EU:n Komissio julkaisi CER-direktiiviehdotuksen 16.12.2020 osana laajempaa pakettia, johon kuuluu uusi kyberturvallisuusstrategia sek\u00e4 verkko- ja tietoturvadirektiivin (NIS) p\u00e4ivitys. CER-direktiivi ei ole t\u00e4ysin uusi asia, vaan korvaa suppeamman Euroopan kriittisen infrastruktuurin suojaamista koskevan ECI-direktiivin (2008\/114EC). Direktiivipohjaisuus s\u00e4ilyy, mutta fokus muuttuu siten, ett\u00e4 jatkossa direktiivill\u00e4 pyrit\u00e4\u00e4n ennen kaikkea s\u00e4ilytt\u00e4m\u00e4\u00e4n ja tukemaan yhteismarkkinan vakautta. Artiklan tavoitteena on l\u00e4hent\u00e4\u00e4 j\u00e4senvaltioiden lains\u00e4\u00e4d\u00e4nt\u00f6\u00e4 ja varmistaa lains\u00e4\u00e4d\u00e4nn\u00f6n yhten\u00e4inen ja syrjim\u00e4t\u00f6n soveltaminen unionissa.\u00a0 Soveltamisala koskee kymment\u00e4 sektoria, kattaen liikenteen, energian, pankit, finanssimarkkinat, terveyden, vesi- ja j\u00e4tevesihuollon, digitaalisen infrastruktuurin, julkishallinnon ja avaruuden. Jokainen valtio voi halutessaan ottaa mukaan n\u00e4iden lis\u00e4ksi muitakin toimialoja, mm. Saksa ja It\u00e4valta suunnittelevat kansallisessa toimeenpanossa j\u00e4tehuollon kytkemist\u00e4 direktiivin soveltamiseen.<\/p>\n
Suomessa kansallinen t\u00e4yt\u00e4nt\u00f6\u00f6npano on viel\u00e4 kesken, joskin valmiudet t\u00e4m\u00e4n direktiivin t\u00e4yt\u00e4nt\u00f6\u00f6npanot ovat hyv\u00e4t, sill\u00e4 Suomella on pitk\u00e4 kansallinen historia yritysten sek\u00e4 eri toimialojen toiminnan jatkuvuuden turvaamisessa Huoltovarmuuskeskuksen johdolla. Rajat ylitt\u00e4v\u00e4\u00e4 varautumista Suomi sen sijaan on harjoitellut aiemmin mm. Ruotsin kanssa yhteisill\u00e4 varautumistoimenpiteill\u00e4 ja Pohjoismaisen energiaj\u00e4rjestelm\u00e4n kautta. Toiminnan laajentuessa koko EU:n alueella on yhdenmukaisilla lains\u00e4\u00e4d\u00e4nn\u00f6ill\u00e4 iso merkitys, jotta valmiudet yhteisiin toimenpiteisiin ovat kaikkialla yhtenev\u00e4t. T\u00e4yt\u00e4nt\u00f6\u00f6npanon keston arvioidaan kest\u00e4v\u00e4n vuoden 2024 loppuun asti, ja se koskettaa kaikkia ministeri\u00f6it\u00e4. Ohjaamista ja linjauksia varten on asetettu ohjausryhm\u00e4 (SM, VNK, OM, PLM, LVM, MMM, TEM). Sis\u00e4ministeri\u00f6 vastaa yleislain valmistelusta ja kukin ministeri\u00f6 vastaa toimialakohtaisen s\u00e4\u00e4ntelyn valmistelusta. Aikanaan yleislaki tulee lausuttavaksi sidosryhmille. T\u00e4ll\u00f6in on todenn\u00e4k\u00f6isesti tiedossa my\u00f6s ehdotukset kansallisiksi laajennuksiksi. CER lailla tulee olemaan rajapintaa NIS 2, DORA, SMEI, NATO sek\u00e4 valmiuslain ja huoltovarmuuslains\u00e4\u00e4d\u00e4nn\u00f6n uudistamisen kanssa.<\/p>\n
Direktiivi perustuu siihen, ett\u00e4 toimialat tunnistavat kansainv\u00e4liset keskin\u00e4isriippuvuudet, sek\u00e4 s\u00e4\u00e4t\u00e4v\u00e4t v\u00e4himm\u00e4isvaatimuksista. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa sit\u00e4, ett\u00e4 kriittiset toimijat varautuvat keskeisten palveluja sek\u00e4 tuotteita uhkaavien riskien osalta. Riskinarvioinnissa on k\u00e4sitelt\u00e4v\u00e4 kaikkia merkityksellisi\u00e4 luonnonriskej\u00e4 ja ihmisen aiheuttamia riskej\u00e4, mukaan lukien onnettomuudet, luonnonkatastrofit, kansanterveysuhat ja vihamieliset uhat, kuten Euroopan parlamentin ja neuvoston direktiiviss\u00e4 (EU) 2017\/54134 tarkoitetut terrorismirikokset<\/p>\n
