Europaparlamentets och rådets direktiv (EU) 2022/2557 syftar till att stärka motståndskraften och beredskapen hos kritiska tjänster inom EU. Direktivet harmoniserar förfarandena för identifiering av kritiska aktörer och för att stärka deras motståndskraft inom EU samt fastställar tydliga förfaranden för samarbete mellan medlemsstaterna.
Livsmedelsverket är tillsynsmyndighet inom livsmedelssektorn enligt CER-direktivet och den nationella lagstiftning som genomför direktivet. Den så kallade CER-lagen (lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft 310/2025) trädde i kraft 1.7.2025.
Tillämpningsområde för CER-lagen
Genom CER-lagen genomförs CER-direktivet om kritiska entiteters motståndskraft. Lagstiftningen omfattar elva sektorer som tillhandahåller samhällsviktiga tjänster, däribland produktion, bearbetning och distribution av livsmedel. I bilagan till CER-direktivet livsmedelsföretag enligt definitionen i artikel 3.2. i Europaparlamentets och rådets förordning (EG) nr 178/2002 som uteslutande bedriver logistikverksamhet och partihandel samt storskalig industriell produktion och bearbetning ingår i aktörskategorin.
Lagens skyldigheter gäller de aktörer som det sektoransvariga ministeriet identifier som kritiska aktörer. Jord- och skogsbruksministeriet har identifierat de kritiska aktörerna inom livsmedelssektorn. Aktören har delgetts ett särskilt beslut om identifiering som kritisk aktör. Beslutet gäller i högst fyra år.
Den 1 juli 2025 trädde även lagen om ändring av cybersäkerhetslagen (369/2025) i kraft. Genom ändringen omfattas också aktörer som identifieras som kritiska enligt CER-lagen av skyldigheterna enligt cybersäkerhetslagen. Aktörer som identifieras som kritiska enligt CER-lagen betraktas som väsentliga aktörer enligt cybersäkerhetslagen, oberoende av organisationens storlek.
Skyldigheter för kritiska aktörer
En aktör inom livsmedelssektorn som har identifieras som kritisk ska
- registrera sig i den aktörsförteckning som avses i cybersäkerhetslagen,
- genomföra riskhanteringsåtgärder avseende cybersäkerhet,
- utarbeta en riskbedömning och en plan för motståndskraft samt vidta de åtgärder som behövs för att säkerställa motståndskraften,
- anmäla betydande incidenter.
Tabell 1. Tidsplan för tillämpningen av CER-lagen
| Händelse | Datum | Beskrivning | Ansvarig aktör |
| Lagstiftningen träder i kraft | 1.7.2025 | Lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft samt lagen om ändringen av cybersäkerhetslagen träder i kraft. | Statsrådet |
| Riksomfattande plan och nationell riskbedömning | 17.1.2026 | Statsrådet godkänner en plan och en riskbedömning för kritiska aktörers motståndskraft. | Statsrådet |
| Identifiering av kritisk aktör | 17.7.2026 | Jord- och skogsbruksministeriet fattar beslut om identifiering av kritiska aktörer inom livsmedelssektorn. | Jord- och skogsbruksministeriet |
| Skyldighet att anmäla incidenter enligt CER-lagen | 17.7.2026 | Skyldigheten tillämpas på den kritiska aktören från den tidpunkt då beslutet har delgetts aktören. | Kritisk aktör |
| Skyldighet att registrera sig och anmäla incidenter enligt cybersäkerhetslagen | 17.10.2026 | Skyldigheten tillämpas på den kritiska aktören tre månader efter att beslutet har delgetts aktören. | Kritisk aktör |
| Skyldighet att tillämpa en handlingsmodell för riskhantering enligt cybersäkerhetslagen | 17.4.2027 | Skyldigheten tillämpas på den kritiska aktören nio månader efter att beslutet har delgetts aktören. | Kritisk aktör |
| Riskbedömning för kritisk aktör | 17.4.2027 | Riskbedömningen ska genomföras inom nio månader från det att beslutet har delgetts aktören. | Kritisk aktör |
| Plan för motståndskraft | 17.4.2028 | En plan för motståndskraft ska utarbetas inom ett år efter det att riskbedömningen genomförts. | Kritisk aktör |
Mer information: