Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2557 tavoitteena on parantaa EU:n kriittisten palveluiden häiriönsietokykyä ja toimintavalmiutta. Direktiivi yhdenmukaistaa kriittisten toimijoiden tunnistamista ja häiriönsietokykyä koskevat menettelyt EU:ssa sekä luo selkeät menettelyt jäsenvaltioiden väliseen yhteistyöhön.
Ruokavirasto toimii CER-direktiivin ja sen täytäntöönpanoa koskevan kansallisen lainsäädännön valvovana viranomaisena elintarviketoimialalla. Ns. CER-laki (laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta 310/2025) tuli voimaan 1.7.2025.
CER-lain soveltamisala
CER-lailla pannaan täytäntöön kriittisten toimijoiden häiriönsietokyvystä annettu CER-direktiivi. Lainsäädäntö koskee yhtätoista toimialaa, jotka tuottavat yhteiskunnan kannalta keskeisiä palveluja: elintarvikkeiden tuotanto, jalostus ja jakelu yhtenä niistä. CER-direktiivin liitteessä elintarviketoiminnan toimijaluokkana on Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 178/2002 3 artiklan 2 alakohdassa määritellyt elintarvikeyritykset, jotka toimivat yksinomaan logistiikan ja tukkukaupan sekä laajamittaisen teollisen tuotannon ja jalostuksen alalla.
Lain velvoitteet koskevat toimijoita, jotka toimialasta vastaava ministeriö määrittää sektorilla kriittisiksi toimijoiksi. Maa- ja metsätalousministeriö määrittää kriittiset toimijat elintarviketoimialalla 17.7.2026 mennessä. Toimija saa erillisen päätöksen kriittiseksi toimijaksi määrittämisestä.
1.7.2025 tuli voimaan myös kyberturvallisuuslain (124/2025) muutos (369/2025), jonka myötä kyberturvallisuuslain velvoitteet ulottuvat myös CER-lain nojalla kriittisiksi määritettäviin toimijoihin. CER-lain nojalla kriittisiksi toimijoiksi määritetyt toimijat ovat kyberturvallisuuslain mukaisia ns. keskeisiä toimijoita koosta riippumatta.
Kriittisen toimijan velvoitteet
Kriittiseksi määritetyn elintarvikealan toimijan on
- ilmoittauduttava kyberturvallisuuslain mukaiseen toimijaluetteloon,
- toteutettava kyberturvallisuuteen liittyvä riskienhallinta,
- laadittava riskiarvio ja häiriönsietokykyä koskeva suunnitelma ja sen varmistamiseksi toteutettava toimenpiteet,
- ilmoitettava merkittävistä poikkeamista.
Taulukko 1. CER-lain soveltamisen aikataulu
| Tapahtuma | Päivämäärä | Kuvaus | Vastuullinen taho |
| Lait voimaan | 1.7.2025 | Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja kyberturvallisuuslain muutos voimaan. | Valtioneuvosto |
| Valtakunnallinen suunnitelma ja kansallinen riskiarvio | 17.1.2026 | Valtioneuvosto hyväksyy kriittisten toimijoiden häiriönsietokykyä koskevan suunnitelman ja riskiarvion. | Valtioneuvosto |
| Kriittisen toimijan määrittäminen | 17.7.2026 | MMM tekee päätöksen kriittisen toimijan määrittämisestä elintarvikealalla. | MMM |
| CER-lain poikkeamailmoitusvelvoite | 17.7.2026 | Velvoitetta sovelletaan kriittiseen toimijaan päätöksen saamisesta. | Kriittinen toimija |
| Kyberturvallisuuslain ilmoittautumis- ja poikkeamailmoitusvelvoite | 17.10.2026 | Velvoitetta sovelletaan kriittiseen toimijaan 3 kk kuluttua päätöksen saamisesta. | Kriittinen toimija |
| Kyberturvallisuuslain riskienhallinnan toimintamallivelvoite | 17.4.2027 | Velvoitetta sovelletaan kriittiseen toimijaan 9 kk kuluttua päätöksen saamisesta. | Kriittinen toimija |
| Kriittisen toimijan riskiarviointi | 17.4.2027 | Riskiarviointi suoritetaan 9 kk kuluessa päätöksen saamisesta. | Kriittinen toimija |
| Häiriönsietokyvyn suunnitelma | 17.4.2028 | Häiriönsietokykyä koskeva suunnitelma laaditaan vuoden kuluessa riskiarvioinnista. | Kriittinen toimija |
Päivitämme sivua tietojen täydentyessä.
Lisätietoa:
NIS2.kyberturvallisuus@ruokavirasto.fi