Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 luku. Yleiset säännökset

1 § Soveltamisala

Tällä lailla pannaan täytäntöön kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, jäljempänä CER-direktiivi.

Tätä lakia sovelletaan:

1) CER-direktiivin liitteen toimialaluokituksen mukaisesti energian, liikenteen, pankkialan, rahoitusmarkkinoiden infrastruktuurin, terveyden, juomaveden, jäteveden, digitaalisen infrastruktuurin, julkishallinnon, avaruuden sekä elintarvikkeiden tuotannon, jalostuksen ja jakelun lainsäädännön aloilla ottaen huomioon Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla luettelo keskeisistä palveluista annettu komission delegoitu asetus (EU) 2023/2450;

2) ohjaukseen ja päätöksentekoon, joka koskee kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallisena suunnitelmana annettavaa kansallista strategiaa, kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevaa kansallista riskiarviointia ja yhteiskunnan toiminnan kannalta tunnistetun keskeisen toimijan määrittämistä 10 §:ssä tarkoitetuksi kriittiseksi toimijaksi;

3) 1 kohdassa tarkoitettujen toimialaluokkien osalta tämän lain nojalla määritettyyn kriittiseen toimijaan ja sen velvollisuuksiin häiriönsietokyvyn parantamiseksi;

4) kriittisen toimijan valvontaan; sekä

5) viranomaisten yhteistyöhön.

Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 9 kohdassa tarkoitetulla julkishallinnon toimialan toimijaluokalla tarkoitetaan tässä laissa viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1 kohdassa säädettyjä viranomaisia.

Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 5 kohdassa tarkoitetun terveyden toimialan terveydenhuollon tarjoajan toimijaluokan osalta tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:ssä tarkoitettuihin terveydenhuollon palveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin lukuun ottamatta Kansaneläkelaitosta, veripalvelulain (197/2005) mukaisiin veripalvelulaitoksiin, apteekkeihin sekä potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetussa Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU, jäljempänä potilasdirektiivi, tarkoitettuihin lääkkeitä ja lääkinnällisiä laitteita toimittaviin ja tarjoaviin toimijoihin. Lisäksi tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettuihin sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin. Hyvinvointialueisiin lakia sovelletaan niiden järjestämän ja tuottaman sosiaali- ja terveydenhuollon osalta.

2 § Soveltamisalan rajaukset

Tätä lakia ei sovelleta tasavallan presidentin kansliaan, eduskuntaan, eduskunnan oikeusasiamieheen, valtioneuvoston oikeuskansleriin, Suomen Pankkiin eikä tuomioistuimiin. Tätä lakia ei myöskään sovelleta viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla eikä rikosten ennalta estämiseen, rikosten tutkintaan, syyteharkintaan saattamisen toteuttamiseen tai syytteeseen panoon.

Tämän lain 7 §:n 3 momenttia, 14–16 §:ää, 5 lukua ja 29 §:ää ei sovelleta sellaiseen kriittiseen toimijaan, joka toimii kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla tai tarjoaa palvelua 1 momentissa tarkoitetulle viranomaiselle. Mitä edellä tässä momentissa säädetään ei kuitenkaan koske sellaista kriittistä toimijaa, joka tarjoaa vähäisessä määrin palvelua kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla.

Tämän lain 7 §:n 3 momentin 3–5 kohtaa ja 4 momenttia, 13 §:n 3 momenttia, 14–16 §:ää, 5 lukua ja 29 §:ää ei sovelleta CER-direktiivin liitteessä olevan taulukon 3 kohdassa tarkoitetun pankkialan, 4 kohdassa tarkoitetun rahoitusmarkkinoiden infrastruktuurin tai 8 kohdassa tarkoitetun digitaalisen infrastruktuurin toimialalla toimivaan kriittiseen toimijaan.

Tätä lakia ei sovelleta sellaisen tiedon antamiseen, jonka ilmaiseminen tai luovuttaminen vaarantaa maanpuolustusta, kansallista turvallisuutta tai yleistä järjestystä ja turvallisuutta.

3 § Suhde muuhun lainsäädäntöön

Jos Euroopan unionin säädöksissä edellytetään alakohtaisesti kriittisten toimijoiden toteuttavan toimenpiteitä häiriönsietokyvyn parantamiseksi ja vaatimukset ovat vähintään tässä laissa säädettyjä velvoitteita vastaavia, kriittiseen toimijaan sovelletaan niitä tämän lain sijasta.

