Viimeksi julkaistu 1.9.2025 13.12

Valiokunnan mietintö HaVM 11/2025 vp HE 205/2024 vp Hallintovaliokunta Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi (HE 205/2024 vp): Asia on saapunut hallintovaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty liikenne- ja viestintävaliokuntaan, maa- ja metsätalousvaliokuntaan, sosiaali- ja terveysvaliokuntaan ja talousvaliokuntaan lausunnon antamista varten. 

Lausunnot

Asiasta on annettu seuraavat lausunnot: 

  • maa- ja metsätalousvaliokunta 
    MmVL 2/2025 vp
  • liikenne- ja viestintävaliokunta 
    LiVL 2/2025 vp
  • talousvaliokunta 
    TaVL 5/2025 vp
  • sosiaali- ja terveysvaliokunta 
    StVL 1/2025 vp

Asiantuntijat

Valiokunta on kuullut: 

  • hallitusneuvos Johanna Hakala 
    sisäministeriö
  • lainsäädäntöneuvos Niklas Vainio 
    oikeusministeriö
  • kehityspäällikkö Laura Vilkkonen 
    liikenne- ja viestintäministeriö
  • hallitussihteeri Veikko Vauhkonen 
    liikenne- ja viestintäministeriö
  • johtava asiantuntija Timo Nyyssönen 
    työ- ja elinkeinoministeriö
  • erityisasiantuntija Unto Usvasalo 
    työ- ja elinkeinoministeriö
  • sosiaalineuvos Merja Rapeli 
    sosiaali- ja terveysministeriö
  • ylitarkastaja Emmi Äijälä 
    suojelupoliisi
  • rikostarkastaja Mikko Eränen 
    keskusrikospoliisi
  • turvallisuusjohtaja Toni Lahti 
    Tulli
  • ylijohtaja Marjatta Rahkio 
    Ruokavirasto
  • erityisasiantuntija Kalle Varjola 
    Liikenne- ja viestintävirasto
  • johtava asiantuntija Tarvo Siukola 
    Energiavirasto
  • yksikönjohtaja Heli Tammivuori 
    Huoltovarmuuskeskus
  • johtava asiantuntija Katri Liekkilä 
    Huoltovarmuuskeskus
  • kehittämispäällikkö Ari Korhonen 
    Suomen Kuntaliitto
  • johtava asiantuntija Markku Rajamäki 
    Elinkeinoelämän keskusliitto EK ry
  • toimitusjohtaja Piia Karjalainen 
    Suomen Satamat ry

Valiokunta on saanut kirjallisen lausunnon: 

  • valtioneuvoston kanslia
  • puolustusministeriö
  • valtiovarainministeriö
  • maa- ja metsätalousministeriö
  • ympäristöministeriö
  • Finanssivalvonta
  • Oikeusrekisterikeskus
  • Poliisihallitus
  • Turvallisuuskomitea
  • Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus
  • Turvallisuus- ja kemikaalivirasto (Tukes)
  • Lääkealan turvallisuus- ja kehittämiskeskus Fimea
  • Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira)
  • Ahvenanmaan maakunnan hallitus
  • Satamaoperaattorit ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta sekä muutettaviksi turvallisuusselvityslakia, rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annettua lakia, rikosrekisterilakia, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettua lakia, Euroopan unionin ja Yhdistyneen kuningaskunnan välisen kauppa- ja yhteistyösopimuksen rikoksen johdosta tapahtuvaa luovuttamista ja rikosrekisteritietojen vaihtamista koskevien määräysten soveltamisesta annettua lakia ja sakon täytäntöönpanosta annettua lakia.  

Esityksen tarkoituksena on panna täytäntöön kriittisten toimijoiden häiriönsietokykyä koskeva niin sanottu CER-direktiivi. Lisäksi ulkomaanliikenteen satamien satamanpitäjille säädettäisiin velvollisuus varmistaa tiettyjen työntekijäryhmien nuhteettomuus ja luotettavuus henkilöturvallisuusselvityksellä. 

CER-direktiivillä tavoitellaan keskinäisriippuvaisten, yhteiskunnan toimintakyvyn kannalta kriittisten palveluiden häiriönsietokyvyn turvaamisen parantamista sekä yhteiskunnan taloudellisten toimintojen ylläpitämistä. CER-direktiivi pantaisiin täytäntöön säätämällä yleislaki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta, jossa säädettäisiin kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevasta kansallisesta strategiasta ja kansallisesta riskiarviosta, toiminnan yleisestä ohjaamisesta ja yhteensovittamisesta, yhteismitallisesta kriittisten toimijoiden arviointikehikosta ja yhtenäisestä kehyksestä kriittisten toimijoiden häiriönsietokyvyn vahvistamiseksi erilaisia uhkia vastaan. Direktiivi tuo uusia tehtäviä yhteensovittavalle ministeriölle, sektoriministeriöille ja viranomaisille. Direktiivin mukaan uusi tehtävä tulee tunnistaa ja määrittää yhdenmukaisin menettelyin kriittiset toimijat sekä valvontaan liittyvät tehtävät. Toimivalta valvoa kriittisiä toimijoita olisi sektorikohtaisilla valvontaviranomaisilla. Kriittisiä toimijoita koskevat keskeiset velvoitteet liittyisivät riskiarviointiin, häiriönsietokykyä koskevaan suunnitelmaan ja häiriönsietokyvyn varmistamiseen sekä poikkeamia koskeviin menettelyihin. 

Esityksen myötä valtio saa entistä paremman näkymän yhteiskunnan toimintakyvyn kannalta kriittisten toimijoiden varautumiseen. Esityksellä toteutetaan osaltaan pääministeri Petteri Orpon hallituksen hallitusohjelman kansallista turvallisuuden ja yhteiskunnan kriisinkestävyyden vahvistamista koskevaa strategista kokonaisuutta.  

Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian.  

VALIOKUNNAN YLEISPERUSTELUT

Yleistä

Suomen turvallisuusympäristö on muuttunut nopeasti ja perustavanlaatuisesti Venäjän hyökättyä Ukrainaan. Turvallisuusympäristön muutokset ovat yhä vaikeammin ennakoitavia. Tilannekuvassa huomioon on otettava myös globaalit, pitkäaikaisemmat kehityskulut. Hallintovaliokunta katsoo, että turvallisuuteen liittyviä kysymyksiä on tarkasteltava laajana kokonaisuutena, jotta Suomen turvallisuuteen vaikuttavat tekijät ja ilmiöt sekä niiden väliset yhteydet voidaan mahdollisimman tehokkaasti havaita. Selvää jakoa ulkoisen ja sisäisen turvallisuuden välillä ei voida enää tehdä. Yhteisen tilannekuvan, tiedonhankinnan ja tietojohtoisen toiminnan merkitys niin strategisella kuin operatiivisella tasolla korostuu. Yhteiskunnan kriisinsietokyky (resilienssi), kansallinen puolustuskyky ja sisäisen turvallisuuden ylläpitäminen korostuvat muuttuneessa turvallisuustilanteessa.  

Hallintovaliokunta on antanut kuluvalla vaalikaudella lausunnon ulko- ja turvallisuuspoliittisesta selonteosta (HaVL 16/2024 vp) ja puolustusselonteosta (HaVL 7/2025 vp). Nämä selonteot muodostavat valmisteilla olevan sisäisen turvallisuuden selonteon kanssa jatkumon, joka luo suuntaviivat Suomen turvallisuuden vahvistamiselle. Valmistelussa oleva kansallisen turvallisuuden strategia täydentää selontekoja konkreettisilla toimenpide-ehdotuksilla ja ylivaalikautisella aikajänteellä. Tammikuussa 2025 on päivitetty valtioneuvoston periaatepäätöksenä annettu yhteiskunnan turvallisuusstrategia, jossa määritetään kokonaisturvallisuuden toimintamalli, jonka mukaan yhteiskunnan elintärkeistä toiminnoista huolehditaan viranomaisten, elinkeinoelämän, järjestöjen ja kansalaisten yhteistoimintana. Kokonaisturvallisuus muodostaa perustan suomalaisen yhteiskunnan kriisinkestävyydelle. Hallintovaliokunta pitää tärkeänä, että kaikki turvallisuusasiakirjat rakentuvat yhteiselle tilannekuvalle ja yhteiselle näkemykselle toimintaympäristömme uhista ja kehitysnäkymistä.  

Muuttuneen turvallisuus- ja toimintaympäristön uhat, kuten eri keinoja yhdistelevä sabotaasitoiminta ja hybridivaikuttaminen, vaikuttavat samanaikaisesti useampaan EU:n jäsenvaltioon. Tällaiset toimet voivat häiritä merkittävästi sisämarkkinoiden toimintaa ja vaikuttaa yhteiskunnan elintärkeisiin toimintoihin ja turvallisuuteen. Erityistä huomiota tulee kiinnittää kriittiseen infrastruktuuriin kohdistuviin valtiollisiin uhkiin. Valiokunta pitää välttämättömänä, että kriittinen infrastruktuuri kyetään kaikissa olosuhteissa turvaamaan. Tämä edellyttää toimivaa viranomaisten välistä sekä viranomaisten ja yksityisen sektorin välistä yhteistyötä ja tiedonkulkua.  

Hallituksen esityksessä ehdotetaan säädettäväksi uusi laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta, jolla pannaan täytäntöön vuonna 2022 annettu kriittisten toimijoiden häiriönsietokykyä koskeva ns. CER-direktiiviEuroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (Critical Entities Resilience Directive). Lisäksi ulkomaanliikenteen satamien satamanpitäjille ehdotetaan säädettäväksi velvollisuus varmistaa tiettyjen työntekijäryhmien nuhteettomuus ja luotettavuus henkilöturvallisuusselvityksellä. Säädettävän uuden lain lisäksi muutoksia ehdotetaan kuuteen lakiin. Valiokunta puoltaa lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin. 

CER-direktiivin tarkoituksena on vahvistaa kriittisten toimijoiden kykyä vastata uhkiin, jotka vaarantavat yhteiskunnan toimintakyvyn kannalta keskeisten palveluiden tuottamisen kansalaisille ja yrityksille. Hallintovaliokunta on antanut CER-direktiiviehdotuksesta lausunnon (HaVL 14/2021 vp), jossa valiokunta on muun ohella arvioinut, että voimaan tultuaan direktiivi nostaa yleistä kriisinkestävyyden tasoa Euroopan unionin jäsenmaissa. Valiokunta pitää erittäin tärkeänä, että varautumista sekä häiriön- ja kriisinsietokykyä EU:n jäsenvaltioissa vahvistetaan. 

Valiokunta toteaa, että CER-direktiivi on osa laajempaa kokonaisuutta, johon kuuluvat myös uusi kyberturvallisuusstrategia ja CER-direktiivin kanssa samaan aikaan annettu EU:n kyberturvallisuusdirektiiviEuroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi). Eduskunta on hiljattain hyväksynyt kyberturvallisuusdirektiivin täytäntöönpanoa koskevan lainsäädännön (LiVM 1/2025 vpHE 57/2024 vp, HaVL 15/2024 vp). Molempien direktiivien kansallisen täytäntöönpanon määräaika on ollut 17.10.2024. Suomen hallitus on antanut vastauksen direktiivien täytäntöönpanoa koskevaan komission viralliseen huomautukseen. 

CER-direktiivissä säädetään jäsenvaltioiden velvoitteista toteuttaa toimenpiteitä, joilla varmistetaan välttämättömien yhteiskunnan toimintojen tai taloudellisen toiminnan ylläpitämisen kannalta keskeisten palvelujen häiriötön tarjonta sisämarkkinoilla. Direktiivissä määritetään yhdenmukaiset vähimmäissäännöt menettelyille ja vaatimuksille, joilla voidaan turvata keskeisten palvelujen tarjonta, vahvistaa kriittisten toimijoiden häiriönsietokykyä ja parantaa viranomaisten rajat ylittävää yhteistyötä. Direktiivissä asetetaan minimitavoitteet ja jäsenvaltiolle jätetään harkintavaltaa, miten se toteuttaa tavoitteiden saavuttamiseksi tarvittavat toimenpiteet. Direktiivin tavoitteita pidemmälle menevä kansallinen sääntely on mahdollista.  

