05.03.2024

Luonnos hallituksen esitykseksi laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi

Man holding a legal document in hand. Lawyer holding law paper in office.

Johdanto

Sisäministeriö pyytää lausuntoanne luonnoksesta hallituksen esitykseksi eduskunnalle kriittisen infrastruktuurin direktiivin (CER-direktiivi) täytäntöönpanemiseksi.

Luonnoksessa hallituksen esitykseksi ehdotetaan säädettäväksi laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta, ja muutettavaksi turvallisuusselvityslakia, rikosrekisterilakia, lakia rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettua lakia sekä lakia huoltovarmuuden turvaamisesta. Esityksellä pantaisiin täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta, jäljempänä CER-direktiivi
(Critical Entities Resilience Directive). Lisäksi ulkomaanliikenteen satamien satamanpitäjille säädettäisiin velvollisuus varmistaa tiettyjen työntekijäryhmien nuhteettomuus ja luotettavuus turvallisuusselvityslain mukaisella perusmuotoisella henkilöturvallisuusselvityksellä.

CER-direktiivi pantaisiin täytäntöön säätämällä yleislaki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta. Direktiivi tuo uusia tehtäviä yhteensovittavalle ministeriölle, sektoriministeriöille ja viranomaisille. Toimivalta valvoa olisi sektorikohtaisilla valvontaviranomaisilla. Kriittisiä toimijoita koskevat keskeiset velvoitteet liittyisivät riskiarviointiin, häiriönsietokykyä koskevaan suunnitelmaan ja häiriönsietokyvyn varmistamiseen sekä poikkeamia koskeviin menettelyihin.

Tausta

Esityksen tarkoituksena on panna täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (CER-direktiivi). Direktiivi tuli voimaan 16. tammikuuta 2023 ja jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät säännökset viimeistään 17 päivänä lokakuuta 2024. Toimenpiteitä on sovellettava 18 päivästä lokakuuta 2024 lukien.

CER-direktiiviehdotus on osa kokonaisuutta, johon kuuluu uusi kyberturvallisuusstrategia sekä verkko- ja tietoturvadirektiivin päivitys (NIS2 -direktiivi).

Tavoitteet

Hallituksen esityksen tavoitteena on CER-direktiivin kansallinen täytäntöönpano. Hankkeen tavoite on vahvistaa lainsäädännöllä kriittisen infrastruktuurin kriisinkestävyyttä, parantaa toimijoiden häiriönsietokykyä sekä jatkuvuudenhallintaa ja siten vahvistaa yhteiskunnan kriisinkestävyyttä ja kansallista turvallisuutta.