CER-direktiivi (Critical Entities Resilience Directive) on Euroopan Unionin uusi lainsäädäntö, joka keskittyy kriittisten toimintojen ja infrastruktuurien resilienssin vahvistamiseen fyysisiä uhkia vastaan. Tämä direktiivi on osa EU:n laajempaa turvallisuusstrategiaa ja toimii kyberturvallisuutta koskevan NIS2-direktiivin rinnalla, mutta keskittyy erityisesti fyysisiin turvallisuusuhkiin, kuten terrori-iskuihin, luonnonkatastrofeihin ja vakaviin onnettomuuksiin. Määräaika CER-direktiivin sisällyttämisestä kansallisessa lainsäädännössä päättyi 17.10.2024, mutta kuten NIS2-direktiivin kohdalla, direktiivin vahvistaminen on Suomen osalta viivästynyt.

CER-direktiivin keskeiset kohdat:

• Laajempi suoja kriittisille aloille: NIS2-direktiivi ulottaa vaatimuksensa useampiin toimialoihin, kuten energia-, liikenne-, terveydenhuolto-, finanssi- ja vesihuoltosektoreihin. Myös digitaaliset palvelut, kuten pilvipalvelut ja hakukoneet, kuuluvat nyt direktiivin piiriin.
• Riskienhallinta ja varautuminen: Direktiivi vaatii yrityksiltä ja organisaatioilta ennakoivaa riskienhallintaa sekä uhkien torjuntaa. Tämä sisältää kyberturvallisuuden auditoinnit, säännölliset riskianalyysit ja tehokkaat raportointijärjestelmät mahdollisten uhkien varalle.
• Yhteistyö ja koordinointi: Direktiivi asettaa nopeat raportointivelvoitteet kyberhyökkäysten ja merkittävien tietoturvaloukkausten varalle. Yritysten on ilmoitettava havaituista uhista kansallisille kyberturvallisuusviranomaisille, yleensä 24 tunnin kuluessa havaitsemisesta ja kattava raportti on toimitettava viiden päivän sisällä.
• Valvonta ja seuraamukset: Laiminlyöntien tapauksessa yritykset voivat kohdata merkittäviä sanktioita, jotka vaihtelevat EU-valtioiden välillä. Nämä seuraamukset voivat olla sakkoja tai muita rajoittavia toimenpiteitä, erityisesti jos laiminlyönti aiheuttaa vakavia turvallisuusriskejä.
• Yhteys NIS2-direktiiviin: Direktiivi pyrkii lisäämään jäsenmaiden välistä yhteistyötä ja tiedonvaihtoa kyberuhkista ja turvallisuusriskeistä, jotta tietoturvaa voidaan vahvistaa koko EU:n alueella.

Merkitys organisaatioille: CER-direktiivi asettaa korkeammat vaatimukset kriittisten alojen toimijoille, joilta odotetaan tehostettua fyysistä turvallisuutta ja häiriönsietokykyä. Tämä vaatii investointeja infrastruktuurin ja valvontajärjestelmien parantamiseen sekä jatkuvaa varautumista ja harjoittelua.

CER-direktiivin tavoite on varmistaa, että kriittiset toiminnot ja palvelut, joihin yhteiskunnan toiminta nojaa, ovat suojattuja myös fyysisiltä uhkilta, ja että ne voivat jatkua tai palautua nopeasti häiriötilanteissa.

Jos tarvitset apua CER-direktiivin tuomien haasteiden ja vaatimusten kanssa, ota yhteyttä:

mikko.uronen@unax.fi / 040 770 1453

Lue myös: CER-direktiivi