Sisältö
Tapahtumat
Tekven asiantuntijat seuraavat kyberkestävyyssäädöksen kansallista täytäntöönpanoa Suomessa ja Euroopassa. Katso viikottaiset päivitykset blogistamme.
19.12.2024: Hallitus julkaisi uuden esityksen eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta.
What is CER-directive?
CER-Directive (Critical Entities Resilience Directive) on Euroopan unionin säädös, joka astui voimaan 16. tammikuuta 2023. Sen tarkoituksena on vahvistaa yhteiskunnan kriittisten toimijoiden ja infrastruktuurien häiriönsietokykyä koko EU:n alueella.
Direktiivi pyrkii parantamaan EU:n sisämarkkinoiden toimintavarmuutta ja hallitsemaan turvallisuusympäristön muutosten aiheuttamia vaikutuksia, kuten hybridiuhkia.
Mitä yrityksiä CER-direktiivi koskee?
Direktiivi kattaa yhteensä 11 sektoria, jotka ovat:
- Energia
- Liikenne
- Pankkiala
- Rahoitusmarkkinoiden infrastruktuuri
- Healthcare
- Juomavesi
- Jätevesihuolto
- Digitaalinen infrastruktuuri
- Julkishallinto
- Avaruus
- Elintarvikkeiden tuotanto, jalostus ja jakelu
Näillä sektoreilla toimivat yritykset ja organisaatiot, joiden palvelut ovat välttämättömiä yhteiskunnan toiminnalle, kuuluvat direktiivin soveltamisalaan. Kunkin jäsenvaltion tulee tunnistaa omalla alueellaan toimivat kriittiset toimijat näiltä sektoreilta.
Sektoriministeriöiden vastuulla on tunnistaa ja määritellä nämä kriittiset toimijat kansallisten strategioiden ja riskiarviointien perusteella. Yhdenmukainen arviointikehys mahdollistaa toimijoiden tunnistamisen ja luokittelun direktiivin mukaisesti. Suomessa tunnistaminen perustuu yhtenäiseen kansalliseen arviointikehykseen, joka ottaa huomioon:
- Keskeisten palveluiden merkityksen yhteiskunnan toimintakyvylle.
- Toimijan infrastruktuurin fyysisen sijainnin ja riippuvuuden kriittisistä resursseista.
- Riskiarviointien tulokset, mukaan lukien toimialakohtaiset ja rajat ylittävät vaikutukset.
Tunnistetut kriittiset toimijat lisätään kansalliseen luetteloon, jota päivitetään vähintään neljän vuoden välein. Tunnistamisprosessi koordinoidaan NIS 2 -direktiivin mukaisten toimien kanssa, jotta varmistetaan yhtenäinen lähestymistapa fyysisen ja digitaalisen turvallisuuden välillä.
Mitä vaatimuksia CER-direktiivi sisältää?
CER-direktiivi asettaa useita vaatimuksia, jotka on suunniteltu vahvistamaan yhteiskunnan kriittisten toimijoiden ja infrastruktuurien häiriönsietokykyä. Vaatimukset ovat osa jäsenvaltioiden vastuuta ja neuvoston direktiivin täytäntöönpanoa, joka on sovitettava osaksi kansallista lainsäädäntöä viimeistään 17.10.2024.
Suomessa ollaan alkuperäisestä lokakuun päivämäärästä myöhässä ja ennustettu kansalinen täytäntöönpano tapahtuu vuoden 2025 keskivaiheilla.
Valmistajien vaatimukset
Kansallinen strategia
Jäsenvaltioiden on laadittava kansallinen strategia, joka sisältää kriittisten toimijoiden häiriönsietokyvyn parantamista koskevat tavoitteet, prioriteetit ja toimintakehykset.
Strategiaan sisältyy myös viranomaisten ja sidosryhmien roolien ja vastuiden määrittely sekä suunnitelma eri sektorien yhteistyöstä.
Riskien arviointi
Jäsenvaltioiden on tehtävä säännöllisiä riskiarviointeja, jotka kattavat luonnon ja ihmisten aiheuttamat riskit, kuten luonnonkatastrofit, hybridiuhat ja onnettomuudet.
Arvioinneissa on huomioitava keskinäiset riippuvuudet toimialojen välillä ja rajat ylittävät vaikutukset.
Kriittisten toimijoiden tunnistaminen
Jäsenvaltioiden on tunnistettava kriittiset toimijat sektoreilla, jotka direktiivi kattaa, ja laadittava näistä toimijoista luettelo.
Tunnistamisessa otetaan huomioon toimijan tarjoamat palvelut, infrastruktuurin sijainti ja mahdolliset haitalliset vaikutukset muiden sektorien toimintaan.
Häiriönsietokykyä koskevat vaatimukset
Kriittisten toimijoiden on toteutettava teknisiä, organisatorisia ja turvallisuuteen liittyviä toimenpiteitä häiriöiden estämiseksi, niistä toipumiseksi ja niiden vaikutusten lieventämiseksi.
Toimijoiden on laadittava häiriönsietokykyä koskeva suunnitelma, joka sisältää toimenpiteet ja vastuuhenkilöt häiriöiden hallinnassa.
Poikkeamailmoitukset
Kriittisten toimijoiden on ilmoitettava toimivaltaisille viranomaisille merkittävistä poikkeamista, jotka vaikuttavat heidän palvelujensa jatkuvuuteen. Ensimmäinen ilmoitus tulee tehdä viimeistään 24 tunnin kuluessa poikkeaman havaitsemisesta.
Valvonta ja raportointi
Sektorikohtaiset valvontaviranomaiset varmistavat, että kriittiset toimijat noudattavat direktiivin vaatimuksia.
Toimivaltaiset viranomaiset voivat tehdä tarkastuksia ja pyytää toimijoilta tietoja. Lisäksi viranomaisten on raportoiva komissiolle poikkeamista ja edistymisestä.
Tuki kriittisille toimijoille
Jäsenvaltioiden tulee tarjota kriittisille toimijoille ohjeistusta ja tukea esimerkiksi harjoitusten ja koulutuksen muodossa.
Euroopan kannalta erityisen merkittävät toimijat
Toimijat, jotka tarjoavat palveluja vähintään kuudessa jäsenvaltiossa, voivat saada erityistä ohjausta ja tukea.
Kaikkien toimijoiden on noudatettava asianmukaista huolellisuutta kyberturvallisuusvaatimusten täyttämisessä ja tehtävä yhteistyötä markkinavalvontaviranomaisten kanssa. Heidän on myös säilytettävä tiedot toimitusketjusta vähintään kymmenen vuoden ajan ja ilmoitettava kaikista merkittävistä riskeistä tai vaatimustenvastaisuuksista.
Cyber Resilience Act korostaa vastuuta koko toimitusketjussa, mikä lisää kyberturvallisuuden tasoa ja parantaa käyttäjien luottamusta digitaalisiin tuotteisiin.
Aikataulu
16.1.2023 – Direktiivi astui voimaan
17.11.2023 – Tarkennuksia direktiiviin
Komission tuli antaa delegoitu säädös, jossa täydennetään direktiiviä määrittelemällä keskeiset palvelut toimialoilla ja alasektoreilla.
17.10.2024 – Kansallinen lainsäädäntö
Jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöä.
Toimenpiteiden on oltava sovellettavissa 18. lokakuuta 2024 alkaen.
2025
Valtioneuvosto laatii kansallisen strategian, joka sisältää tavoitteet, toimenpiteet ja ohjauskehykset kriittisten toimijoiden häiriönsietokyvyn parantamiseksi.
Kansallisten viranomaisten koordinointia ja yhteistyörakenteiden kehittämistä.
17.1.2026 – Kansallinen strategia valmistuu
Jäsenvaltioiden on hyväksyttävä kansallinen strategia kriittisten toimijoiden häiriönsietokyvyn parantamiseksi.
Strategian tulee sisältää riskinarvioinnin tulokset, toimijoiden määrittelyprosessit sekä kuvaus yhteistyöstä NIS 2 -direktiivin kanssa.
17.7.2026 – Kriittiset toimijat tunnistettu
Kriittisten toimijoiden määrittämisen ja kansallisten luetteloiden laatimisen määräaika.
Tunnistetuille toimijoille tiedotetaan heidän velvoitteistaan.
2028
Jäsenvaltioiden on toimitettava ensimmäinen raportti komissiolle kansallisista toimista, kuten strategian toteutuksesta ja kriittisten toimijoiden tilanteesta
