Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2557 tavoitteena on parantaa EU:n kriittisten palveluiden häiriönsietokykyä ja toimintavalmiutta. Direktiivi yhdenmukaistaa kriittisten toimijoiden tunnistamista ja häiriönsietokykyä koskevat menettelyt EU:ssa sekä luo selkeät menettelyt jäsenvaltioiden väliseen yhteistyöhön.
Ruokavirasto toimii CER-direktiivin ja sen täytäntöönpanoa koskevan kansallisen lainsäädännön valvovana viranomaisena elintarviketoimialalla. Ns. CER-laki (laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta 310/2025) tuli voimaan 1.7.2025.
CER-lain soveltamisala
CER-lailla pannaan täytäntöön kriittisten toimijoiden häiriönsietokyvystä annettu CER-direktiivi. Lainsäädäntö koskee yhtätoista toimialaa, jotka tuottavat yhteiskunnan kannalta keskeisiä palveluja: elintarvikkeiden tuotanto, jalostus ja jakelu yhtenä niistä. CER-direktiivin liitteessä elintarviketoiminnan toimijaluokkana on Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 178/2002 3 artiklan 2 alakohdassa määritellyt elintarvikeyritykset, jotka toimivat yksinomaan logistiikan ja tukkukaupan sekä laajamittaisen teollisen tuotannon ja jalostuksen alalla.
Lain velvoitteet koskevat toimijoita, jotka toimialasta vastaava ministeriö määrittää sektorilla kriittisiksi toimijoiksi. Maa- ja metsätalousministeriö määrittää kriittiset toimijat elintarviketoimialalla 17.7.2026 mennessä. Toimija saa erillisen päätöksen kriittiseksi toimijaksi määrittämisestä.
1.7.2025 tuli voimaan myös kyberturvallisuuslain (124/2025) muutos (369/2025), jonka myötä kyberturvallisuuslain velvoitteet ulottuvat myös CER-lain nojalla kriittisiksi määritettäviin toimijoihin. CER-lain nojalla kriittisiksi toimijoiksi määritetyt toimijat ovat kyberturvallisuuslain mukaisia ns. keskeisiä toimijoita koosta riippumatta.
Kriittisen toimijan velvoitteet
Kriittiseksi määritetyn elintarvikealan toimijan on
- ilmoittauduttava kyberturvallisuuslain mukaiseen toimijaluetteloon,
- toteutettava kyberturvallisuuteen liittyvä riskienhallinta,
- laadittava riskiarvio ja häiriönsietokykyä koskeva suunnitelma ja sen varmistamiseksi toteutettava toimenpiteet,
- ilmoitettava merkittävistä poikkeamista.
Päivitämme sivua tietojen täydentyessä.
Lisätietoa:
NIS2.kyberturvallisuus@ruokavirasto.fi