Jos muussa laissa tai sen nojalla annetuissa säännöksissä on tästä laista poikkeavia vaatimuksia kriittisen toimijan riskiarvioinnista tai poikkeamista ilmoittamisesta ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, niitä sovelletaan tämän lain vastaavien säännösten asemasta.

Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).

Tämän lain mukaan määritetyn kriittisen toimijan velvollisuudesta hallita kyberturvallisuuteen liittyviä riskejä säädetään kyberturvallisuuslaissa (124/2025).

4 § Määritelmät

Tässä laissa tarkoitetaan:

1) häiriönsietokyvyllä kriittisen toimijan kykyä ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä;

2) keskeisellä palvelulla palvelua, joka on olennainen välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi;

3) kriittisellä infrastruktuurilla hyödykettä, tilaa, laitteistoa, verkostoa ja järjestelmää sekä osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka on välttämätön keskeisen palvelun tarjoamiseksi;

4) poikkeamalla tapahtumaa, joka voi merkittävästi häiritä tai joka häiritsee keskeisen palvelun tarjoamista, myös silloin, kun se vaikuttaa kansallisiin järjestelmiin, joilla ylläpidetään oikeusvaltiota;

5) riskillä poikkeaman aiheuttaman menetyksen tai häiriön mahdollisuutta, joka ilmaistaan tällaisen menetyksen tai häiriön suuruuden ja kyseisen poikkeaman toteutumisen todennäköisyyden yhdistelmänä;

6) riskiarvioinnilla kokonaisprosessia, jonka avulla määritetään riskin luonne ja laajuus tunnistamalla ja analysoimalla sellaiset mahdolliset asiaankuuluvat uhat, heikkoudet ja vaarat, jotka voivat johtaa poikkeamaan, ja arvioidaan mahdollinen kyseisen poikkeaman aiheuttama keskeisen palvelun tarjonnan menetys tai häiriytyminen.

2 luku. Yleinen ohjaus ja kehittäminen

5 § Kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma

Valtioneuvosto hyväksyy kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja toiminnan yleisten tavoitteiden saavuttamiseksi vähintään neljän vuoden välein valtakunnallisen suunnitelman, joka toimii kriittisten toimijoiden häiriönsietokykyä koskevana kansallisena strategiana (valtakunnallinen suunnitelma).

Valtakunnallisen suunnitelman valmistelussa on otettava huomioon vastaavan kaltaista tarkoitusta varten annetut valtioneuvoston periaatepäätökset ja muut päätökset.

Valtakunnalliseen suunnitelmaan on sisällytettävä vähintään:

1) strategiset tavoitteet ja painopisteet kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseksi; tällöin on otettava huomioon rajat ylittävät ja eri toimialojen riippuvuudet ja keskinäiset riippuvuussuhteet;

2) ohjauskehys strategisten tavoitteiden ja painopisteiden saavuttamiseksi;

3) kuvaus kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseen tarvittavista toimenpiteistä sekä kuvaus 6 §:ssä tarkoitetusta kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevasta kansallisesta riskiarvioinnista;

4) kuvaus kriittisten toimijoiden määrittämisprosessista;

5) kuvaukset kriittisiä toimijoita koskevasta tukiprosessista ja toimenpiteistä julkisten ja yksityisten toimijoiden välisen yhteistyön tehostamisesta;

6) luettelo tärkeimmistä strategian täytäntöönpanoon osallistuvista viranomaisista ja sidosryhmistä;

7) toimintapuitteet CER-direktiivin ja toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 toimivaltaisten viranomaisten väliselle koordinoinnille kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia koskevaa tiedonvaihtoa ja valvontatehtävää varten;

8) kuvaus käytössä olevista toimenpiteistä, jotka helpottavat mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa (2003/361/EY) tarkoitettujen kriittisiksi toimijoiksi määritettyjen pienten ja keskisuurten yritysten häiriönsietokykyä koskevien velvoitteiden täytäntöönpanoa.

6 § Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi

Valtioneuvosto hyväksyy vähintään neljän vuoden välein kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin.

Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevassa kansallisessa riskiarvioinnissa on käsiteltävä merkityksellisiä:

1) luonnonriskejä;

2) ihmisen aiheuttamia riskejä;

3) useita toimialoja koskevia tai rajat ylittäviä riskejä;

4) onnettomuuksia ja luonnonkatastrofeja;

5) kansanterveydellisiä uhkia;

6) hybridiuhkia ja vieraan valtion toimintaa, joilla on vaikutusta Suomen kansalliseen turvallisuuteen;

7) uhkia liittyen terrorismirikoksiin; sekä

8) teknologiaan liittyviä kansallisen turvallisuuden uhkia, paikkatiedon väärinkäyttöön liittyviä uhkia ja muita uhkia.

