanko yrityksenne tietoturvatarpeista? Täytä oheinen lomake ja olemme teihin yhteydessä mahdollisimman pian.