Jokaiseen j\u00e4senvaltioon perustetaan kansallinen yhteyspiste, jonka roolia Huoltovarmuuskeskus on Suomessa toivonut itselleen. Yhteyspiste toimittaa komissiolle kansalliset tiedot, tukee kriittisten toimijoiden varautumista koulutuksin sek\u00e4 tukemalla direktiivin k\u00e4ytt\u00f6\u00f6notossa ja ilmoittaa mahdollisista riskitilanteista.<\/p>\n
Suomessa kriittisten toimijoiden direktiivin mukainen varautuminen on melko pitk\u00e4ll\u00e4. Yritykset rekrytointivaiheessa aktiivisesti mm. teett\u00e4v\u00e4t uusille ty\u00f6ntekij\u00f6illeen turvallisuusselvityksi\u00e4, harjoittelevat h\u00e4iri\u00f6tilanteita, kouluttavat henkil\u00f6st\u00f6\u00e4\u00e4n turvallisuusasioissa, sek\u00e4 huolehtivat fyysisest\u00e4 suojautumisesta. Kehitett\u00e4v\u00e4\u00e4 l\u00f6ytyy kansallisen yhteyspisteen sek\u00e4 yrityksien v\u00e4liseen ilmoitusmenettelyyn poikkeamista, eli tulee m\u00e4\u00e4ritell\u00e4, mik\u00e4 on merkitt\u00e4v\u00e4 poikkeama, miten se raportoidaan ja miten parametrien mukaan m\u00e4\u00e4ritell\u00e4\u00e4n todellinen tai mahdollinen h\u00e4iri\u00f6tapahtuma sek\u00e4 milloin se ilmoitetaan. Ymp\u00e4rist\u00f6ministeri\u00f6 t\u00e4ll\u00e4 hetkell\u00e4 pohtii tulisiko kansalliseen t\u00e4yt\u00e4nt\u00f6\u00f6npanoon sis\u00e4llytt\u00e4\u00e4 j\u00e4tehuoltoa. Toimiala itse n\u00e4kee varautumisen tason t\u00e4ll\u00e4 hetkell\u00e4 riitt\u00e4v\u00e4ksi, ja toivoo, ettei byrokratia toimialalla lis\u00e4\u00e4ntyisi entisest\u00e4\u00e4n. Kyberturvallisuuden osalta direktiivi t\u00e4ydentyy NIS 2 -direktiivill\u00e4, joka koskee my\u00f6s j\u00e4tehuollon toimijoita.<\/p>\n
\u201dEhdotus on yhdenmukainen ja vahvistaa synergiaetuja erityisesti ehdotetun NIS 2 -direktiivin kanssa. NIS 2 direktiivin tavoitteena on parantaa sellaisten \u2019keskeisten toimijoiden\u2019 ja \u2019t\u00e4rkeiden toimijoiden\u2019 tieto- ja viestint\u00e4teknologioiden h\u00e4iri\u00f6nsietokyky\u00e4 kaikkia uhkia vastaan, jotka ylitt\u00e4v\u00e4t tietyt kynnysarvot useilla eri toimialoilla.\u201d<\/p>\n
Direktiivin mukaiset vaatimukset kriittisille toimijoille:
\nJ\u00e4senvaltioiden on varmistettava, ett\u00e4 kriittiset toimijat toteuttavat asianmukaisia ja oikeasuhteisia teknisi\u00e4 ja organisatorisia toimenpiteit\u00e4 h\u00e4iri\u00f6nsietokykyns\u00e4 varmistamiseksi, mukaan lukien toimenpiteet, jotka ovat tarpeen:
\na) poikkeamien syntymisen est\u00e4miseksi, muun muassa katastrofiriskien v\u00e4hent\u00e4miseen ja ilmastonmuutokseen sopeutumiseen liittyvill\u00e4 toimenpiteill\u00e4;
\nb) herkkien alueiden, tilojen ja muun infrastruktuurin riitt\u00e4v\u00e4n fyysisen suojauksen varmistamiseksi, mukaan lukien aitaaminen, esteet, keh\u00e4valvontav\u00e4lineet ja -k\u00e4yt\u00e4nn\u00f6t sek\u00e4 ilmaisulaitteet ja kulunvalvonta;
\nc) poikkeamien seurausten torjumiseksi ja lievent\u00e4miseksi, mukaan lukien riskien- ja kriisinhallintamenettelyjen ja -k\u00e4yt\u00e4nt\u00f6jen ja h\u00e4lytysk\u00e4yt\u00e4nt\u00f6jen toteuttaminen;
\nd) poikkeamista palautumiseksi, mukaan lukien liiketoiminnan jatkuvuuteen liittyv\u00e4t toimenpiteet ja vaihtoehtoisten toimitusketjujen kartoittaminen;
\ne) asianmukaisen henkil\u00f6st\u00f6turvallisuuden hallinnan varmistamiseksi, muun muassa m\u00e4\u00e4ritt\u00e4m\u00e4ll\u00e4 kriittisi\u00e4 teht\u00e4vi\u00e4 hoitavat henkil\u00f6st\u00f6ryhm\u00e4t, ottamalla k\u00e4ytt\u00f6\u00f6n p\u00e4\u00e4syoikeudet herkille alueille, tiloihin ja muuhun infrastruktuuriin sek\u00e4 arkaluonteisiin tietoihin sek\u00e4 m\u00e4\u00e4ritt\u00e4m\u00e4ll\u00e4 erityiset henkil\u00f6st\u00f6ryhm\u00e4t 12 artiklan soveltamiseksi;
\nf) a\u2013e alakohdassa tarkoitetuista toimenpiteist\u00e4 tiedottamiseksi asianomaiselle henkil\u00f6st\u00f6lle. J\u00e4senvaltioiden on varmistettava, ett\u00e4 kriittiset toimijat ovat laatineet ja ottaneet k\u00e4ytt\u00f6\u00f6n h\u00e4iri\u00f6nsietokyky\u00e4 koskevan suunnitelman tai vastaavan asiakirjan tai asiakirjat, joissa kuvataan yksityiskohtaisesti 1 kohdassa tarkoitetut toimenpiteet.<\/p>\n
Aikataulu:
\n17.10.2024 kansallinen CER-lains\u00e4\u00e4d\u00e4nt\u00f6 (puitelaki, sektorilait)
\n17.1.2026 CER: kansallinen strategia ja riskiarvio oltava valmiina
\n17.7.2026 CER: kriittisten toimijoiden m\u00e4\u00e4ritt\u00e4misen takaraja
\n4-5\/2027 CER: kriittisten toimijoiden riskiarviot 9 kk:n kuluttua ilmoituksesta, komission kertomus Euroopan parlamentille ja neuvostolle 17.7.2027.
\n7\/2028 CER: kansallisen yhteyspisteen raportti komissiolle 17.7.2028.<\/p>\n","protected":false},"excerpt":{"rendered":"
EU:n Komissio julkaisi CER-direktiiviehdotuksen 16.12.2020 osana laajempaa pakettia, johon kuuluu uusi kyberturvallisuusstrategia sek\u00e4 verkko- ja tietoturvadirektiivin (NIS) p\u00e4ivitys. CER-direktiivi ei ole t\u00e4ysin uusi asia, vaan korvaa suppeamman Euroopan kriittisen infrastruktuurin suojaamista koskevan ECI-direktiivin (2008\/114EC). Direktiivipohjaisuus s\u00e4ilyy, mutta fokus muuttuu siten, ett\u00e4 jatkossa direktiivill\u00e4 pyrit\u00e4\u00e4n ennen kaikkea s\u00e4ilytt\u00e4m\u00e4\u00e4n ja tukemaan yhteismarkkinan vakautta. Artiklan tavoitteena on l\u00e4hent\u00e4\u00e4 […]<\/p>\n","protected":false},"author":21,"featured_media":4024,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,26],"tags":[],"class_list":["post-4022","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blogit","category-etusivu-blogi"],"_links":{"self":[{"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/posts\/4022"}],"collection":[{"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/users\/21"}],"replies":[{"embeddable":true,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/comments?post=4022"}],"version-history":[{"count":2,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/posts\/4022\/revisions"}],"predecessor-version":[{"id":4025,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/posts\/4022\/revisions\/4025"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/media\/4024"}],"wp:attachment":[{"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/media?parent=4022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/categories?post=4022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanha.kivo.fi\/api\/wp\/v2\/tags?post=4022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}