CER-direktiivin toimeenpano vahvistaa yhteiskunnan kriisinkestävyyttä

Euroopan komission CER-direktiivi astui voimaan tammikuussa 2023. CER-direktiivi koskee kriittisten toimijoiden häiriönsietokykyä (resilience of critical entities) yleisesti ja sitä täydentää kyberturvallisuuden osalta NIS2-direktiivi. Jäsenvaltioiden on saatettava direktiivit osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. Hallituksen esitys CER-direktiivin toimeenpanevaksi laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta on lausunnolla 4.3.2024 asti lausuntopalvelussa https://www.lausuntopalvelu.fi/FI/Proposal/List. Lisäksi esitetään muutettavaksi mm. turvallisuusselvityslakia.

Tavoitteena on vahvistaa lainsäädännöllä kriittisen infrastruktuurin kriisinkestävyyttä, parantaa toimijoiden häiriönsietokykyä sekä jatkuvuudenhallintaa ja siten vahvistaa yhteiskunnan kriisinkestävyyttä ja kansallista turvallisuutta.

Vesihuolto kuuluu yhteiskunnan toiminnan kannalta kriittisenä palveluna sekä CER- että NIS2-direktiivin soveltamisalaan. Esityksen mukaan lakia yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta sovelletaan toimijoihin, joiden poikkeamalla olisi merkittäviä haitallisia vaikutuksia sen palvelun tarjoamiseen tai palvelusta riippuvaisilla toimialoilla. Laissa on määritelty tarkemmin haitallisen vaikutuksen merkittävyyden arviointikriteerit. Vesihuollossa esitetään merkittävyyttä arvioitaessa otettavaksi huomioon toimitettavan veden ja poisjohdetun jäteveden volyymi. Kriittisen toimijan määrittämisestä päättää se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu ja tämä päätös on voimassa enintään neljä vuotta.

Kriittisille toimijoille tulisi velvoite riskinarvioinnin suorittamiseen, riskinarviointiin ja muuhun tarpeeseen perustuvaan häiriönsietokyvyn varmistamiseen, häiriönsietokykyä koskevan suunnitelman laatimiseen sekä poikkeamista ilmoittamiseen.

Häiriönsietokykyä koskevaan suunnitelmaan olisi sisällytettävä mm.:

• tilojen ja infrastruktuurin fyysinen suojaaminen
• toimenpiteet poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi
• toimenpiteet poikkeamista palautumiseksi
• henkilöturvallisuuden varmistaminen 

Kriittisen toimijan olisi ilmoitettava viipymättä toimivaltaiselle viranomaiselle ja Huoltovarmuuskeskukselle merkittävästä poikkeamasta. Ensi-ilmoitus on tehtävä viimeistään 24 tunnin kuluessa poikkeaman havaitsemisesta. Toimijan on annettava sisäministeriölle, toimialasta vastaavalle ministeriölle, toimivaltaiselle valvontaviranomaiselle ja Huoltovarmuuskeskukselle yksityiskohtainen raportti kuukauden kuluessa siitä, kun poikkeama on tullut tietoon.

Direktiivi tuo uusia tehtäviä yhteensovittavalle sisäministeriölle, sektoriministeriöille ja viranomaisille (mm. Huoltovarmuuskeskus). Toimivalta valvoa olisi sektorikohtaisilla valvontaviranomaisilla. Vesihuollon osalta valvovaksi viranomaiseksi esitetään Etelä-Savon ELY-keskusta. Valvova viranomainen voi määrätä päätöksellään kriittisen toimijan maksamaan laiminlyöntimaksun (2 000 – 20 000 €), jos havaitulla puutteella on merkittävää vaikutusta yhteiskunnan keskeisten palvelujen tarjoamiseen.