CER-direktivet inom livsmedelsindustrin

Europaparlamentets och rådets direktiv (EU) 2022/2557 syftar till att stärka motståndskraften och beredskapen hos kritiska tjänster inom EU. Direktivet harmoniserar förfarandena för identifiering av kritiska aktörer och för att stärka deras motståndskraft inom EU samt fastställar tydliga förfaranden för samarbete mellan medlemsstaterna.

Livsmedelsverket är tillsynsmyndighet inom livsmedelssektorn enligt CER-direktivet och den nationella lagstiftning som genomför direktivet. Den så kallade CER-lagen (lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft 310/2025) trädde i kraft 1.7.2025.

Tillämpningsområde för CER-lagen

Genom CER-lagen genomförs CER-direktivet om kritiska entiteters motståndskraft. Lagstiftningen omfattar elva sektorer som tillhandahåller samhällsviktiga tjänster, däribland produktion, bearbetning och distribution av livsmedel. I bilagan till CER-direktivet livsmedelsföretag enligt definitionen i artikel 3.2. i Europaparlamentets och rådets förordning (EG) nr 178/2002 som uteslutande bedriver logistikverksamhet och partihandel samt storskalig industriell produktion och bearbetning ingår i aktörskategorin.

Lagens skyldigheter gäller de aktörer som det sektoransvariga ministeriet identifier som kritiska aktörer. Jord- och skogsbruksministeriet har identifierat de kritiska aktörerna inom livsmedelssektorn. Aktören har delgetts ett särskilt beslut om identifiering som kritisk aktör. Beslutet gäller i högst fyra år.

Den 1 juli 2025 trädde även lagen om ändring av cybersäkerhetslagen (369/2025) i kraft. Genom ändringen omfattas också aktörer som identifieras som kritiska enligt CER-lagen av skyldigheterna enligt cybersäkerhetslagen. Aktörer som identifieras som kritiska enligt CER-lagen betraktas som väsentliga aktörer enligt cybersäkerhetslagen, oberoende av organisationens storlek.

Skyldigheter för kritiska aktörer

En aktör inom livsmedelssektorn som har identifieras som kritisk ska

  • registrera sig i den aktörsförteckning som avses i cybersäkerhetslagen,
  • genomföra riskhanteringsåtgärder avseende cybersäkerhet,
  • utarbeta en riskbedömning och en plan för motståndskraft samt vidta de åtgärder som behövs för att säkerställa motståndskraften,
  • anmäla betydande incidenter.

Tabell 1. Tidsplan för tillämpningen av CER-lagen

Tabell 1. Tidsplan för tillämpningen av CER-lagen
Händelse Datum Beskrivning Ansvarig aktör
Lagstiftningen träder i kraft 1.7.2025 Lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft samt lagen om ändringen av cybersäkerhetslagen träder i kraft. Statsrådet
Riksomfattande plan och nationell riskbedömning 17.1.2026 Statsrådet godkänner en plan och en riskbedömning för kritiska aktörers motståndskraft. Statsrådet
Identifiering av kritisk aktör 17.7.2026 Jord- och skogsbruksministeriet fattar beslut om identifiering av kritiska aktörer inom livsmedelssektorn. Jord- och skogsbruksministeriet
Skyldighet att anmäla incidenter enligt CER-lagen 17.7.2026 Skyldigheten tillämpas på den kritiska aktören från den tidpunkt då beslutet har delgetts aktören. Kritisk aktör
Skyldighet att registrera sig och anmäla incidenter enligt cybersäkerhetslagen 17.10.2026 Skyldigheten tillämpas på den kritiska aktören tre månader efter att beslutet har delgetts aktören. Kritisk aktör
Skyldighet att tillämpa en handlingsmodell för riskhantering enligt cybersäkerhetslagen 17.4.2027 Skyldigheten tillämpas på den kritiska aktören nio månader efter att beslutet har delgetts aktören. Kritisk aktör
Riskbedömning för kritisk aktör 17.4.2027 Riskbedömningen ska genomföras inom nio månader från det att beslutet har delgetts aktören. Kritisk aktör
Plan för motståndskraft 17.4.2028 En plan för motståndskraft ska utarbetas inom ett år efter det att riskbedömningen genomförts. Kritisk aktör

 

Mer information:

CER@ruokavirasto.fi

 

Sidan har senast uppdaterats 13.7.2026