Uusi CER-direktiivi parantaa yhteiskunnan resilienssiä osana kokonaisturvallisuutta
Keskinäisriippuvuudet ovat lisääntyneet
Euroopan unioni on pitkään tunnistanut kriittisten infrastruktuurien suojaamisen merkityksen Euroopan toimintakyvylle. Jo vuonna 2006 EU käynnisti eurooppalaisen toimintaohjelman kriittisten infrastruktuurien suojaamiseksi. Vuonna 2008 tuli voimaan direktiivi energia- ja liikennesektoreiden Euroopan elintärkeiden infrastruktuurien määrittämisestä ja niiden suojaamisen parantamistarpeen arvioimisesta (ECI-direktiivi). Sitä sovelletaan toimijoihin, joiden häiriötilanne vaikuttaa merkittävällä tavalla kahteen tai useampaan jäsenvaltioon.
Infrastruktuurien ja palvelujen keskinäisriippuvuudet ovat lisääntyneet ja niiden merkittävyys toimintakyvylle on kasvanut. Euroopan kohtaamat riskit ja uhat tänään ovat monimuotoisempia ja myös todennäköisempiä kuin vuonna 2008. Lisäksi uusien teknologioiden käyttöönotto luo uusia haavoittuvuuksia, jotka toimijoiden tulisi huomioida. Uudet teknologiat avaavat myös mahdollisuuksia valtiolähtöiselle vihamieliselle toiminnalle, joka pyrkii hyödyntämään verkottuneen infrastruktuurin haavoittuvuuksia. Samalla alttius ja haavoittuvuus moninaiselle hybridivaikuttamiselle on kasvanut.
Komissio julkaisi vuonna 2020 uuden turvallisuusunionistrategian vuosille 2020–2025, missä peräänkuulutettiin kokonaisvaltaisempaa, nykyiset ja tulevaisuuden riskit sekä fyysisen ja digitaalisen infrastruktuurin keskinäisriippuvuudet huomioivaa lähestymistapaa. Näiden seikkojen vuoksi EU on uudistanut kriittisten infrastruktuurien ja toimijoiden suojaamista koskevan direktiivin eli jäsenvaltioille tarkoitetun lainsäädäntöohjeen.
CER-direktiivi on astunut voimaan
EU:n CER-direktiivi (Critical Entities Resilience Directive (EU) 2022/2557, suomeksi direktiivi kriittisten toimijoiden häiriönsietokyvystä) astui voimaan tammikuussa 2023. CER-direktiivillä määritetään yhdenmukaiset vähimmäissäännöt, joilla turvataan keskeisten palvelujen tarjonta ja toimintavarmuus EU:n sisämarkkinoilla, vahvistetaan kriittisten toimijoiden häiriönsietokykyä ja parannetaan toimivaltaisten viranomaisten rajat ylittävää yhteistyötä.
Direktiivin soveltamisala koskee yhtätoista toimialaa alasektoreineen kattaen liikenteen, energian, pankit, rahoitusmarkkinoiden infrastruktuurin, terveyden, juoma- ja jätevesihuollon, digitaalisen infrastruktuurin, julkishallinnon, avaruuden sekä elintarvikkeiden tuotannon, jalostuksen ja jakelun. Paremman häiriönsietokyvyn saavuttamiseksi jäsenvaltioiden on määritettävä kriittiset toimijat, joihin kohdistetaan erityisiä vaatimuksia ja valvontaa, ja joille tarjotaan myös erityistä tukea ja ohjeistusta kaikkien merkittävien riskien varalta.
Samaan aikaan CER-direktiivin kanssa astui myös voimaan NIS2-direktiivi (Directive on measures for a high common level of cybersecurity across the Union). Tämä EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö koskee samoja toimialoja kuin CER-direktiivi. Näiden kahden direktiivin toimeenpano toteutetaan jäsenmaissa samalla aikataululla.
Riskiperustainen lähestyminen
Jäsenvaltioiden toimet kriittisten toimijoiden määrittämiseksi ja niiden häiriönsietokyvyn turvaamisen tukemiseksi perustuvat CER-direktiivissä riskiperusteiseen lähestymistapaan. Sen toteuttamiseksi jokaisen jäsenvaltion on arvioitava yhdenmukaisen kehyksen puitteissa luonnon ja ihmisen aiheuttamat riskit, mukaan lukien useita toimialoja koskevat ja rajat ylittävät riskit, jotka saattavat uhata keskeisten palvelujen tarjoamista. Tällaisia riskejä ovat esimerkiksi onnettomuudet, luonnonkatastrofit, pandemiat ja hybridiuhat tai muut vihamieliset uhat, mukaan lukien terrorismirikokset, rikollisten soluttautuminen ja sabotaasi.
Toimeenpanon aikataulu 2023–2026
CER-direktiivin tultua voimaan tämän vuoden alussa on jäsenmailla aikaa lokakuuhun 2024 muuttaa lainsäädäntöään direktiivin mukaisesti. Tämän jälkeen jäsenmaiden on laadittava kansallinen strategia kriittisten toimijoiden häiriönsietokyvyn parantamiseksi tammikuuhun 2026 mennessä. Samaan aikaan jäsenmailla tulee olla laadittuna riskiarviointi koskien kaikkia direktiivin yhtätoista toimialaa alasektoreineen. Tämän riskiarvioinnin perusteella jäsenmaiden on määritettävä heinäkuuhun 2026 mennessä kansalliset kriittiset toimijat soveltamisalan toimialoilla ja alasektoreilla.
Kriittisten toimijoiden on toteuttava häiriönsietokykynsä varmistamiseksi toimenpiteet, jotka perustuvat jäsenvaltioiden ja kriittisten toimijoiden riskiarviointeihin. Kriittisille toimijoille tulee myös velvoite ilmoittaa viivytyksettä poikkeamista, jotka häiritsevät tai voivat häiritä keskeisten palvelujen tarjoamista.
Uusi toimivaltainen viranomainen
Jokaiseen jäsenmaahan nimetään toimivaltainen viranomainen ja kansallinen yhteyspiste, jotka vastaavat direktiivin soveltamisesta ja täytäntöönpanosta sekä kansallisesta ja kansainvälisestä yhteistyöstä. Jäsenmaan on lisäksi varmistettava, että viranomaisella on valtuudet ja keinot tehdä tarkastuksia kriittisiin toimijoihin ja niiden tiloihin. Jäsenvaltioiden on myös säädettävä kansallisten säännösten rikkomisesta seuraamukset ja toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että ne pannaan täytäntöön.
EU–Nato-yhteistyö
Nato on tunnistanut CER-direktiivin tukevan vahvasti myös liittokunnan resilienssityötä. Resilienssi on olennainen perusta uskottavalle pelotteelle, ja Naton jäsenvaltiot ovat sitoutuneet yhteiskunnan kriisinkestävyyden ja häiriösietokyvyn parantamiseen. Naton resilienssitavoitteet eivät ole kuitenkaan lakiperustaisesti sitovia, koska Natolla ei ole lainsäädäntävaltaa kuten EU:lla. CER-direktiivi tuokin laillisuuspohjan EU:n kuuluvien Nato-maiden resilienssin kehittämiseen. CER-direktiivillä on ollut merkittävä osuus EU:n ja Naton yhteistyössä, ja se antoi suuntalinjoja myös Naton ja EU:n yhteisessä kriittisen infrastruktuurin resilienssiä käsittelevässä yhteistyöryhmässä, joka antoi suositukset jatkotoimista kesäkuussa 2023.
Merkittävä täydennys kokonaisturvallisuuteen
CER-direktiivin toimeenpano on erittäin merkittävä täydennys kansalliseen kokonaisturvallisuutemme. Toimeenpanon myötä valtiolle tulee uuden toimivaltaisen viranomaisen myötä lainvoimainen näkymä ja ohjaava rooli kansallisten kriittisten toimijoiden ja infrastruktuurin häiriönsietokykyyn. Tämä on erittäin tärkeä ja tervetullut uudistus nykyisessä turvallisuuspoliittisessa tilanteessa. Samalle se antaa mahdollisuuden kokonaisturvallisuusmallimme päivittämiseen EU:n sääntelyn ja Nato-jäsenyyden vaikutukset huomioiden.
Kirjoittaja
Kari Pelkonen on työskennellyt lähettynä erityisasiantuntijana Euroopan komission muuttoliike- ja sisäasioiden pääosastolla terrorismin vastaisella osastolla vuosina 2021–2023 ja Naton päämajan kansainvälisessä sihteeristössä puolustussuunnitteluosastolla vuosina 2019–2021. Hän on aiemmin työskennellyt muun muassa Suomen Nato-edustustossa, EU:n Sotilasesikunnassa ja Pääesikunnan suunnitteluosastolla. Koulutukseltaan hän on kauppatieteiden maisteri ja yleisesikuntaupseeri (everstiluutnantti evp).