Kriittistä infrastruktuuria tai yhteiskunnan toimintakyvyn kannalta keskeisiä toimijoita ei nykyisin määritellä Suomessa lainsäädännön tasolla. Yhteiskunnan elintärkeät toiminnot on määritelty yhteiskunnan turvallisuusstrategiassa, jonka mukaan niitä ovat johtaminen, kansainvälinen ja EU-toiminta, puolustuskyky, sisäinen turvallisuus, talous, infrastruktuuri ja huoltovarmuus, väestön toimintakyky ja palvelut sekä henkinen kriisinkestävyys. Varautumiseen ja huoltovarmuuteen liittyvää sääntelyä on useissa eri laeissa. Yhteiskunnan elintärkeitä toimintoja ylläpitävien toimialojen kriittisten palvelujen varautumisvelvollisuuksia koskevia säännöksiä on esimerkiksi energia-alalla, finanssialalla, terveydenhuollossa ja lääkehuollossa sekä digipalveluiden osalta. Varautumista koskevaa lainsäädäntöä on sektorikohtaisten säädösten lisäksi valmiuslaissa (1552/2011), jossa säädetään muun ohella toimivaltaisten viranomaisten varautumisvelvollisuudesta.  

Ehdotettu sääntely koskee useita hallinnonaloja. Yleislailla yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta täydennetään nykyistä sektorikohtaista sääntelyä. Ehdotetun lain mukaiset toimenpiteet, huoltovarmuustoiminta ja valmiuslain mukainen varautuminen täydentävät toisiaan. Hallintovaliokunta toteaa, että valmiuslakia ja huoltovarmuuslainsäädäntöä uudistetaan parhaillaan. Lisäksi käynnissä on valtioneuvoston turvallisuusjohtamista koskeva hanke. Valiokunta tähdentää, että CER-sääntelyn edellyttämä kansallinen toiminta tulee järjestää niin, että se muodostaa EU:n kyberturvallisuussääntelyn (NIS 2), finanssialan digitaalista häiriönsietokykyä koskevan EU-sääntelyn (DORA), valmisteilla olevan uuden huoltovarmuuslainsäädännön sekä sektorikohtaisen lainsäädännön kanssa toimivan ja johdonmukaisen kokonaisuuden. 

Hallintovaliokunta on saanut asiassa liikenne- ja viestintävaliokunnan (LiVL 2/2025 vp), maa- ja metsätalousvaliokunnan (MmVL 2/2025 vp), sosiaali- ja terveysvaliokunnan (StVL 1/2025 vp) ja talousvaliokunnan lausunnon (TaVL 5/2025 vp). Hallintovaliokunta käsittelee tässä mietinnössä eräitä lausunnoissa esiin nostettuja seikkoja ja viittaa muilta osin mainittuihin lausuntoihin. 

Lain soveltamisala ja sen rajaukset

CER-direktiivin soveltamisalaan kuuluu 11 toimialaa: energia, liikenne, pankkiala, rahoitusmarkkinoiden infrastruktuuri, terveys, juomavesi, jätevesi, digitaalinen infrastruktuuri, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu. Näistä energia ja liikenne on jaettu edelleen alasektoreihin. Komissio on antanut direktiivin nojalla delegoidun asetuksen CER-direktiivin täydentämisestäKomission delegoitu asetus (EU) 2023/2450 Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla luettelo keskeisistä palveluista, jossa vahvistetaan luettelo keskeisistä palveluista. Luettelo ei ole tyhjentävä.  

CER-direktiivin velvoitteet eivät kohdistu sosiaalihuollon tarjoajiin. Ehdotettuun lakiin on kuitenkin tehty kansallinen laajennus sosiaalihuollon osalta Suomen sosiaali- ja terveydenhuollon keskinäisriippuvuuden ja palvelurakenteen vuoksi. Lakiehdotuksen 1 §:n 4 momentista ilmenee, että lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:ssä tarkoitettujen terveydenhuollon palvelunjärjestäjien ja palveluntuottajien lisäksi myös sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin. Hyvinvointialueisiin lakia sovelletaan niiden järjestämän ja tuottaman sosiaali- ja terveydenhuollon osalta, mutta ei pelastustoimen osalta. Soveltamisala kattaa Suomessa julkiset ja yksityiset sosiaali- ja terveydenhuollon palvelujen järjestäjät ja tuottajat eli keskeisesti hyvinvointialueet sekä yksityiset sosiaali- ja terveyspalveluyrittäjät. Myös valtion järjestämä sosiaali- ja terveydenhuolto kuuluu lähtökohtaisesti lain soveltamisalaan. Hallintovaliokunta pitää sosiaali- ja terveysvaliokunnan tavoin perusteltuna ja tärkeänä, että direktiivin sääntely laajennetaan kansallisesti koskemaan myös sosiaalihuoltoa. Kansallinen laajennus mahdollistaa muun muassa yksityisiä sosiaali- ja terveydenhuollon palveluja tarjoavien yritysten nimeämisen kriittisiksi toimijoiksi. 

Sosiaali- ja terveysvaliokunnan lausunnossa kiinnitetään huomiota siihen, että sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä määritellään palvelunjärjestäjäksi myös Kansaneläkelaitos. Ehdotettua lakia ei ole saadun selvityksen mukaan kuitenkaan tarkoitus soveltaa Kansaneläkelaitokseen. Hallintovaliokunta ehdottaa lain soveltamisalasäännöstä tältä osin täsmennettäväksi. Muutoin lain soveltamisalan kattavuutta on perusteltua arvioida vasta sen jälkeen, kun lain soveltamisesta on kertynyt riittävästi kokemusta. 

Elintarvikkeiden osalta CER-direktiiviä sovelletaan ainoastaan EU:n elintarvikeasetuksessa määriteltyihin elintarvikeyrityksiin, jotka toimivat yksinomaan logistiikan ja tukkukaupan sekä laajamittaisen teollisen tuotannon ja jalostuksen alalla. Alustavien arvioiden mukaan direktiivin ja ehdotetun lain soveltamisala ei Suomessa kata kovinkaan montaa elintarvikealan yritystä. Elintarvikealan määritelmästä seuraa, että myöskään alkutuotanto ei kuulu direktiivin soveltamisalaan. Maa- ja metsätalousvaliokunta pitää lausunnossaan perusteltuna, että CER-direktiivin kansallisessa täytäntöönpanossa on rajauduttu elintarvikeketjun osalta direktiivin mukaiseen soveltamisalaan. Maa- ja metsätalousvaliokunta pitää elintärkeänä, että osana elintarvikehuoltovarmuuden hyväksi tehtävää työtä myös alkutuotannon yritysten jatkuvuuden hallintaa tuetaan esimerkiksi polttoaineen jakelun ja varastoinnin sekä sähkönsaannin turvaamiseksi maatiloilla kriisitilanteissa. 

Edellä mainitussa NIS 2 -direktiivissä edellytetään, että sen mukaisia velvoitteita kyberturvallisuutta koskevasta riskienhallinnasta ja merkittävien poikkeamien raportoinnista sovelletaan myös CER-direktiivin nojalla kriittisiksi toimijoiksi määriteltyihin toimijoihin. Esityksen perusteluissa todetaan, että valtioneuvosto valmistelee erikseen esityksen teknisistä lainsäädäntömuutoksista, jotka ovat tarpeen kyberturvallisuuslain (124/2025, EV 15/2025 vpHE 57/2024 vp) velvoitteiden soveltamiseksi kriittisiin toimijoihin NIS 2- ja CER-direktiivien edellyttämällä tavalla. Tämä hallituksen esitys (HE 27/2025 vp) on juuri annettu eduskunnalle. 

Liikenne- ja viestintävaliokunta kiinnittää lausunnossaan hallintovaliokunnan huomiota siihen, että NIS 2 -direktiivin täytäntöönpanoa koskevan sääntelyn eduskuntakäsittelyn yhteydessä julkisen hallinnon tiedonhallinnasta annettua lakia (906/2019) täsmennettiin perustuslakivaliokunnan (PeVL 62/2024 vp) edellyttämin tavoin niin, että sen 4 a lukua kyberturvallisuutta koskevista velvollisuuksista ja niiden noudattamisen valvonnasta ei sovelleta eduskunnan virastoihin. Hallintovaliokunta toteaa, että esimerkiksi eduskunta, eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri on rajattu yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta säädettävän lain 2 §:n 1 momentissa lain soveltamisalan ulkopuolelle. Ehdotetun 1 §:n 2 momentin mukaan CER-direktiivissä tarkoitetulla julkishallinnon toimijaluokalla puolestaan tarkoitetaan viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1 kohdassa säädettyjä viranomaisia eli valtion hallintoviranomaisia sekä muita valtion virastoja ja laitoksia. Lain soveltamisala ei näin ollen kata esimerkiksi eduskunnan virastoja. Sääntelyä ei ole tältä osin tarpeen täsmentää.  

Valiokunta toteaa selvyyden vuoksi, että ehdotettua lakia ei sovelleta myöskään viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla eikä rikosten ennalta estämiseen, rikosten tutkintaan, syyteharkintaan saattamisen toteuttamiseen tai syytteeseen panoon. Ehdotettua lakia ei näin ollen sovelleta esimerkiksi Puolustusvoimiin, Rajavartiolaitokseen, poliisiin, suojelupoliisiin, Syyttäjälaitokseen tai Tulliin. 

Valtakunnallinen suunnitelma ja kansallinen riskiarvio

Valtioneuvosto hyväksyy ehdotuksen mukaan jatkossa kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja toiminnan yleisten tavoitteiden saavuttamiseksi kansallisen strategian valtakunnallisena suunnitelmana. Valtioneuvosto hyväksyy vähintään neljän vuoden välein myös kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin. Valtakunnallinen suunnitelma ja kansallinen riskiarvio tulee hyväksyä ensimmäisen kerran viimeistään 17.1.2026.  

Vuonna 2023 viimeksi laaditussa kansallisessa riskiarviossa on tunnistettu noin 20 keskeistä riskiä, joilla on laajaa kansallista merkitystä. Nykyinen EU:n pelastuspalvelumekanismiinEuroopan parlamentin ja neuvoston päätös N:o 1313/2013/EU unionin pelastuspalvelumekanismista perustuva kansallinen riskiarvio ei vastaa CER-direktiivin mukaista riskiarviointia. Pelastuspalvelumekanismin mukainen riskiarviointi ja muut merkitykselliset riskiarvioinnit otetaan kuitenkin ehdotetun lain mukaista riskiarviota laadittaessa huomioon.  

Ehdotetun lain mukaisessa kansallisessa riskiarviossa on käsiteltävä merkityksellisiä luonnonriskejä, ihmisen aiheuttamia riskejä, useita toimialoja koskevia tai rajat ylittäviä riskejä, onnettomuuksia ja luonnonkatastrofeja, kansanterveydellisiä uhkia, hybridiuhkia ja vieraan valtion toimintaa (valtiollista vaikuttamista), terrorismirikoksiin liittyviä uhkia, teknologiaan liittyviä kansallisen turvallisuuden uhkia ja paikkatiedon väärinkäytön uhkaa sekä muita uhkia. Valiokunta pitää perusteltuna, että uuden lain mukainen riskiarvio on mahdollisimman kattava. 

Paikkatiedon väärinkäyttö on perustelujen mukaan tunnistettu yhdeksi merkitykselliseksi riskiksi, sillä paikkaan sidottu tieto on tietoyhteiskunnan toiminnan kannalta kriittinen elementti ja paikkatietoon yhdistyy myös muita tärkeitä kohdetietoja. Maa- ja metsätalousvaliokunnan lausunnossa viitataan siihen, että jo paikkatietopoliittisen selonteon käsittelyn yhteydessä vuonna 2018 on korostettu huoltovarmuuden ja turvallisuusviranomaisten kannalta kriittisten yritysten tarvitseman paikkatiedon sisällön ja saatavuuden varmistamista. Hallintovaliokunta on tuolloin kiinnittänyt huomiota paikkatiedon väärinkäyttöön liittyviin riskeihin (HaVL 24/2018 vp VNS 2/2018 vp). 

Valiokunta pitää valtakunnallista suunnitelmaa ja kansallista riskiarviota merkityksellisinä asiakirjoina, sillä kriittisten toimijoiden määrittäminen ja niiden tukeminen ehdotetussa laissa tarkoitetulla tavalla perustuu riskiperusteiseen lähestymistapaan ja kansallista riskiarviointia hyödynnetään kriittisten toimijoiden määrittämisessä. Riskiperusteinen lähestymistapa tarkoittaa sitä, että toimenpiteet kohdistetaan niihin toimijoihin, joiden merkitys välttämättömille yhteiskunnan toiminnoille tai taloudelliselle toiminnalle on suurin.  

Kriittisen toimijan tunnistaminen ja kriittisen toimijan keskeiset velvoitteet

Lakiehdotus sisältää CER-direktiivin mukaisesti kriittisen toimijan tunnistamisen ja määrittämisprosessin, tunnistamiseen liittyvän yhteisen kriteeristön sekä velvoitteet kriittisille toimijoille parantaa häiriönsietokykyään ja valmiuksiaan tarjota keskeisiä palveluja vähintään direktiivin velvoitteiden vähimmäistason mukaisesti. Kriittisen toimijan määrittämisessä otetaan huomioon muun muassa edellä mainitut kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskinarviointi sekä rajat ylittävä toiminta ja eurooppalainen yhteismitallisuus. 

Valiokunta toteaa, että kriittisen toimijan tunnistamisella ja määrittämisellä on keskeinen merkitys, koska ehdotetun lain säännöksiä sovelletaan niihin toimijoihin, jotka määritellään asianomaisen ministeriön päätöksellä kriittisiksi toimijoiksi. Yksityinen tai julkinen yhteisö taikka sen toiminnallinen osa voidaan ehdotetun 10 §:n mukaan määrittää kriittiseksi toimijaksi ensinnäkin, jos se tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua. Lisäksi edellytetään, että toimija toimii ja sen omistama, hallinnassa oleva tai käyttämä kriittinen infrastruktuuri sijaitsee Suomen alueella. Poikkeamalla eli tapahtumalla, joka voi merkittävästi häiritä tai joka häiritsee keskeisen palvelun tarjoamista, tulee olla merkittäviä haitallisia vaikutuksia toimijan yhden tai useamman kyseisen keskeisen palvelun tarjoamiseen tai muiden keskeisten palvelujen tarjoamiseen palvelusta riippuvaisilla toimialoilla.  

Kriittisen toimijan määrittämistä koskevan asian ratkaisee se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu. Päätös on voimassa enintään neljä vuotta. Asianomainen ministeriö voi peruuttaa kriittistä toimijaa koskevan määrittämispäätöksen, jos kriittinen toimija ei enää täytä annetun päätöksen edellytyksiä tai kriittinen toimija on lopettanut toimintansa. Ministeriön päätös kriittisen toimijan määrittämisestä tulee tehdä ensimmäisen kerran viimeistään 17.7.2026. 

Kriittisen toimijan keskeiset velvoitteet liittyvät riskiarviointiin, häiriönsietokykyä koskevaan suunnitelmaan ja toimenpiteisiin häiriönsietokyvyn varmistamiseksi. Kriittisen toimijan on ehdotuksen mukaan suoritettava riskiarviointi tarvittaessa ja vähintään neljän vuoden välein. Riskiarviointia laadittaessa on otettava huomioon kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio ja muut riskiarvioinnin kannalta merkittävät tietolähteet. Kriittisen toimijan on myös toteutettava häiriönsietokykynsä varmistamiseksi asianmukaisia ja oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä, jotka perustuvat kriittisen toimijan suorittamaan riskiarviontiin ja muihin asiaan kuuluviin tietoihin, ja laadittava tässä tarkoituksessa suunnitelma häiriönsietokyvyn varmistamiseksi. Hallintovaliokunta pitää tärkeänä, ettei kriittisille toimijoille muodostu ehdotetun lain mukaisista velvoitteista kohtuutonta hallinnollista taakkaa. Tältä osin on perusteltua, ettei riskiarviota tai suunnitelmaa tarvitse erikseen laatia, jos vastaavaa tarkoitusta varten on jo laadittu riskiarvio tai suunnitelma, vaan samaa asiakirjaa voidaan hyödyntää.  

Ehdotettu lainsäädäntö velvoittaa kriittisen toimijan on ilmoittamaan ilman aiheetonta viivytystä valvovalle viranomaiselle ja valtioneuvoston tilannekeskukselle poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista. Valiokunta ehdottaa yksityiskohtaisista perusteluista ilmenevin tavoin sääntelyä täsmennettäväksi niin, että ilmoitusvelvollisuus koskee merkittävää poikkeamaa.  

Toimivaltaiset viranomaiset

Jäsenvaltioiden on CER-direktiivin 9 artiklan 1 kohdan mukaan nimettävä tai perustettava yksi tai useampi toimivaltainen viranomainen, joka vastaa direktiivin asianmukaisesta soveltamisesta kansallisella tasolla. Direktiivin 9 artiklan 2 kohdan mukaan kunkin jäsenvaltion on nimettävä tai perustettava yksi keskitetty yhteyspiste, jotta rajat ylittävä yhteistyö muiden jäsenvaltioiden keskitettyjen yhteyspisteiden kanssa voidaan varmistaa. Tarvittaessa jäsenvaltion on nimettävä sen keskitetty yhteyspiste toimivaltaisen viranomaisen yhteyteen. Tarvittaessa jäsenvaltio voi myös säätää, että sen keskitetty yhteyspiste hoitaa yhteydenpidon komission kanssa ja varmistaa yhteistyön kolmansien maiden kanssa. 

Hallintovaliokunta toteaa, että ehdotetulla lainsäädännöllä ei perusteta uusia viranomaisia. Sisäministeriö toimii lakiehdotuksen mukaan yhteensovittamistehtävää hoitavana ministeriönä, jonka tehtäviin kuuluu ehdotetun lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen. Sisäministeriö toimii CER-direktiivin 9 artiklan 1 kohdan mukaisena toimivaltaisena viranomaisena ja vastaa kansallisen yhteyspisteen tehtäviä hoitavan tahon ilmoittamisesta komissiolle.  

Muita toimivaltaisia viranomaisia ehdotetussa laissa ovat ministeriöt, jotka vastaavat kriittisen toimijan määrittämisestä toimialallaan, sekä valvontaviranomaiset, joista säädetään CER-lain 19 §:ssä. Valvovat viranomaiset ovat samoja, jotka jo nykyisin suorittavat valvontaa toimialallaan. Kriittiselle toimijalle säädettyjen ja määrättyjen velvoitteiden noudattamista valvovat Energiavirasto, Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus, Liikenne- ja viestintävirasto (Traficom), Lääkealan turvallisuus- ja kehittämiskeskus (Fimea), Ruokavirasto ja Turvallisuus- ja kemikaalivirasto (Tukes) sekä sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ja aluehallintovirastot. Valiokunnan asiantuntijakuulemisessa on kiinnitetty huomiota siihen, ettei avaruustoimialan valvontatehtäviä ole ehdotetussa laissa säädetty millekään viranomaiselle. Valiokunta ehdottaa sääntelyä tältä osin täsmennettäväksi. Valiokunta toteaa lisäksi tässä yhteydessä, että eduskunnan käsiteltävänä on parhaillaan hallituksen esitys valtion aluehallinnon uudistamista koskevaksi lainsäädännöksi (HE 13/2025 vp), jossa ehdotetaan nykyisten aluehallintovirastojen, Valviran ja ELY-keskusten tehtävien siirtämistä perustettaville uusille virastoille.  

Talousvaliokunta kiinnittää lausunnossaan huomiota siihen, että esityksessä ei nimetä yhtä keskitettyä yhteyspistettä, vaan direktiivin mukaisia yhteyspisteen tehtäviä ehdotetaan jaettavaksi usealle taholle, kuten valtioneuvoston tilannekeskukselle, sisäministeriölle ja Huoltovarmuuskeskukselle. Talousvaliokunta pitää valittua ratkaisua ongelmallisena direktiivin huolellisen täytäntöönpanon näkökulmasta ja pyytää, että hallintovaliokunta arvioisi mietinnössään, vastaako ehdotettu sääntely tältä osin direktiivin täytäntöönpanolle asetettuja vaatimuksia. Talousvaliokunta on todennut huoltovarmuusselonteosta antamassaan mietinnössä (TaVM 51/2022 vpVNS 8/2022 vp), että Huoltovarmuuskeskus alan huoltovarmuuskysymysten käytännön järjestäjänä olisi luonteva taho CER-direktiivin mukaiseksi kansalliseksi yhteyspisteeksi. Myös liikenne- ja viestintävaliokunta, maa- ja metsätalousvaliokunta ja sosiaali- ja terveysvaliokunta kiinnittävät lausunnoissaan huomiota Huoltovarmuuskeskuksen rooliin ehdotetussa lainsäädännössä.  

Hallintovaliokunta pitää perusteltuna ratkaisuna, että toimivaltaisen viranomaisen tehtävät ja valvontatehtävät hajautetaan sektoriviranomaisille, sillä ne tuntevat parhaiten oman toimialansa erityispiirteet. Valiokunta pitää sen sijaan valitettavana, ettei esityksen perusteluista kovinkaan selvästi ilmene, miten CER-direktiivin mukaiset keskitetyn yhteyspisteen tehtävät on tarkoitus Suomessa järjestää ja mille viranomaiselle tehtävät osoitetaan. Keskitetyn yhteyspisteen toimintoja osoitetaan ehdotetussa laissa osaltaan valtioneuvoston tilannekeskukselle, joka vastaa poikkeamailmoitusten välittämisestä komissiolle ja toiseen jäsenvaltioon rajat ylittävissä häiriötilanteissa. Esityksen mukaan valtioneuvoston päätöksentekoon liittyvä päivystystoiminnallisuus on nykyisinkin keskitetty valtioneuvoston tilannekeskukseen ja CER-direktiivin mukainen tehtävä sopii tilannekeskuksen nykyiseen toimintakenttään. Häiriötilanteisiin ja häiriötietojen välittämiseen voi liittyä myös ulko- ja turvallisuuspoliittisia näkökulmia ja ulkopoliittista harkintaa. Hallintovaliokunnan käsityksen mukaan ehdotettu malli vastaa direktiivin sääntelyä keskitetyn yhteyspisteen nimeämisestä toimivaltaisen viranomaisen yhteyteen. 

Huoltovarmuuskeskuksen tehtävistä säädetään huoltovarmuuden turvaamisesta annetun lain (1390/1992) 6 §:ssä. Sen tehtävät koostuvat erilaisista huoltovarmuuden edistämiseen, kehittämiseen, turvaamiseen ja ylläpitoon liittyvistä tehtävistä, kuten julkishallinnon ja elinkeinoelämän yhteistoiminnan kehittämisestä huoltovarmuusasioissa, välttämättömän tavara- ja palvelutuotannon sekä sotilaallista maanpuolustusta tukevan tuotannon turvaamisesta sekä velvoite- ja turvavarastoinnin hoitamisesta. Huoltovarmuuskeskus hoitaa myös EU-asetuksessaEuroopan parlamentin ja neuvoston asetus (EU) 2017/1938 toimista kaasun toimitusvarmuuden turvaamiseksi ja asetuksen (EU) N:o 994/2010 kumoamisesta säädetyt kaasun toimitusvarmuuden turvaamiseen liittyvät kansallisen toimivaltaisen viranomaisen tehtävät ja eräitä erityislainsäädännön mukaisia tehtäviä. 

Hallituksen esityksen perusteluista ilmenee, että Huoltovarmuuskeskuksen oikeudellinen luonne on nykyisin jossain määrin epäselvä. Esimerkiksi keskuksen asemasta perustuslain 119 §:ssä tarkoitettuna valtion keskushallintoon kuuluvana virastona ei säädetä nimenomaisesti huoltovarmuuden turvaamisesta annetussa laissa. Eduskunta on vuonna 2023 hyväksynyt valtioneuvoston huoltovarmuusselonteon (EK 86/2022 vpVNS 8/2022 vp), jossa määritellään huoltovarmuuden keskeiset kehittämistavoitteet. Selonteossa on todettu muun ohella tarve kehittää huoltovarmuuslainsäädäntöä. Huoltovarmuuslainsäädännön kokonaistarkastelu sisältyy myös hallitusohjelmaan. Lainsäädännön kokonaisuutta arvioidaan työ- ja elinkeinoministeriön asettamassa hankkeessa, jonka toimikausi päättyy 31.12.2025. Sääntelyn ajantasaistamisen tavoitteena on muun muassa Huoltovarmuuskeskuksen tehtävien tarkempi määrittely ja Huoltovarmuuskeskuksen oikeudellisen aseman selkeyttäminen nykyistä tarkemmin säännöstasolla sekä sääntelyn päivittäminen vastaamaan perustuslain ja eduskunnan perustuslakivaliokunnan viimeaikaista lausuntokäytäntöä. Edelleen kokonaisuuteen liittyy huoltovarmuuden rahoituksen uudelleen tarkastelu. 

Lakiehdotuksen 8 §:n mukaan sisäministeriö, sektoriministeriöt ja valvovat viranomaiset edistävät yhteistyössä Huoltovarmuuskeskuksen kanssa yleisesti kriittisten toimijoiden häiriönsietokykyyn liittyviä kokonaisuuksia ja tekevät erinäisiä toimia tässä tarkoituksessa. Valvova viranomainen antaa yhteistyössä Huoltovarmuuskeskuksen kanssa CER-direktiivin 10 artiklan 1 kohdassa tarkoitettua tukea kriittiselle toimijalle. Tämä tuki voi olla ohjemateriaalin ja menetelmien laatimista, häiriönsietokykyä testaavien harjoitusten järjestämisen tukemista tai neuvontaa ja koulutusta. Huoltovarmuuskeskukselta myös pyydetään lausunto ennen kuin tehdään päätös kriittisen toimijan määrittämisestä. Huoltovarmuuskeskuksen tiedonsaannista säädetään ehdotetun lain 16 ja 27 §:ssä. Mainitut tehtävät ovat perustelujen mukaan Huoltovarmuuskeskuksen nykyistä toimintaa tukevia tehtäviä, joihin ei kuulu julkisen vallan käyttöä.  

Hallintovaliokunta pitää lausuntovaliokuntien tavoin tärkeänä, että CER-direktiivin kansallisessa toimeenpanossa voidaan hyödyntää mahdollisimman tehokkaasti olemassa olevia huoltovarmuusrakenteita. Perustelujen mukaan CER-direktiiviin perustuva lakiehdotus on osin lähtökohdiltaan ja periaatteiltaan erilainen kuin Suomen varautumis- ja huoltovarmuusjärjestelmä. Ehdotettu lainsäädäntö tukeutuu kuitenkin olemassa olevien valmius- ja huoltovarmuusrakenteiden hyödyntämiseen. Hallintovaliokunta yhtyy talousvaliokunnan näkemykseen siitä, että hallituksen esityksestä eivät käy ilmi ehdotuksen vaikutukset valmisteltavana olevaan huoltovarmuussääntelyyn tai huoltovarmuusorganisaation toimintaan. Valiokunta kuitenkin korostaa edellä todettuun viitaten, että Huoltovarmuuskeskuksen asemaa ja tehtäviä tarkastellaan parhaillaan käynnissä olevassa lainsäädäntöhankkeessa. Hallintovaliokunta ei pidä tarkoituksenmukaisena tehdä Huoltovarmuuskeskuksen tehtäviin muutoksia nyt käsiteltävänä olevan esityksen eduskuntakäsittelyn aikana.  

Tiedonsaantioikeudet ja tiedonvaihto

CER-lain nojalla määritetyn kriittisen toimijan on ehdotetun 16 §:n 1 momentin mukaan ilmoitettava ilman aiheetonta viivytystä asianomaiselle valvovalle viranomaiselle ja valtioneuvoston tilannekeskukselle poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista. Ensi-ilmoitus on annettava viimeistään 24 tunnin kuluttua siitä, kun poikkeama on tullut tietoon, jollei välttämättömästä operatiivisesta syystä muuta johdu. Yksityiskohtainen raportti annetaan tarvittaessa viimeistään kuukauden kuluttua yhteensovittamistehtävää hoitavalle ministeriölle, toimialasta vastaavalle ministeriölle ja toimivaltaiselle valvovalle viranomaiselle.  

Huoltovarmuuskeskuksella on 16 §:n 4 momentin mukaan oikeus saada tehtäviensä hoitamiseksi ja asianomaisten ministeriöiden ja valvovien viranomaisten tukemiseksi välttämättömiksi arvioidut tiedot ensi-ilmoituksesta ja yksityiskohtaisesta raportista salassapitosäännösten estämättä. 

Ehdotetun 27 §:n mukaan valvovalla viranomaisella on oikeus salassapitosäännösten estämättä saada viranomaisilta ja kriittiseksi toimijaksi määritetyltä toimijalta maksutta tehtäviensä hoitamiseksi välttämättömät tiedot ja luovuttaa välttämättömät tiedot toiselle valvovalle viranomaiselle ja kyberturvallisuuslain 26 §:n mukaiselle valvovalle viranomaiselle sekä yhteensovittavana ministeriönä toimivalle sisäministeriölle ja ministeriölle, jonka toimialaan käsiteltävä asia kuuluu. Valvovalla viranomaisella on oikeus luovuttaa välttämättömät tiedot myös Huoltovarmuuskeskukselle sen tehtävien hoitamiseksi. Edellä todettu tiedonsaantioikeus ei koske kyberturvallisuuslain 19 §:ssä tarkoitetun Liikenne- ja viestintävirastossa toimivan CSIRT-yksikön käsittelemiä tietoja.  

Hallintovaliokunta toteaa, että hybridiuhat ovat tarkoituksellisen moniulotteisia ja niiden vaikutukset ja torjuntavastuut voivat ulottua useiden kansallisten viranomaisten vastuulle. Hallintovaliokunta pitää tärkeänä, että näihin vaikuttamisyrityksiin varaudutaan poikkihallinnollisesti ja yhteiskunnan kaikilla tasoilla kokonaisturvallisuuden mallin mukaisesti. Turvallisuusviranomaisten ja muiden toimijoiden tiivis yhteistyö ja toimiva tiedonvaihto ovat välttämättömiä hybridiuhkien tehokkaassa torjunnassa.  

Hybridiuhkat näyttäytyvät realisoituessaan alkuvaiheessa yleensä sisäisen turvallisuuden toimialueella ja erityisesti poliisin ja Rajavartiolaitoksen toiminnassa, jotka toimivat ensivasteviranomaisina epäselvissä uhkissa ja tapahtumissa niin kauan kuin ne eivät ole tulkittavissa tai tunnistettu sotilaallisiksi uhkiksi. Vaikuttamistoimia käsitellään ainakin alkuvaiheessa pääosin rikoksina tai järjestyshäiriöinä, joissa operatiivinen vaste ja tutkinta kuuluvat Suomessa pääasiallisesti poliisin toimivaltaan. Muut viranomaiset antavat poliisille tarvittaessa virka-apua, jos poliisin omat voimavarat ovat riittämättömät. Tämä voimassa olevan lainsäädännön mukainen toimivallanjako on näkynyt viime aikoina muun muassa merellisen infrastruktuurin vahingoittumistapauksissa Itämerellä. Alueelliset poliisilaitokset vastaavat poliisin operatiivisesta ensivasteesta alueillaan 24/7.  

Poliisi pyrkii estämään ennalta uhkia mahdollisimman laajasti muun muassa yhteistyössä kriittisen infrastruktuurin omistajien ja haltijoiden kanssa. Jotta poliisi voi huolehtia omasta tehtävästään, se tarvitsee viiveettä tiedon kriittiseen infrastruktuuriin kohdistuvista uhkista. Valiokunnan asiantuntijakuulemisessa on kiinnitetty huomiota siihen, etteivät ehdotetun lain mukaiset ilmoittamisvelvollisuutta ja tiedonsaantioikeuksia koskevat säännökset tue poliisin viiveetöntä tiedonsaantia. Hallintovaliokunta pitää tärkeänä, että poliisilla on mahdollisimman laaja ja ajantasainen tilannekuva kriittiseen infrastruktuuriin kohdistuvista uhkista.  

Valtioneuvoston tilannekeskuksella, jolle poikkeamista ehdotetun sääntelyn mukaan ilmoitetaan, on siitä annetun lain (300/2017) 4 §:n mukaan oikeus luovuttaa mainitun lain nojalla saamiaan salassa pidettäviä tietoja esimerkiksi toimivaltaisille viranomaisille, jos ne ovat välttämättömiä turvallisuustilanteen edellyttämän päätöksenteon tueksi tai välittömän ja vakavan yleistä turvallisuutta uhkaavan vaaran torjumiseksi. Koska poikkeamasta ei ehdotetun lain mukaan ilmoiteta suoraan toimivaltaiselle turvallisuusviranomaiselle, saattaa niiden tiedonsaanti joissain tapauksissa tarpeettomasti viivästyä. Tämä vaikeuttaa osaltaan tilannekuvan muodostamista. 

Valiokunta toteaa, että ehdotetun lainsäädännön tavoitteet liittyvät erityisesti kriittisten toimijoiden kriisinkestävyystoimien parantamiseen. Laissa edellytettävät toimenpiteet ovat etupainotteisia tapahtumien estämiseksi ja niiden seurausten lieventämiseksi. Valiokunta pitää tärkeänä, että kriittiset toimijat ilmoittavat matalalla kynnyksellä poliisille erilaisista poikkeamista. Valiokunta ei kuitenkaan tässä yhteydessä ehdota sääntelyyn muutoksia. 

CER-direktiivissä edellytetään jäsenvaltioiden helpottavan kriittisten toimijoiden välistä vapaaehtoista tiedonvaihtoa direktiivin soveltamisalaan kuuluvissa asioissa, erityisesti turvallisuusluokiteltuja ja arkaluonteisia tietoja, kilpailua ja henkilötietojen suojaa koskevan unionin ja kansallisen lainsäädännön mukaisesti. Asiantuntijakuulemisessa on kiinnitetty huomiota siihen, ettei mainittua tavoitetta ole otettu lakiehdotuksessa huomioon eikä mahdollisia lainsäädännöllisiä esteitä tiedon vaihtamiseksi tai valtakunnallisen toimialaa koskevan tiedon saamiseksi ole esityksessä käsitelty. Valiokunta toteaa, että sääntelyn muutostarpeita on tältäkin osin myöhemmin arvioitava. 

Ulkomaanliikenteen satamien turvallisuusselvitykset

Esityksessä ehdotetaan satamien turvallisuutta parantavia muutoksia turvallisuusselvityslakiin (726/2014, 2. lakiehdotus) sekä eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annettuun lakiin (485/2004, 5. lakiehdotus).  

Ehdotetun sääntelyn tarkoituksena on ehkäistä sataman kriittisten tietojen käyttämistä valtion turvallisuutta vaarantaviin tekoihin tai järjestäytyneen rikollisuuden edistämiseen. Satamiin kohdistuva hybridi-, vakoilu- ja rikollisuusuhka on muuttuneessa turvallisuusympäristössä kasvanut aiempaa merkittävämmäksi. Satamien keskeisen merkityksen vuoksi niin valtiolliset kuin ei-valtiollisetkin toimijat, mukaan lukien järjestäytyneet rikollisryhmät, voivat pyrkiä hyödyntämään satamia erilaisiin laittomiin ja vahingollisiin tarkoitusperiin taikka häiritsemään tai vahingoittamaan niiden toimintaa. Satamat, kuten muutkin liikenteen solmukohdat, ovat tavara- ja matkustajavirtojen vuoksi mahdollisesti kiinnostavia kohteita terroristisille toimijoille. 

Satamat muodostavat matkustaja- ja logistiikkadatansa vuoksi myös valtiollisia toimijoita mahdollisesti kiinnostavan vakoilukohteen ja tarjoavat mahdollisuuden seurata tai vaikuttaa Suomelle elintärkeisiin matkustaja-, materiaali- ja energiavirtoihin. Satamilla on merkitystä myös maanpuolustukselle, ja niitä voidaan käyttää muun muassa sotilaallisen tuen vastaanottamiseen ja antamiseen.  

EU:n lainvalvontayhteistyövirasto Europolin mukaan järjestäytynyt rikollisuus on saanut suurempaa jalansijaa Euroopan satamissa, mikä on johtanut erityisesti huumausaineiden salakuljetuksen merkittävään kasvuun. Europolin mukaan järjestäytyneet rikollisryhmät käyttävät sisäpiiriasemaansa erityisesti huumausaineiden salakuljetukseen merikonteissa. Järjestäytynyt rikollisryhmä voi edistää salakuljetusta muun muassa hankkimalla pääsyn ja muokkausoikeuden lastinkäsittelyä koskeviin tai kulunvalvontaa ja muuta valvontaa koskeviin tietojärjestelmiin. 

Ehdotetun sääntelyn mukaan vastuu turvallisuusselvitysten hakemisesta on satamanpitäjällä. Tällainen keskitetty malli on valittu muun muassa tietoturvallisuuden varmistamiseen ja selvitysmenettelyn tehokkuuteen liittyvistä syistä. Turvallisuusselvityksen laatimisen yhteydessä käsitellään laajasti selvityksen kohdetta koskevia tietoja ja selvityksen lopputuloksena hakijalle voidaan ilmoittaa arkaluontoisia henkilötietoja tai valtion turvallisuuden näkökulmasta sensitiivisiä tietoja. Selvityksen kohteen yksityisyyden suojan ja kansallisen turvallisuuden näkökulmasta on tarkoituksenmukaista, ettei turvallisuusselvityksen tietoja käsitellä laajemmin kuin on välttämätöntä. Ulkomaansatamien satamanpitäjiä on Suomessa noin 65, mutta satamaoperointiyrityksiä on merkittävästi enemmän. Keskittämällä turvallisuusselvitysten hakeminen satamanpitäjille voidaan minimoida arkaluontoisten ja sensitiivisten tietojen käsittelyyn liittyviä riskejä. Turvallisuusselvitysten hakemisen keskittäminen satamanpitäjille on perusteltua myös kohdehenkilöiden yhdenvertaisen kohtelun vuoksi. Ehdotettu sääntelymalli vastaa voimassa olevan lain lähtökohtaa, jossa satamanpitäjällä on kokonaisvastuu sataman turvallisuudesta. Valiokunta pitää ehdotettua ratkaisua perusteltuna. 

Voimassa olevan turvallisuusselvityslain perusteella sataman turvallisuushenkilöstöstä voidaan laatia perusmuotoiset turvallisuusselvitykset. Lisäksi on mahdollista laatia suppea turvallisuusselvitys sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka pääsee satamassa yleisöltä suljettuihin tiloihin. Valiokunta katsoo, että voimassa olevan lainsäädännön perusteella ei voida riittävällä tavalla huolehtia satamien turvallisuudesta nykyisessä toimintaympäristössä.  

Resurssit

Ehdotetun lainsäädännön taloudellisten vaikutusten arviointiin liittyy perustelujen mukaan epävarmuutta, sillä vaikutukset riippuvat siitä, mitkä tahot määritetään kansalliseen strategiaan ja riskiarvioon perustuen kriittisiksi toimijoiksi. Velvoitteiden täytäntöönpano voi lisätä kriittisiksi toimijoiksi määriteltävien toimijoiden kustannuksia. Voimassa olevaan lainsäädäntöön sisältyy kuitenkin jo osin samankaltaisia velvoitteita ja osa toimijoista on jo vapaaehtoisesti kiinnittänyt häiriönsietokykyyn huomiota esimerkiksi huoltovarmuustoiminnan yhteydessä. Ehdotetun lainsäädännön toimeenpanossa tulee huolehtia siitä, etteivät kriittisten toimijoiden kustannukset tai hallinnollinen taakka tarpeettomasti kasva.  

Ministeriöille aiheutuu kustannuksia CER-direktiivin täytäntöönpanon edellyttämistä uusista viranomaistehtävistä. Velvoitteiden valvonta lisää jonkin verran valvontaviranomaisten tehtäviä ja resurssitarpeita. Valiokunta pitää tärkeänä, että etenkin uuden sääntelyn valvontaan osoitetaan riittävät resurssit. 

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1. Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta

1 §. Soveltamisala.

Ehdotetussa pykälässä säädetään lain soveltamisalasta. Valiokunta on tehnyt säännöksen sanamuotoa selkeyttävän teknisen korjauksen pykälän 2 momentin 1 kohtaan. Lisäksi valiokunta ehdottaa pykälän 4 momentin täsmentämistä niin, että siitä selkeästi ilmenee, ettei Kansaneläkelaitos kuulu lain soveltamisalaan. Saadun selvityksen mukaan ehdotettua lakia ei ole tarkoitus soveltaa Kansaneläkelaitokseen. Kansaneläkelaitoksen valtiosääntöoikeudellinen asema perustuu perustuslain 36 §:n säännöksiin. Koska Kansaneläkelaitos rajataan lain soveltamisalan ulkopuolelle, sitä ei voida säädettävän lain nojalla määrittää kriittiseksi toimijaksi. 

Samalla valiokunta ehdottaa 4 momentin sanamuotoon teknisiä tarkennuksia niin, että siinä viitataan terveydenhuollon palveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin, kuten samassa momentissa jäljempänä sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin.  

2 §. Soveltamisalan rajaukset.

Ehdotetussa pykälässä säädetään soveltamisalan rajauksista. Liikenne- ja viestintävaliokunnan ja talousvaliokunnan lausunnoissa kiinnitetään huomiota siihen, että CER-direktiivin 8 artiklan mukaan direktiiviä sovelletaan digitaalisen infrastruktuurin toimialalla vain rajoitetusti, koska kyseisen toimialan toimijoihin sovelletaan vastaavia NIS 2 -direktiivin mukaisia velvoitteita. Tämä periaate on asianmukaisesti otettu huomioon hallituksen esityksessä. 

Hallintovaliokunta toteaa saamansa selvityksen perusteella, että lakiehdotuksen 2 §:n 3 momentin mukaiset digitaalisen infrastruktuurin toimialaa koskevat soveltamisalarajaukset eivät kaikilta osin vastaa CER-direktiivin mukaisia rajauksia. Valiokunta ehdottaa tämän vuoksi pykälän 3 momenttia täsmennettäväksi niin, että lain 7 §:n 3 momentin 3—5 kohtaa ja 4 momenttia, 13 §:n 3 momenttia, 14—16 §:ää, 5 lukua ja 29 §:ää ei sovelleta CER-direktiivin liitteessä olevan taulukon 3 kohdassa tarkoitetun pankkialan, 4 kohdassa tarkoitetun rahoitusmarkkinoiden infrastruktuurin tai 8 kohdassa tarkoitetun digitaalisen infrastruktuurin toimialalla toimivaan kriittiseen toimijaan. 

3 §. Suhde muuhun lainsäädäntöön.

Valiokunta on lisännyt pykälän 4 momenttiin 8.4.2025 voimaan tulleen kyberturvallisuuslain (124/2025) säädöskokoelmanumeron. 

16 §. Poikkeamia koskeva ilmoitusvelvollisuus.

Talousvaliokunnan lausunnon mukaan CER-direktiivin suomenkielinen versio poikkeaa muista kieliversioista 15 artiklan 1 kohdan osalta. Muiden kieliversioiden mukaan kriittisten toimijoiden on ilmoitettava poikkeamista, jotka merkittävästi häiritsevät tai voivat merkittävästi häiritä keskeisten palvelujen tarjoamista. Suomenkielisestä versiosta ja lakiehdotuksesta on jäänyt pois edellytys poikkeaman merkittävyydestä. Myös liikenne- ja viestintävaliokunta ja sosiaali- ja terveysvaliokunta kiinnittävät lausunnoissaan samaan asiaan huomiota.  

Hallintovaliokunta toteaa, että ehdotetun lain 4 §:n 4 kohdan mukaan poikkeamalla tarkoitetaan tapahtumaa, joka voi merkittävästi häiritä tai joka häiritsee keskeisen palvelun tarjoamista. Tapahtuman merkittävyys sisältyy näin ollen poikkeaman määritelmään. Valiokunta ehdottaa kuitenkin 16 §:n 1 momentin täsmentämistä niin, että pykälän mukainen ilmoitusvelvollisuus koskee vain merkittäviä poikkeamia. Valiokunta on lisäksi tehnyt kielellisiä korjauksia pykälän 2 momenttiin. 

19 §. Valvovat viranomaiset.

Ehdotettua lakia sovelletaan 1 §:n 2 momentin 1 kohdan mukaan CER-direktiivin liitteen toimialaluokituksen mukaisesti muiden toimialojen ohella myös avaruuden alalla. Avaruustoimialan valvontatehtäviä ei ole kuitenkaan osoitettu lakiehdotuksessa millekään viranomaiselle. Hallintovaliokunta ehdottaa, että 19 §:n sääntelyä valvovista viranomaisista täydennetään niin, että Liikenne- ja viestintävirasto toimii valvovana viranomaisena myös niiden kriittisten toimijoiden osalta, jotka kuuluvat avaruustoimialan alaan (3 kohta).  

28 §. Viranomaisten yhteistyö.

Pykälä koskee viranomaisten yhteistyötä. Liikenne- ja viestintävaliokunnan lausunnon mukaan ehdotetun pykälän 2 momentin muotoilun perusteella jää tulkinnanvaraiseksi, mihin viranomaisiin 13 §:ssä tarkoitetuilla viranomaisilla viitataan. Hallintovaliokunta ehdottaa, että 2 momentin säännöstä täsmennetään niin, että siinä viitataan 13 §:n 1 momenttiin, jossa säädetään siitä, että kriittisen toimijan määrittämistä koskevan asian ratkaisee se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu. Lisäksi valiokunta katsoo, että lainkohdassa on tarpeen viitata myös 13 §:n 2 momenttiin, jonka mukaan ennen 1 momentissa tarkoitetun asian ratkaisemista on pyydettävä lausunto 7 §:ssä tarkoitetulta yhteensovittavalta ministeriöltä ja tarpeellisessa laajuudessa muilta ministeriöiltä ja Huoltovarmuuskeskukselta.  

Hallintovaliokunta korostaa tässäkin yhteydessä mahdollisimman tehokasta ja sujuvaa tiedonkulkua viranomaisten välillä. Näin ollen tietojenvaihdon mahdollisuutta ei tule tässäkään yhteydessä supistaa. 

30 §. Voimaantulo.

Valiokunta on tehnyt pykälään teknisen korjauksen. 

7.  Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta

1 §. Lain soveltamisala.

Pykälää on hallituksen esityksen antamisen jälkeen muutettu hallituksen esityksiin HE 57/2024 vp ja HE 213/2024 vp perustuen. Valiokunta on sovittanut nyt ehdotetut muutokset yhteen näiden aiemmin tehtyjen muutosten (EV 15/2025 vpHE 57/2024 vp ja EV 25/2025 vpHE 213/2024 vp) kanssa.  

VALIOKUNNAN PÄÄTÖSEHDOTUS

Hallintovaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 205/2024 vp sisältyvät 2. - 6. lakiehdotuksen. Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 205/2024 vp sisältyvät 1. ja 7. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Valiokunnan muutosehdotukset

1. Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta  

Eduskunnan päätöksen mukaisesti säädetään:  
1 luku 
Yleiset säännökset  
1 § 
Soveltamisala  
Tällä lailla pannaan täytäntöön kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, jäljempänä CER-direktiivi.  
Tätä lakia sovelletaan: 
1) CER-direktiivin liitteen toimialaluokituksen mukaisesti Valiokunta ehdottaa sisältöä poistettavaksi kuuluvilla Poistoehdotus päättyy energian, liikenteen, pankkialan, rahoitusmarkkinoiden infrastruktuurin, terveyden, juomaveden, jäteveden, digitaalisen infrastruktuurin, julkishallinnon, avaruuden sekä elintarvikkeiden tuotannon, jalostuksen ja jakelun lainsäädännön aloilla ottaen huomioon Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla luettelo keskeisistä palveluista annettu komission delegoitu asetus (EU) 2023/2450;  
2) ohjaukseen ja päätöksentekoon, joka koskee kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallisena suunnitelmana annettavaa kansallista strategiaa, kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevaa kansallista riskiarviointia ja yhteiskunnan toiminnan kannalta tunnistetun keskeisen toimijan määrittämistä 10 §:ssä tarkoitetuksi kriittiseksi toimijaksi;  
3) 1 kohdassa tarkoitettujen toimialaluokkien osalta tämän lain nojalla määritettyyn kriittiseen toimijaan ja sen velvollisuuksiin häiriönsietokyvyn parantamiseksi; 
4) kriittisen toimijan valvontaan; sekä 
5) viranomaisten yhteistyöhön. 
Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 9 kohdassa tarkoitetulla julkishallinnon toimialan toimijaluokalla tarkoitetaan tässä laissa viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1 kohdassa säädettyjä viranomaisia. 
Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 5 kohdassa tarkoitetun terveyden toimialan terveydenhuollon tarjoajan toimijaluokan osalta tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:ssä Valiokunta ehdottaa sisältöä muutettavaksi tarkoitettuihin Muutosehdotus päättyy terveydenhuollon palveluita Valiokunta ehdottaa sisältöä muutettavaksi järjestäviin tai tuottaviin Muutosehdotus päättyy palvelunjärjestäjiin ja palveluntuottajiin Valiokunta ehdottaa sisältöä muutettavaksi lukuun ottamatta Kansaneläkelaitosta Muutosehdotus päättyy, veripalvelulain (197/2005) mukaisiin veripalvelulaitoksiin, apteekkeihin sekä potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetussa Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU, jäljempänä potilasdirektiivi, tarkoitettuihin lääkkeitä ja lääkinnällisiä laitteita toimittaviin ja tarjoaviin toimijoihin. Lisäksi tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettuihin sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin. Hyvinvointialueisiin lakia sovelletaan niiden järjestämän ja tuottaman sosiaali- ja terveydenhuollon osalta.  
2 § 
Soveltamisalan rajaukset 
Tätä lakia ei sovelleta tasavallan presidentin kansliaan, eduskuntaan, eduskunnan oikeusasiamieheen, valtioneuvoston oikeuskansleriin, Suomen Pankkiin eikä tuomioistuimiin. Tätä lakia ei myöskään sovelleta viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla eikä rikosten ennalta estämiseen, rikosten tutkintaan, syyteharkintaan saattamisen toteuttamiseen tai syytteeseen panoon.  
Tämän lain 7 §:n 3 momenttia, 14—16 §:ää, 5 lukua ja 29 §:ää ei sovelleta sellaiseen kriittiseen toimijaan, joka toimii kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla tai tarjoaa palvelua 1 momentissa tarkoitetulle viranomaiselle. Mitä edellä tässä momentissa säädetään ei kuitenkaan koske sellaista kriittistä toimijaa, joka tarjoaa vähäisessä määrin palvelua kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla. 
Tämän lain 7 §:n 3 Valiokunta ehdottaa sisältöä muutettavaksi momentin 3-5 kohtaa ja 4 momenttia, 13 §:n 3 momenttia Muutosehdotus päättyy, 14—16 §:ää, 5 lukua ja 29 §:ää ei sovelleta CER-direktiivin liitteessä olevan taulukon 3 kohdassa tarkoitetun pankkialan, 4 kohdassa tarkoitetun rahoitusmarkkinoiden infrastruktuurin tai 8 kohdassa tarkoitetun digitaalisen infrastruktuurin toimialalla toimivaan kriittiseen toimijaan. 
Tätä lakia ei sovelleta sellaisen tiedon antamiseen, jonka ilmaiseminen tai luovuttaminen vaarantaa maanpuolustusta, kansallista turvallisuutta tai yleistä järjestystä ja turvallisuutta. 
3 §  
Suhde muuhun lainsäädäntöön 
Jos Euroopan unionin säädöksissä edellytetään alakohtaisesti kriittisten toimijoiden toteuttavan toimenpiteitä häiriönsietokyvyn parantamiseksi ja vaatimukset ovat vähintään tässä laissa säädettyjä velvoitteita vastaavia, kriittiseen toimijaan sovelletaan niitä tämän lain sijasta.  
Jos muussa laissa tai sen nojalla annetuissa säännöksissä on tästä laista poikkeavia vaatimuksia kriittisen toimijan riskiarvioinnista tai poikkeamista ilmoittamisesta ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, niitä sovelletaan tämän lain vastaavien säännösten asemasta. 
Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).  
Tämän lain mukaan määritetyn kriittisen toimijan velvollisuudesta hallita kyberturvallisuuteen liittyviä riskejä säädetään kyberturvallisuuslaissa (Valiokunta ehdottaa sisältöä muutettavaksi 124/2025 Muutosehdotus päättyy).  
4 §  
Määritelmät 
Tässä laissa tarkoitetaan: 
1) häiriönsietokyvyllä kriittisen toimijan kykyä ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä;  
2) keskeisellä palvelulla palvelua, joka on olennainen välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi;  
3) kriittisellä infrastruktuurilla hyödykettä, tilaa, laitteistoa, verkostoa ja järjestelmää sekä osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka on välttämätön keskeisen palvelun tarjoamiseksi;  
4) poikkeamalla tapahtumaa, joka voi merkittävästi häiritä tai joka häiritsee keskeisen palvelun tarjoamista, myös silloin, kun se vaikuttaa kansallisiin järjestelmiin, joilla ylläpidetään oikeusvaltiota;  
5) riskillä poikkeaman aiheuttaman menetyksen tai häiriön mahdollisuutta, joka ilmaistaan tällaisen menetyksen tai häiriön suuruuden ja kyseisen poikkeaman toteutumisen todennäköisyyden yhdistelmänä;  
6) riskiarvioinnilla kokonaisprosessia, jonka avulla määritetään riskin luonne ja laajuus tunnistamalla ja analysoimalla sellaiset mahdolliset asiaankuuluvat uhat, heikkoudet ja vaarat, jotka voivat johtaa poikkeamaan, ja arvioidaan mahdollinen kyseisen poikkeaman aiheuttama keskeisen palvelun tarjonnan menetys tai häiriytyminen.  
2 luku 
Yleinen ohjaus ja kehittäminen  
5 §  
Kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma 
Valtioneuvosto hyväksyy kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja toiminnan yleisten tavoitteiden saavuttamiseksi vähintään neljän vuoden välein valtakunnallisen suunnitelman, joka toimii kriittisten toimijoiden häiriönsietokykyä koskevana kansallisena strategiana (valtakunnallinen suunnitelma ).  
Valtakunnallisen suunnitelman valmistelussa on otettava huomioon vastaavan kaltaista tarkoitusta varten annetut valtioneuvoston periaatepäätökset ja muut päätökset.  
Valtakunnalliseen suunnitelmaan on sisällytettävä vähintään: 
1) strategiset tavoitteet ja painopisteet kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseksi; tällöin on otettava huomioon rajat ylittävät ja eri toimialojen riippuvuudet ja keskinäiset riippuvuussuhteet; 
2) ohjauskehys strategisten tavoitteiden ja painopisteiden saavuttamiseksi;  
3) kuvaus kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseen tarvittavista toimenpiteistä sekä kuvaus 6 §:ssä tarkoitetusta kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevasta kansallisesta riskiarvioinnista; 
4) kuvaus kriittisten toimijoiden määrittämisprosessista; 
5) kuvaukset kriittisiä toimijoita koskevasta tukiprosessista ja toimenpiteistä julkisten ja yksityisten toimijoiden välisen yhteistyön tehostamisesta; 
6) luettelo tärkeimmistä strategian täytäntöönpanoon osallistuvista viranomaisista ja sidosryhmistä; 
7) toimintapuitteet CER-direktiivin ja NIS 2 -direktiivin toimivaltaisten viranomaisten väliselle koordinoinnille kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia koskevaa tiedonvaihtoa ja valvontatehtävää varten;  
8) kuvaus käytössä olevista toimenpiteistä, jotka helpottavat mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa (2003/361/EY) tarkoitettujen kriittisiksi toimijoiksi määritettyjen pienten ja keskisuurten yritysten häiriönsietokykyä koskevien velvoitteiden täytäntöönpanoa. 
6 §  
Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi  
Valtioneuvosto hyväksyy vähintään neljän vuoden välein kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin.  
Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevassa kansallisessa riskiarvioinnissa on käsiteltävä merkityksellisiä: 
1) luonnonriskejä; 
2) ihmisen aiheuttamia riskejä;  
3) useita toimialoja koskevia tai rajat ylittäviä riskejä; 
4) onnettomuuksia ja luonnonkatastrofeja; 
5) kansanterveydellisiä uhkia; 
6) hybridiuhkia ja vieraan valtion toimintaa, joilla on vaikutusta Suomen kansalliseen turvallisuuteen;  
7) uhkia liittyen terrorismirikoksiin; sekä 
8) teknologiaan liittyviä kansallisen turvallisuuden uhkia, paikkatiedon väärinkäyttöön liittyviä uhkia ja muita uhkia. 
Riskiarvioinnissa on otettava huomioon vähintään: 
1) unionin pelastuspalvelumekanismista tehdyn Euroopan parlamentin ja neuvoston päätöksen N:o 1313/2013/EU 6 artiklan 1 kohdan mukainen riskiarviointi;  
2) sellaiset merkitykselliset riskiarvioinnit, jotka tehdään Euroopan unionin säädösten vaatimusten mukaisesti;  
3) riskit, jotka johtuvat CER-direktiivin liitteen toimialojen keskinäisriippuvuuksista sekä rajat ylittävistä riippuvuuksista; 
4) 16 ja 17 §:n mukaiset ilmoitettuja poikkeamia koskevat tiedot. 
7 §  
Yhteensovittamistehtävää hoitava ministeriö 
Yhteensovittamistehtävää hoitavan ministeriön tehtävään kuuluu tämän lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen.  
Yhteensovittamistehtävää hoitava ministeriö toimii CER-direktiivin 9 artiklan 1 kohdan mukaisena toimivaltaisena viranomaisena ja vastaa kansallisen yhteyspisteen tehtäviä hoitavan tahon ilmoittamisesta komissiolle. Yhteensovittamistehtävää hoitavana ministeriönä toimii sisäministeriö.  
Sisäministeriön tehtävänä on:  
1) yhteensovittaa kriittisten toimijoiden häiriönsietokykyä koskevan valtakunnallisen suunnitelman valmistelua;  
2) yhteensovittaa kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin valmistelua;  
3) käsitellä ja toimittaa CER-direktiivin 18 artiklan 1 kohdassa tarkoitettu jäsenvaltion pyyntö neuvontaoperaatiosta komissiolle saatuaan 13 artiklan 4 kohdassa tarkoitetun suostumuksen kriittiseltä toimijalta; 
4) antaa CER-direktiivin 18 artiklan 2 kohdassa tarkoitettu suostumus neuvontaoperaatiosta komissiolle; 
5) toimittaa komissiolle sen tai Euroopan unionin jäsenvaltion perustellusta pyynnöstä Euroopan kannalta erityisen merkittävän kriittisen toimijan riskiarvioinnin olennaiset osat ja luettelo kriittisen toimijan toteuttamista olennaisista 15 §:ssä tarkoitetuista toimenpiteistä; 
6) toimittaa komissiolle tiedot kriittisten toimijoiden häiriönsietokykyä koskevasta valtakunnallisesta suunnitelmasta kolmen kuukauden kuluessa sen hyväksymisestä; 
7) toimittaa komissiolle tieto kriittisten toimijoiden lukumäärästä; sekä 
8) toimittaa komissiolle luettelo CER-direktiivin 7 artiklan 2 kohdan a alakohdassa tarkoitetuista keskeisistä palveluista. 
Yhteensovittamistehtävää hoitavan ministeriön on CER-direktiivin johdonmukaisen soveltamisen varmistamiseksi kuultava Euroopan unionin jäsenvaltioita sellaisten kriittisten toimijoiden osalta, jotka:  
1) käyttävät kriittistä infrastruktuuria, jolla on fyysinen yhteys kahden tai useamman jäsenvaltion välillä; 
2) ovat osa yhtiörakenteita, jotka liittyvät tai ovat yhteydessä muiden jäsenvaltioiden kriittisiin toimijoihin; 
3) on määritetty kriittisiksi toimijoiksi yhdessä Euroopan unionin jäsenvaltiossa ja jotka tarjoavat keskeisiä palveluja toisiin jäsenvaltioihin tai toisissa jäsenvaltioissa. 
8 §  
Kriittisen infrastruktuurin häiriönsietokykyä edistävät toimet 
Edellä 7 §:ssä ja jäljempänä 13 ja 19 §:ssä tarkoitetut viranomaiset edistävät yhteistyössä Huoltovarmuuskeskuksen kanssa yleisesti kriittisten toimijoiden häiriönsietokykyyn liittyviä kokonaisuuksia.  
Tässä tarkoituksessa: 
1) analysoidaan strategioita niihin liittyvien parhaiden käytäntöjen määrittämiseksi; 
2) vaihdetaan tietoja sellaisista parhaista käytännöistä, jotka liittyvät 10 §:ssä tarkoitettuun kriittisten toimijoiden määrittämiseen;  
3) vaihdetaan tietoja ja parhaita käytäntöjä, jotka koskevat kriittisten toimijoiden häiriönsietokykyä koskevaa innovointia, tutkimusta ja kehitystä; sekä  
4) vaihdetaan tarvittaessa tietoja kriittisten toimijoiden häiriönsietokykyä koskevista kysymyksistä asiaankuuluvien Euroopan unionin toimielinten, elinten ja laitosten kanssa. 
Jäljempänä 19 §:ssä tarkoitettu valvova viranomainen antaa yhteistyössä Huoltovarmuuskeskuksen kanssa CER-direktiivin 10 artiklan 1 kohdassa tarkoitettua tukea kriittiselle toimijalle. Tässä tarkoituksessa voidaan laatia ohjemateriaalia, menetelmiä ja tukea häiriönsietokykyä testaavien harjoitusten järjestämistä sekä antaa neuvontaa ja koulutusta. 
9 §  
Poikkeamailmoitusten välittäminen ja yhteenvetokertomus 
Valtioneuvoston tilannekeskuksesta annetussa laissa (300/2017) tarkoitettu valtioneuvoston tilannekeskus:  
1) välittää asianomaisen viranomaisen laatiman poikkeamailmoituksen komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa;  
2) välittää asianomaisen viranomaisen tiedon poikkeamasta muiden asiaan liittyvien Euroopan unionin jäsenmaiden keskitetyille yhteyspisteille, jos poikkeamalla on tai voi olla merkittävää vaikutusta kriittisiin toimijoihin ja keskeisten palveluiden tarjonnan jatkuvuuteen yhdelle tai useammalle muulle Euroopan unionin jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa;  
3) vastaanottaa poikkeamailmoituksen Euroopan unionin jäsenmaiden keskitetyiltä yhteyspisteiltä ja välittää sen asianomaiselle ministeriölle;  
4) toimittaa kahden vuoden välein 7 §:ssä tarkoitetun ministeriön kokoaman yhteenvetokertomuksen poikkeamailmoituksista, niiden lukumäärästä ja luonteesta Euroopan unionin komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle. 
3 luku  
Kriittisten toimijoiden määrittäminen ja toimijoita koskevat yleiset vaatimukset  
10 §  
Kriittisen toimijan määrittäminen 
Yksityinen tai julkinen yhteisö taikka sen toiminnallinen osa voidaan määrittää kriittiseksi toimijaksi, jos: 
1) toimija tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua; 
2) toimija toimii ja sen omistama, hallinnassa oleva tai käyttämä kriittinen infrastruktuuri sijaitsee Suomen alueella; sekä 
3) poikkeamalla olisi 11 ja 12 §:n mukaisia merkittäviä haitallisia vaikutuksia:
a) toimijan yhden tai useamman kyseisen keskeisen palvelun tarjoamiseen; tai
b) muiden keskeisten palvelujen tarjoamiseen palvelusta riippuvaisilla toimialoilla.
 
Kriittisen toimijan määrittämisessä otetaan huomioon kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio sekä rajat ylittävä toiminta ja eurooppalainen yhteismitallisuus.  
11 §  
Merkittävä haitallinen vaikutus 
Edellä 10 §:n 1 momentin 3 kohdassa säädetyn haitallisen vaikutuksen merkittävyyttä arvioitaessa on otettava huomioon: 
1) yhteiskunnan toimintakyvyn kannalta keskeisestä palvelusta riippuvaisten käyttäjien lukumäärä; 
2) muiden CER-direktiivin liitteessä tarkoitettujen toimialojen ja alasektorien riippuvaisuus asianomaisesta keskeisestä palvelusta; 
3) poikkeaman vaikutukset vakavuutensa ja kestonsa perusteella yhteiskunnan ja talouden toimintoihin, ympäristöön, yleiseen järjestykseen sekä turvallisuuteen ja väestön terveyteen; 
4) toimijan markkinaosuus; 
5) maantieteellinen alue, johon poikkeama voi vaikuttaa, Suomen rajat ylittävät vaikutukset ja alueelliseen eristyneisyyden asteeseen liittyvä haavoittuvuus; sekä 
6) toimijan merkityksellisyys keskeisen palvelun riittävän tason ylläpitämisessä ottaen huomioon vaihtoehtoisten palvelujen saatavuus tai keskeisen palvelun korvattavuus. 
12 §  
Merkittävä haitallinen vaikutus ja toimiala 
Edellä 11 §:ssä tarkoitetun merkittävän haitallisen vaikutuksen merkitystä yhteiskunnan toimintakyvyn kannalta keskeiselle palvelulle arvioitaessa on otettava huomioon yhteiskunnan toimintakyvyn kannalta merkittävät erityistehtävät sekä lisäksi seuraavia toimialoja koskevat perusteet: 
1) energiatoimialan osalta:
a) vastaanotetun raaka-aineen määrä tuotannossa tai jalostuksessa;
b) vuositasolla tuotettu energian määrä, osuus kansallisen energian tuotetusta määrästä tai energian tuotantokapasiteetti;
c) varastointikapasiteetti;
d) asiakaslukumäärä;
e) toimituskapasiteetti;
f) energian siirto ja verkosta luovutetun energian määrä;
 
2) elintarviketoimialan osalta elintarvikkeiden tuotannossa ja jalostuksessa vastaanotetun raaka-aineen määrä litroina tai kiloina ja tuotannon määrä sekä jaettavan hyödykkeen määrä myös kaupan ja jakelun, että ruokapalveluiden osalta; 
3) liikennetoimialan osalta:
a) palvelun tuottajan osuus kansallisesta liikennemäärästä;
b) matkustajien vuosittainen lukumäärä;
c) rahtikuljetusten vuosittainen lukumäärä;
 
4) vesihuoltotoimialan osalta:
a) toimitettavan veden kuutiometrimäärä vuorokaudessa;
b) jäteveden poisjohtamisen kuutiometrimäärä vuorokaudessa:
 
5) avaruustoimialan osalta:
a) toimijan osuus sellaisesta yhteiskunnalle kriittisen palvelun tai tiedontuotannon tarjoamisessa, joka on riippuvainen avaruuspohjaisista palveluista;
b) toimijan osuus avaruustilannekuvaan tai radioympäristön häiriöihin liittyvän tiedontuotannon kannalta merkittävien palvelujen tarjoamisessa.
 
