Hallitus on 10. huhtikuuta antanut eduskunnalle lakiesityksen, joka täydentää kriittisten toimijoiden häiriönsietokykyä koskevan CER-direktiivin ja kyberturvallisuusdirektiivi NIS 2:n kansallista toimeenpanoa. Esityksen tavoitteena on parantaa yhteiskunnan kriittisen infrastruktuurin suojaa ja vahvistaa toimijoiden kykyä selviytyä häiriötilanteista.
Lakimuutosten myötä kyberturvallisuuslain soveltamisalaa laajennettaisiin kattamaan myös sellaiset yhteisöt ja yritykset, jotka määritetään tulevaisuudessa kriittisiksi toimijoiksi uuden kriittisen infrastruktuurin suojaamista ja häiriönsietokykyä koskevan lain nojalla. Julkishallinnon osalta vastaavia muutoksia esitetään tiedonhallintalakiin.
Käytännössä tämä tarkoittaa sitä, että myös sellaiset yritykset, jotka eivät nykyisin kuulu kyberturvallisuuslain piiriin, voivat jatkossa tulla sen velvoitteiden alaisiksi. Tällaisia voivat olla esimerkiksi pienet tai mikroyritykset eri toimialoilta, julkisen liikenteen toimijat tai lääketukkukaupat, mikäli ne määritetään kriittisiksi toimijoiksi.
Eduskunnan käsittelyyn on tuotu myös esitys uudesta laista, joka säätelee yhteiskunnan kriittisen infrastruktuurin suojaamista ja häiriönsietokyvyn parantamista. Lain mukaan kriittiset toimijat on tunnistettava ja määritettävä ensimmäisen kerran heinäkuuhun 2026 mennessä, ja niille asetettaisiin CER-direktiivin mukaisia velvoitteita.
Voimaan tulleen kyberturvallisuuslain (8.4.2025) täydennykset esitetään astumaan voimaan samanaikaisesti muun CER-direktiivin kansallisen täytäntöönpanon kanssa. Täydennyksiä varten valmisteltiin erillinen hallituksen esitys lainsäädäntöteknisistä syistä.
GIPHY App Key not set. Please check settings