Riskiarvioinnissa on otettava huomioon vähintään:

1) unionin pelastuspalvelumekanismista tehdyn Euroopan parlamentin ja neuvoston päätöksen N:o 1313/2013/EU 6 artiklan 1 kohdan mukainen riskiarviointi;

2) sellaiset merkitykselliset riskiarvioinnit, jotka tehdään Euroopan unionin säädösten vaatimusten mukaisesti;

3) riskit, jotka johtuvat CER-direktiivin liitteen toimialojen keskinäisriippuvuuksista sekä rajat ylittävistä riippuvuuksista;

4) 16 ja 17 §:n mukaiset ilmoitettuja poikkeamia koskevat tiedot.

7 § Yhteensovittamistehtävää hoitava ministeriö

Yhteensovittamistehtävää hoitavan ministeriön tehtävään kuuluu tämän lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen.

Yhteensovittamistehtävää hoitava ministeriö toimii CER-direktiivin 9 artiklan 1 kohdan mukaisena toimivaltaisena viranomaisena ja vastaa kansallisen yhteyspisteen tehtäviä hoitavan tahon ilmoittamisesta komissiolle. Yhteensovittamistehtävää hoitavana ministeriönä toimii sisäministeriö.

Sisäministeriön tehtävänä on:

1) yhteensovittaa kriittisten toimijoiden häiriönsietokykyä koskevan valtakunnallisen suunnitelman valmistelua;

2) yhteensovittaa kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin valmistelua;

3) käsitellä ja toimittaa CER-direktiivin 18 artiklan 1 kohdassa tarkoitettu jäsenvaltion pyyntö neuvontaoperaatiosta komissiolle saatuaan 13 artiklan 4 kohdassa tarkoitetun suostumuksen kriittiseltä toimijalta;

4) antaa CER-direktiivin 18 artiklan 2 kohdassa tarkoitettu suostumus neuvontaoperaatiosta komissiolle;

5) toimittaa komissiolle sen tai Euroopan unionin jäsenvaltion perustellusta pyynnöstä Euroopan kannalta erityisen merkittävän kriittisen toimijan riskiarvioinnin olennaiset osat ja luettelo kriittisen toimijan toteuttamista olennaisista 15 §:ssä tarkoitetuista toimenpiteistä;

6) toimittaa komissiolle tiedot kriittisten toimijoiden häiriönsietokykyä koskevasta valtakunnallisesta suunnitelmasta kolmen kuukauden kuluessa sen hyväksymisestä;

7) toimittaa komissiolle tieto kriittisten toimijoiden lukumäärästä; sekä

8) toimittaa komissiolle luettelo CER-direktiivin 7 artiklan 2 kohdan a alakohdassa tarkoitetuista keskeisistä palveluista.

Yhteensovittamistehtävää hoitavan ministeriön on CER-direktiivin johdonmukaisen soveltamisen varmistamiseksi kuultava Euroopan unionin jäsenvaltioita sellaisten kriittisten toimijoiden osalta, jotka:

1) käyttävät kriittistä infrastruktuuria, jolla on fyysinen yhteys kahden tai useamman jäsenvaltion välillä;

2) ovat osa yhtiörakenteita, jotka liittyvät tai ovat yhteydessä muiden jäsenvaltioiden kriittisiin toimijoihin;

3) on määritetty kriittisiksi toimijoiksi yhdessä Euroopan unionin jäsenvaltiossa ja jotka tarjoavat keskeisiä palveluja toisiin jäsenvaltioihin tai toisissa jäsenvaltioissa.

8 § Kriittisen infrastruktuurin häiriönsietokykyä edistävät toimet

Edellä 7 §:ssä ja jäljempänä 13 ja 19 §:ssä tarkoitetut viranomaiset edistävät yhteistyössä Huoltovarmuuskeskuksen kanssa yleisesti kriittisten toimijoiden häiriönsietokykyyn liittyviä kokonaisuuksia.

Tässä tarkoituksessa:

1) analysoidaan strategioita niihin liittyvien parhaiden käytäntöjen määrittämiseksi;

2) vaihdetaan tietoja sellaisista parhaista käytännöistä, jotka liittyvät 10 §:ssä tarkoitettuun kriittisten toimijoiden määrittämiseen;

3) vaihdetaan tietoja ja parhaita käytäntöjä, jotka koskevat kriittisten toimijoiden häiriönsietokykyä koskevaa innovointia, tutkimusta ja kehitystä; sekä

4) vaihdetaan tarvittaessa tietoja kriittisten toimijoiden häiriönsietokykyä koskevista kysymyksistä asiaankuuluvien Euroopan unionin toimielinten, elinten ja laitosten kanssa.

Jäljempänä 19 §:ssä tarkoitettu valvova viranomainen antaa yhteistyössä Huoltovarmuuskeskuksen kanssa CER-direktiivin 10 artiklan 1 kohdassa tarkoitettua tukea kriittiselle toimijalle. Tässä tarkoituksessa voidaan laatia ohjemateriaalia, menetelmiä ja tukea häiriönsietokykyä testaavien harjoitusten järjestämistä sekä antaa neuvontaa ja koulutusta.

9 § Poikkeamailmoitusten välittäminen ja yhteenvetokertomus

Valtioneuvoston tilannekeskuksesta annetussa laissa (300/2017) tarkoitettu valtioneuvoston tilannekeskus:

1) välittää asianomaisen viranomaisen laatiman poikkeamailmoituksen komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa;

2) välittää asianomaisen viranomaisen tiedon poikkeamasta muiden asiaan liittyvien Euroopan unionin jäsenmaiden keskitetyille yhteyspisteille, jos poikkeamalla on tai voi olla merkittävää vaikutusta kriittisiin toimijoihin ja keskeisten palveluiden tarjonnan jatkuvuuteen yhdelle tai useammalle muulle Euroopan unionin jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa;

3) vastaanottaa poikkeamailmoituksen Euroopan unionin jäsenmaiden keskitetyiltä yhteyspisteiltä ja välittää sen asianomaiselle ministeriölle;

4) toimittaa kahden vuoden välein 7 §:ssä tarkoitetun ministeriön kokoaman yhteenvetokertomuksen poikkeamailmoituksista, niiden lukumäärästä ja luonteesta Euroopan unionin komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle.

3 luku. Kriittisten toimijoiden määrittäminen ja toimijoita koskevat yleiset vaatimukset

10 § Kriittisen toimijan määrittäminen

Yksityinen tai julkinen yhteisö taikka sen toiminnallinen osa voidaan määrittää kriittiseksi toimijaksi, jos:

1) toimija tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua;

2) toimija toimii ja sen omistama, hallinnassa oleva tai käyttämä kriittinen infrastruktuuri sijaitsee Suomen alueella; sekä

3) poikkeamalla olisi 11 ja 12 §:n mukaisia merkittäviä haitallisia vaikutuksia:

Kriittisen toimijan määrittämisessä otetaan huomioon kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio sekä rajat ylittävä toiminta ja eurooppalainen yhteismitallisuus.

11 § Merkittävä haitallinen vaikutus

Edellä 10 §:n 1 momentin 3 kohdassa säädetyn haitallisen vaikutuksen merkittävyyttä arvioitaessa on otettava huomioon:

1) yhteiskunnan toimintakyvyn kannalta keskeisestä palvelusta riippuvaisten käyttäjien lukumäärä;

2) muiden CER-direktiivin liitteessä tarkoitettujen toimialojen ja alasektorien riippuvaisuus asianomaisesta keskeisestä palvelusta;

3) poikkeaman vaikutukset vakavuutensa ja kestonsa perusteella yhteiskunnan ja talouden toimintoihin, ympäristöön, yleiseen järjestykseen sekä turvallisuuteen ja väestön terveyteen;

4) toimijan markkinaosuus;

5) maantieteellinen alue, johon poikkeama voi vaikuttaa, Suomen rajat ylittävät vaikutukset ja alueelliseen eristyneisyyden asteeseen liittyvä haavoittuvuus; sekä

6) toimijan merkityksellisyys keskeisen palvelun riittävän tason ylläpitämisessä ottaen huomioon vaihtoehtoisten palvelujen saatavuus tai keskeisen palvelun korvattavuus.

12 § Merkittävä haitallinen vaikutus ja toimiala

Edellä 11 §:ssä tarkoitetun merkittävän haitallisen vaikutuksen merkitystä yhteiskunnan toimintakyvyn kannalta keskeiselle palvelulle arvioitaessa on otettava huomioon yhteiskunnan toimintakyvyn kannalta merkittävät erityistehtävät sekä lisäksi seuraavia toimialoja koskevat perusteet:

1) energiatoimialan osalta: