Skip to main content
Ota yhteyttä

      CER-direktiivi (Critical Entities Resilience Directive, EU 2022/2557) on Euroopan unionin direktiivi, joka velvoittaa jäsenvaltiot nimeämään yhteiskunnan kriittistä infrastruktuuria ylläpitävät toimijat ja varmistamaan näiden häiriönsietokyvyn. Yhteiskunnan kannalta elintärkeiden palveluiden keskeytymätöntä toimintaa edellyttävä CER-direktiivi otettiin Suomessa käytäntöön kesällä 2025 laatimalla laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025, CER-laki). 

      Mitä CER-laki edellyttää kriittiseltä toimijalta?

      CER-laki asettaa kriittisille toimijoille neljä keskeistä velvoitetta, jotka on täytettävä määräajassa nimeämisen jälkeen. Lakia sovelletaan 11 toimialaan: energia, liikenne, pankkiala, rahoitusmarkkinoiden infrastruktuurin terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu.

      • Säännöllinen riskiarviointi

        Kriittisen toimijan on arvioitava kattavasti toimintaansa kohdistuvat riskit – mukaan lukien fyysiset, digitaaliset ja toimitusketjuriskit sekä hybridiuhat ja vieraan valtion toiminta. Arviointi on uusittava säännöllisesti.

      • Häiriönsietokyvyn suunnitelma

        Toimijoiden on laadittava ja ylläpidettävä häiriönsietokyvyn suunnitelma, joka kattaa häiriöiden ennaltaehkäisyn, niihin vastaamisen ja niistä toipumisen sekä henkilöstöturvallisuuden ja tiedottamisen.

      • Viranomaisyhteistyö ja häiriöraportointi

        Merkittävistä häiriöistä on raportoitava viranomaisille. Kriittisten toimijoiden on varmistettava tehokas viestintä ja yhteistyö viranomaisten ja muiden kriittisten toimijoiden kanssa erityisesti häiriötilanteissa.

      • Henkilöstön koulutus ja harjoitukset

        Henkilöstölle on järjestettävä säännöllisiä koulutuksia ja harjoituksia, joilla varmistetaan toimintakyky häiriö- ja poikkeustilanteissa.

      Anna Jokiranta
      Anna Jokiranta

      Risk Consulting

      KPMG in Finland

      KPMG:n palvelut CER-vaatimusten täyttämiseen

      Tarjoamme kattavan tuen CER-lain vaatimusten täyttämiseen yksittäisestä osa-alueesta kokonaisvaltaiseen toteutukseen. Palvelumme voidaan räätälöidä organisaationne tilanteen ja aikataulun mukaan.

      content_paste

      Riskianalyysin laatiminen

      Riskianalyysin tavoitteena on kattava arvio toimintaanne kohdistuvista uhista ja häiriöistä, mukaan lukien fyysiset, digitaaliset ja toimitusketjujen riskit sekä niiden vaikutukset kriittisiin palveluihin.

      • Luonnonriskit ja katastrofit
      • Ihmisen aiheuttamat riskit (esim. terrorismi, sabotaasi)
      • Hybridiuhat ja vieraan valtion toiminta
      • Kansanterveydelliset hätätilanteet
      • Toimitusketjuriskit ja kriittiset riippuvuudet
      warning_amber

      Häiriösietokyvyn suunnitelman laatiminen

      Laadimme organisaatiollenne CER-lain vaatimusten mukaisen häiriönsietokyvyn suunnitelman tai päivitämme olemassa olevan valmiussuunnitelmanne vastaamaan uusia vaatimuksia.

      • Toimenpiteet poikkeamien estämiseksi
      • Tilojen ja infrastruktuurin suojaaminen
      • Toimenpiteet häiriötilanteisiin vastaamiseksi
      • Palautumis- ja jatkuvuusprosessit
      • Henkilöstöturvallisuus ja tiedottaminen
      • Toteuttamisaikataulu
      crisis_alert

      Johdon kriisitilanneharjoitukset

      On keskeistä, että kriittisen toimijan johto harjoittelee häiriötilanteiden varalta säännöllisesti. KPMG toteuttaa johdon työpöytäharjoituksia ja voi laatia organisaatiolle ohjeita ja oppaita harjoitustoiminnan toteuttamiseksi.

      • Johdon tabletop-harjoitukset (häiriöskenaariot)
      • Skenaariopohjaiset kriisiharjoitukset
      • Harjoitusoppaiden ja -ohjeiden laadinta
      tenancy

      Henkilöstön turvallisuus, koulutus ja tiedottaminen

      Autamme varmistamaan, että henkilöstöllä on riittävät tiedot ja taidot toimia häiriötilanteissa. Koulutuksella ja harjoituksilla tuetaan organisaation toimintakykyä poikkeustilanteissa, häiriöissä ja kriiseissä.

      • Häiriötilanneohjeet ja -materiaalit henkilöstölle
      • Koulutusmateriaalien laadinta
      • Henkilöstöharjoitusten suunnittelu ja toteutus

      Hyödyt organisaatiolle

      • CER-lain vaatimuksiin vastataan kattavasti ja aikataulussa
      • Organisaation häiriönsietokyky ja kokonaisresilienssi paranee
      • Häiriönsietokykyyn liittyvät riskit on tunnistettu ja priorisoitu
      • Kirjallinen häiriönsietokyvyn suunnitelma täyttää lain vaatimukset
      • Johto ja henkilöstö ovat harjoitelleet kriisitilanteita
      • Yhteistyötä viranomaisten kanssa häiriötilanteissa on selkeytetty

      Miksi valita KPMG?

      window

      EU:n rahoittama monikansallinen CER-hanke 2024–2025

      KPMG toteutti EU:n Technical Support Instrumentin rahoittaman hankkeen "Integrating strategic risk systems to advance the resilience of critical entities". Suomessa, Irlannissa ja Virossa toteutetun hankkeen tavoitteena oli tukea kansallisten CER-strategioiden, kansallisen riskiarvion ja toimintasuunnitelmien toimeenpanoa CER-direktiivin vaatimukset huomioiden. Toteutukseen osallistuivat myös OECD:n asiantuntijat.

      window

      NIS2-osaaminen

      KPMG:llä on vahva kokemus NIS2-direktiivin vaatimuksista. Koska CER ja NIS2 koskevat usein samaa organisaatiota, pystymme rakentamaan yhtenäisen vaatimustenmukaisuusrakenteen molemmille direktiiveille samanaikaisesti.

      window

      Kokonaisturvallisuuden kehittäminen

      Kokonaisturvallisuuden kehittäminen kuuluu KPMG:n vahvoihin osaamisalueisiin. KPMG:n mallin avulla voit analysoida organisaatiosi turvallisuuden nykytilan sekä laatia toimivan kokonaisturvallisuusmallin.

      window

      Tietoturva ja harjoitukset

      KPMG:llä on vankkaa osaamista tietoturvan kehittämisessä ja ylläpidossa sekä erilaisten harjoitusten suunnittelussa ja toteutuksessa.

      window

      Laaja EU-verkosto

      KPMG:llä on kattava verkosto EU:n jäsenvaltioissa. Hyödynnämme parhaita käytäntöjä eri maiden CER-toimeenpanosta ja tuomme ne suomalaisten organisaatioiden käyttöön.

      Täydennä CER-valmiuttasi

      Varmista tietoturvasi vaatimustenmukaisuus.
      Lue lisää

      KPMG:n Forensic‑asiantuntijat auttavat väärinkäytösten ennaltaehkäisyssä, tutkinnassa ja taustaselvityksissä, whistleblowing‑kanavan perustamisessa ja ilmoitusten käsittelyssä, teknisissä forensiikkaselvityksissä, kokonaisturvallisuuden kehittämisessä sekä insider‑riskien hallinnassa.
      Lue lisää

      KPMG auttaa organisaatioita vahvistamaan tietoturvaa, täyttämään NIS2‑vaatimukset ja hallitsemaan kyberriskejä. Tutustu tietoturvapalveluihimme, jotka tukevat liiketoiminnan jatkuvuutta ja suojaavat kriittistä dataa.
      Lue lisää

      Usein kysyttyä - CER-direktiivi

      CER (Critical Entities Resilience) keskittyy fyysiseen häiriönsietokykyyn – eli siihen, että organisaatio kykenee jatkamaan palvelutuotantoaan häiriöistä huolimatta. Uhkat voivat olla luonnonkatastrofeja, terrorismia, sabotaasia tai hybridiuhkia. Lopputuote on häiriönsietokyvyn suunnitelma ja riskiarvio.

      NIS2 (Network and Information Security) keskittyy kyberturvallisuuteen – tietojärjestelmien, verkkojen ja datan suojaamiseen. Lopputuote on kyberturvallisuuden hallintamalli ja tekninen suojaus.

      Käytännön ero näkyy viranomaisraportoinnissa, CER-häiriöt menevät toimialaviranomaisille, NIS2-häiriöt Traficomille.

      Sama organisaatio voi kuulua molempien piiriin. Esimerkiksi energiayhtiö tai sairaala on todennäköisesti sekä CER-kriittinen toimija että NIS2-toimija. Tällöin on järkevää rakentaa riskienhallinta ja dokumentaatio niin, että molemmat vaatimukset täytetään yhtenäisellä rakenteella eikä kahdella erillisellä projektilla.

      CER‑vaatimusten voimaantulo Suomessa etenee kahdessa vaiheessa:

      1) Laki tuli voimaan 1.7.2025

      Suomessa CER-direktiivi toimeenpannaan lailla yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta (310/2025), joka astui voimaan 1.7.2025.

      2) Kriittisten toimijoiden nimeäminen 17.7.2026 mennessä

      Toimialojen vastuuministeriöt määrittävät kriittiset toimijat viimeistään 17.7.2026. Tämän jälkeen nimeämiset päivitetään neljän vuoden välein. 

      3) Vaatimusten täyttämisen määräaika kriittisiksi nimetylle toimijalle

      Kriittisen toimijan on tehtävä riskiarviointi yhdeksän kuukauden kuluessa siitä, kun toimija on määritetty kriittiseksi toimijaksi. Häiriönsietokykyä koskeva suunnitelma on laadittava vuoden sisällä oman riskiarvioinnin laatimisesta.

       

      Yhteenveto: milloin vaatimukset on täytettävä?

      • Laki voimassa: 1.7.2025 alkaen
      • Kriittiset toimijat nimetään: viimeistään 17.7.2026
      • Kriittisellä toimijalla aikaa tehdä riskiarvio: Yhdeksän kuukautta kriittiseksi toimijaksi nimeämisen jälkeen 
      • Kriittisellä toimijalla aikaa tehdä häiriösietokyvyn suunnitelma: Vuoden sisällä oman riskiarvion laatimisesta

      Kyllä, ja se on yleensä järkevin lähtökohta. CER-laki ei edellytä että häiriönsietokyvyn suunnitelma rakennetaan alusta alkaen – se edellyttää, että suunnitelma sisältää tietyt asiat. 

      Valmis aloittamaan CER-lain vaatimuksiin valmistautumisen?


      Ota yhteyttä, arvioimme lähtötilanteesi ja ehdotamme sopivimman etenemispolun organisaatiollesi.