CER-direktiivi osaksi Suomen huoltovarmuutta

EU:n Komissio julkaisi CER-direktiiviehdotuksen 16.12.2020 osana laajempaa pakettia, johon kuuluu uusi kyberturvallisuusstrategia sekä verkko- ja tietoturvadirektiivin (NIS) päivitys. CER-direktiivi ei ole täysin uusi asia, vaan korvaa suppeamman Euroopan kriittisen infrastruktuurin suojaamista koskevan ECI-direktiivin (2008/114EC). Direktiivipohjaisuus säilyy, mutta fokus muuttuu siten, että jatkossa direktiivillä pyritään ennen kaikkea säilyttämään ja tukemaan yhteismarkkinan vakautta. Artiklan tavoitteena on lähentää jäsenvaltioiden lainsäädäntöä ja varmistaa lainsäädännön yhtenäinen ja syrjimätön soveltaminen unionissa.  Soveltamisala koskee kymmentä sektoria, kattaen liikenteen, energian, pankit, finanssimarkkinat, terveyden, vesi- ja jätevesihuollon, digitaalisen infrastruktuurin, julkishallinnon ja avaruuden. Jokainen valtio voi halutessaan ottaa mukaan näiden lisäksi muitakin toimialoja, mm. Saksa ja Itävalta suunnittelevat kansallisessa toimeenpanossa jätehuollon kytkemistä direktiivin soveltamiseen.

Suomessa kansallinen täytäntöönpano on vielä kesken, joskin valmiudet tämän direktiivin täytäntöönpanot ovat hyvät, sillä Suomella on pitkä kansallinen historia yritysten sekä eri toimialojen toiminnan jatkuvuuden turvaamisessa Huoltovarmuuskeskuksen johdolla. Rajat ylittävää varautumista Suomi sen sijaan on harjoitellut aiemmin mm. Ruotsin kanssa yhteisillä varautumistoimenpiteillä ja Pohjoismaisen energiajärjestelmän kautta. Toiminnan laajentuessa koko EU:n alueella on yhdenmukaisilla lainsäädännöillä iso merkitys, jotta valmiudet yhteisiin toimenpiteisiin ovat kaikkialla yhtenevät. Täytäntöönpanon keston arvioidaan kestävän vuoden 2024 loppuun asti, ja se koskettaa kaikkia ministeriöitä. Ohjaamista ja linjauksia varten on asetettu ohjausryhmä (SM, VNK, OM, PLM, LVM, MMM, TEM). Sisäministeriö vastaa yleislain valmistelusta ja kukin ministeriö vastaa toimialakohtaisen sääntelyn valmistelusta. Aikanaan yleislaki tulee lausuttavaksi sidosryhmille. Tällöin on todennäköisesti tiedossa myös ehdotukset kansallisiksi laajennuksiksi. CER lailla tulee olemaan rajapintaa NIS 2, DORA, SMEI, NATO sekä valmiuslain ja huoltovarmuuslainsäädännön uudistamisen kanssa.

Direktiivi perustuu siihen, että toimialat tunnistavat kansainväliset keskinäisriippuvuudet, sekä säätävät vähimmäisvaatimuksista. Käytännössä tämä tarkoittaa sitä, että kriittiset toimijat varautuvat keskeisten palveluja sekä tuotteita uhkaavien riskien osalta. Riskinarvioinnissa on käsiteltävä kaikkia merkityksellisiä luonnonriskejä ja ihmisen aiheuttamia riskejä, mukaan lukien onnettomuudet, luonnonkatastrofit, kansanterveysuhat ja vihamieliset uhat, kuten Euroopan parlamentin ja neuvoston direktiivissä (EU) 2017/54134 tarkoitetut terrorismirikokset

Jokaiseen jäsenvaltioon perustetaan kansallinen yhteyspiste, jonka roolia Huoltovarmuuskeskus on Suomessa toivonut itselleen. Yhteyspiste toimittaa komissiolle kansalliset tiedot, tukee kriittisten toimijoiden varautumista koulutuksin sekä tukemalla direktiivin käyttöönotossa ja ilmoittaa mahdollisista riskitilanteista.

Suomessa kriittisten toimijoiden direktiivin mukainen varautuminen on melko pitkällä. Yritykset rekrytointivaiheessa aktiivisesti mm. teettävät uusille työntekijöilleen turvallisuusselvityksiä, harjoittelevat häiriötilanteita, kouluttavat henkilöstöään turvallisuusasioissa, sekä huolehtivat fyysisestä suojautumisesta. Kehitettävää löytyy kansallisen yhteyspisteen sekä yrityksien väliseen ilmoitusmenettelyyn poikkeamista, eli tulee määritellä, mikä on merkittävä poikkeama, miten se raportoidaan ja miten parametrien mukaan määritellään todellinen tai mahdollinen häiriötapahtuma sekä milloin se ilmoitetaan. Ympäristöministeriö tällä hetkellä pohtii tulisiko kansalliseen täytäntöönpanoon sisällyttää jätehuoltoa. Toimiala itse näkee varautumisen tason tällä hetkellä riittäväksi, ja toivoo, ettei byrokratia toimialalla lisääntyisi entisestään. Kyberturvallisuuden osalta direktiivi täydentyy NIS 2 -direktiivillä, joka koskee myös jätehuollon toimijoita.

”Ehdotus on yhdenmukainen ja vahvistaa synergiaetuja erityisesti ehdotetun NIS 2 -direktiivin kanssa. NIS 2 direktiivin tavoitteena on parantaa sellaisten ’keskeisten toimijoiden’ ja ’tärkeiden toimijoiden’ tieto- ja viestintäteknologioiden häiriönsietokykyä kaikkia uhkia vastaan, jotka ylittävät tietyt kynnysarvot useilla eri toimialoilla.”

Direktiivin mukaiset vaatimukset kriittisille toimijoille:
Jäsenvaltioiden on varmistettava, että kriittiset toimijat toteuttavat asianmukaisia ja oikeasuhteisia teknisiä ja organisatorisia toimenpiteitä häiriönsietokykynsä varmistamiseksi, mukaan lukien toimenpiteet, jotka ovat tarpeen:
a) poikkeamien syntymisen estämiseksi, muun muassa katastrofiriskien vähentämiseen ja ilmastonmuutokseen sopeutumiseen liittyvillä toimenpiteillä;
b) herkkien alueiden, tilojen ja muun infrastruktuurin riittävän fyysisen suojauksen varmistamiseksi, mukaan lukien aitaaminen, esteet, kehävalvontavälineet ja -käytännöt sekä ilmaisulaitteet ja kulunvalvonta;
c) poikkeamien seurausten torjumiseksi ja lieventämiseksi, mukaan lukien riskien- ja kriisinhallintamenettelyjen ja -käytäntöjen ja hälytyskäytäntöjen toteuttaminen;
d) poikkeamista palautumiseksi, mukaan lukien liiketoiminnan jatkuvuuteen liittyvät toimenpiteet ja vaihtoehtoisten toimitusketjujen kartoittaminen;
e) asianmukaisen henkilöstöturvallisuuden hallinnan varmistamiseksi, muun muassa määrittämällä kriittisiä tehtäviä hoitavat henkilöstöryhmät, ottamalla käyttöön pääsyoikeudet herkille alueille, tiloihin ja muuhun infrastruktuuriin sekä arkaluonteisiin tietoihin sekä määrittämällä erityiset henkilöstöryhmät 12 artiklan soveltamiseksi;
f) a–e alakohdassa tarkoitetuista toimenpiteistä tiedottamiseksi asianomaiselle henkilöstölle. Jäsenvaltioiden on varmistettava, että kriittiset toimijat ovat laatineet ja ottaneet käyttöön häiriönsietokykyä koskevan suunnitelman tai vastaavan asiakirjan tai asiakirjat, joissa kuvataan yksityiskohtaisesti 1 kohdassa tarkoitetut toimenpiteet.

Aikataulu:
17.10.2024 kansallinen CER-lainsäädäntö (puitelaki, sektorilait)
17.1.2026 CER: kansallinen strategia ja riskiarvio oltava valmiina
17.7.2026 CER: kriittisten toimijoiden määrittämisen takaraja
4-5/2027 CER: kriittisten toimijoiden riskiarviot 9 kk:n kuluttua ilmoituksesta, komission kertomus Euroopan parlamentille ja neuvostolle 17.7.2027.
7/2028 CER: kansallisen yhteyspisteen raportti komissiolle 17.7.2028.