13 § 
Päätöksenteko kriittisestä toimijasta 
Kriittisen toimijan määrittämistä koskevan asian ratkaisee se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu. Päätös on voimassa enintään neljä vuotta. 
Ennen 1 momentissa tarkoitetun asian ratkaisemista on pyydettävä lausunto 7 §:ssä tarkoitetulta ministeriöltä ja tarpeellisessa laajuudessa muilta ministeriöiltä ja viranomaisilta sekä Huoltovarmuuskeskukselta. 
Tämän pykälän mukaisella päätöksellä määritetyn kriittisen toimijan katsotaan olevan Euroopan kannalta erityisen merkittävä kriittinen toimija, jos se tarjoaa samoja tai samanlaisia keskeisiä palveluja vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuuden jäsenvaltion alueella, ja kun toimijalle on ilmoitettu asiasta. Komission ilmoitettua siitä, että kriittistä toimijaa pidetään Euroopan kannalta erityisen merkittävänä kriittisenä toimijana, 7 §:ssä tarkoitetun ministeriön on toimitettava tieto komission ilmoituksesta ja siihen liittyvistä velvoitteista kriittiselle toimijalle viivytyksettä.  
Asianomainen ministeriö voi peruuttaa 1 momentissa tarkoitetun päätöksen, jos kriittinen toimija ei enää täytä annetun päätöksen edellytyksiä tai kriittinen toimija on lopettanut toimintansa. 
14 § 
Kriittisen toimijan suorittama riskiarviointi 
Kriittisen toimijan on suoritettava riskiarviointi tarvittaessa ja vähintään neljän vuoden välein. Riskiarviointia laadittaessa on otettava huomioon kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio ja muut riskiarvioinnin kannalta merkittävät tietolähteet.  
Kriittisen toimijan riskiarvioinnissa on otettava huomioon kaikki sellaiset merkitykselliset luonnon ja ihmisen aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Tällöin otetaan huomioon toimialojen tai rajat ylittävät riskit, onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut uhat sekä muut toimivaltaisen ministeriön määrittämät uhat. 
Riskiarvioinnissa on otettava huomioon, missä määrin muut toimialat ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta. 
Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin tämän lain nojalla muu riskiarvio tai asiakirja, kriittinen toimija voi käyttää kyseistä arviointia tai asiakirjaa. Tästä on mainittava kyseisessä riskiarviossa tai asiakirjassa.  
15 § 
Häiriönsietokyvyn varmistaminen ja häiriönsietokykyä koskeva suunnitelma 
Kriittisen toimijan on toteutettava häiriönsietokykynsä varmistamiseksi asianmukaisia ja oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä, jotka perustuvat 14 §:ssä tarkoitettuun riskiarviontiin ja muihin asiaan kuuluviin tietoihin. Tässä tarkoituksessa kriittisen toimijan on laadittava asianmukaisia ja oikeasuhtaisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä sisältävä suunnitelma häiriönsietokyvyn varmistamiseksi.  
Suunnitelmassa on oltava selostus: 
1) toimenpiteistä poikkeamien syntymisen estämiseksi ottaen huomioon katastrofiriskien vähentämiseen ja ilmastonmuutokseen sopeutumiseen liittyvät toimenpiteet;  
2) tilojen ja niissä sijaitsevan infrastruktuurin suojaamisesta kuten aidan asentamisesta, esteiden pystyttämisestä, ilmaisulaitteista ja kulunvalvonnasta sekä muusta fyysisestä suojaamisesta;  
3) toimenpiteistä poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi; 
4) toimenpiteistä poikkeamisista palautumiseksi ottaen huomioon liiketoiminnan jatkuvuuteen liittyvät toimenpiteet ja vaihtoehtoiset toimitusketjut; 
5) henkilöstöturvallisuuden varmistamisesta kuten kriittisiä tehtäviä hoitavien henkilöstöryhmien määrittämisestä mukaan lukien ulkopuolisten palvelutarjoajien henkilöstön huomioiminen määrittämisessä, pääsyoikeuksien vahvistamisesta tiloihin, kriittiseen infrastruktuuriin ja arkaluonteisiin tietoihin sekä turvallisuusselvitysten pyytämisestä ja koulutus- ja pätevyysvaatimuksista;  
6) tiedottamisesta asianomaiselle henkilöstölle; sekä 
7) toteuttamisaikataulua koskevasta suunnitelmasta. 
Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin tämän lain nojalla asiakirja tai suunnitelma, erillistä tämän pykälän mukaista suunnitelmaa ei tarvitse laatia, vaan kriittinen toimija voi käyttää kyseistä asiakirjaa tai suunnitelmaa. Tästä on mainittava suunnitelmassa tai asiakirjassa.  
Kriittisen toimijan on nimettävä yhteyspiste, jonka kautta tiedonkulku järjestetään ja ilmoitettava tässä tarkoituksessa tehtävää hoitavan yhteyshenkilön nimi ja yhteystiedot tai muu vastaava yhteyspiste, josta voi saada tietoa. 
4 luku  
Kriittisen toimijan poikkeamailmoitus 
16 § 
Poikkeamia koskeva ilmoitusvelvollisuus 
Kriittisen toimijan on ilmoitettava ilman aiheetonta viivytystä asianomaiselle valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle Valiokunta ehdottaa sisältöä muutettavaksi merkittävästä Muutosehdotus päättyy poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista.  
Kriittisen toimijan on annettava ensi-ilmoitus valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle viimeistään 24 tunnin Valiokunta ehdottaa sisältöä muutettavaksi kuluttua Muutosehdotus päättyy siitä, kun poikkeama on tullut tietoon, jollei välttämättömästä operatiivisesta syystä muuta johdu. Kriittinen toimija antaa yksityiskohtaisen raportin tarvittaessa viimeistään kuukauden Valiokunta ehdottaa sisältöä muutettavaksi kuluttua Muutosehdotus päättyy siitä, kun poikkeama on tullut tietoon yhteensovittamistehtävää hoitavalle ministeriölle, toimialasta vastaavalle ministeriölle ja toimivaltaiselle valvovalle viranomaiselle.  
Häiriön merkittävyyden määrittämisessä on otettava huomioon erityisesti käyttäjien lukumäärä ja osuus, joihin häiriö vaikuttaa, häiriön kesto ja maantieteellinen alue ja maantieteellisen alueen eristyneisyys. 
Huoltovarmuuskeskuksella on sen estämättä, mitä tietojen salassa pitämisestä säädetään, oikeus saada tehtäviensä hoitamiseksi ja asianomaisten ministeriöiden ja valvovien viranomaisten tukemiseksi välttämättömiksi arvioidut tiedot 2 momentissa tarkoitetusta ensi-ilmoituksesta ja yksityiskohtaisesta raportista.  
17 §  
Ensi-ilmoituksen ja yksityiskohtaisen raportin sisältö 
Poikkeamaa koskevaan ensi-ilmoitukseen sisällytetään:  
1) tieto poikkeaman havaitsemisesta ja sen luonteesta; 
2) arvio mahdollisesta aiheuttajasta tai syystä;  
3) arvio mahdollisista seurauksista ja arvio keskeisen palvelun käyttäjien lukumäärästä tai osuudesta, johon häiriö vaikuttaa;  
4) tieto, joka on tarpeen poikkeaman mahdollisten rajat ylittävien vaikutusten määrittämiseksi. 
Yksityiskohtaiseen raporttiin sisällytetään: 
1) yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista sekä maantieteellisestä laajuudesta; 
2) poikkeaman todennäköisesti aiheuttaneen uhkan tai syyn luonne; 
3) toteutetut tai meneillään olevat toimenpiteet vaikutusten lieventämiseksi; 
4) mahdolliset rajat ylittävät vaikutukset; sekä  
5) muut kuin 1—4 kohdassa tarkoitetut poikkeaman hallinnan kannalta olennaiset tiedot.  
Kriittisen toimijan on toimitettava valvovan viranomaisen pyynnöstä lisätietoja, jotka liittyvät havaittuun poikkeamaan.  
18 §  
Vastaanotetun poikkeamailmoituksen käsittely  
Asianomaisen valvovan viranomaisen on ilmoitettava kriittiselle toimijalle poikkeamailmoituksen vastaanottamisesta ja mahdollisista tukitoimista.  
Asianomaisen valvovan viranomaisen on annettava viivytyksettä kriittiselle toimijalle tietoja jatkotoimista. Jos häiriöstä ilmoittaminen on yleisen edun mukaista, valvova viranomainen voi lisäksi velvoittaa kriittisen toimijan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse. 
Jos poikkeamalla on tai voi olla merkittävä vaikutus kriittisiin toimijoihin ja keskeisten palvelujen tarjonnan jatkuvuuteen yhdelle tai useammalle Euroopan unionin jäsenvaltiolle tai jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa jäsenvaltiossa, asiasta on saatujen tietojen perusteella ilmoitettava 9 §:n mukaisesti. 
5 luku 
Valvonta  
19 §  
Valvovat viranomaiset  
Asianomainen valvova viranomainen valvoo kriittiselle toimijalle tämän lain nojalla säädettyjen ja määrättyjen velvoitteiden noudattamista. Tässä laissa tarkoitettuja valvovia viranomaisia ovat: 
1) Energiavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energiatoimialan alasektoreiden sähkö, kaukolämmitys ja -jäähdytys toimijaluokkien alaan sekä kaasun alasektorin toimijaluokkien jakeluverkonhaltijat, siirtoverkon haltijat ja toimittajat alaan sekä alasektori vedyn siirtoa koskevaan toimijaluokkaan;  
2) Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus niiden kriittisten toimijoiden osalta, jotka kuuluvat juomaveden ja jäteveden toimijaluokkaan;  
3) Liikenne- ja viestintävirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat liikennetoimialan alasektoreiden ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne ja julkinen liikenne alaan Valiokunta ehdottaa sisältöä muutettavaksi sekä niiden kriittisten toimijoiden osalta, jotka kuuluvat avaruustoimialan alaan Muutosehdotus päättyy; 
4) Lääkealan turvallisuus- ja kehittämiskeskus Fimea kriittisiksi nimettyjen: 
a) ihmisille tarkoitettuja lääkkeitä koskevista yhteisön säännöistä annetun Euroopan parlamentin ja neuvoston direktiivin 2001/83/EY, jäljempänä lääkedirektiivi, 1 artiklan 2 alakohdassa tarkoitettujen lääkkeiden tutkimusta ja kehitystä harjoittavien toimijoiden osalta;  
b) tilastollisen toimialaluokituksen NACE Rev. 2 vahvistamisesta sekä neuvoston asetuksen (ETY) N:o 3037/90 ja tiettyjen eri tilastoaloja koskevien yhteisön asetusten muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1893/2006, sellaisena kuin se on viimeksi muutettuna komission delegoidussa asetuksessa (EU) 2023/137, vahvistetun NACE Rev.2 –luokituksen C jakson kaksinumerotasossa 21 tarkoitettujen lääkeaineiden ja lääkkeiden valmistajien osalta;  
c) Euroopan lääkeviraston roolin vahvistamisesta kriisivalmiudessa ja -hallinnassa lääkkeiden ja lääkinnällisten laitteiden osalta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/123 22 artiklassa tarkoitettujen kansanterveysuhan aikana kriittisiksi katsottujen lääkinnällisten laitteiden valmistajien osalta; 
d) lääkedirektiivin 79 artiklassa tarkoitettujen tukkukaupan harjoittamista koskevien luvan haltijoiden ja apteekkien osalta; 
e) potilasdirektiivin mukaisten lääkkeitä ja lääkinnällisiä laitteita toimittavien ja tarjoavien toimijoiden ja veripalvelulaitosten osalta; 
5) Ruokavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat elintarvikkeiden tuotanto, jalostus ja jakelu toimijaluokkaan; 
6) Turvallisuus- ja kemikaalivirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energia toimialan alasektoreiden öljy, vety ja kaasu alaan, lukuun ottamatta edellä Energiaviraston valvonnan alaan säädettyjä toimijoita; 
7) Sosiaali- ja terveysalan lupa- ja valvontavirasto ja aluehallintovirastot kriittisiksi nimettyjen sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettujen sosiaali- ja terveydenhuollon palveluita antavien palvelunjärjestäjien ja palveluntuottajien osalta; toimivaltainen valvontaviranomainen määräytyy mainitun lain 32 §:n 2 ja 3 momentin mukaisesti; 
8) Sosiaali- ja terveysalan lupa- ja valvontavirasto kriittisiksi nimettyjen rajat ylittävistä vakavista terveysuhkista ja päätöksen N:o 1082/2013/EU kumoamisesta annetun Europan parlamentin ja neuvoston asetuksen (EU) 2022/2371 15 artiklassa tarkoitettujen EU:n vertailulaboratorioiden osalta. 
20 § 
Valvonnan kohdistaminen ja tarkastusoikeus  
Valvonta on kohdistettava kriittiseen toimijaan tässä laissa säädettyjen velvollisuuksien noudattamisen valvomiseksi siinä laajuudessa kuin se on tarpeen. Valvovalla viranomaisella on oikeus tehdä tarkastuksia paikan päällä kriittisessä infrastruktuurissa, rakennuksissa ja toimitiloissa, joita kriittinen toimija käyttää keskeisten palvelujensa tarjoamiseen. 
Tarkastuksen yhteydessä on oikeus päästä valvottavan kohteen kaikkiin valvonnan kannalta välttämättömiin rakennuksiin, tiloihin ja tieto- ja muihin järjestelmiin sekä saada 
salassapitosäännösten tai muiden rajoitusten estämättä selvityksiä tässä laissa vaadituista suunnitelmista ja muista järjestelyistä. Tarkastusta ei kuitenkaan saa suorittaa pysyväisluonteiseen asumiseen käytettävissä tiloissa. Valvova viranomainen voi suorittaa lisäksi kriittisen toimijan toimenpiteiden valvontaa rakennusten ja toimitilojen ulkopuolella kriittisen toimijan häiriönsietokyvyn varmistamiseksi. 
Valvova viranomainen voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. Valvova viranomainen voi tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tarkastuksen suorittajalla ja siihen osallistuvalla ulkopuolisella asiantuntijalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettua avustamistehtävää. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).  
Tarkastuksessa noudatettavaan menettelyyn sovelletaan hallintolain (434/2003) 39 §:ää.  
21 § 
Huomautus, varoitus ja valvontapäätös  
Valvova viranomainen voi antaa huomautuksen tai varoituksen kriittiselle toimijalle, joka rikkoo tätä lakia. Varoituksen voi antaa, jos huomautusta ei asiasta ilmenevät seikat kokonaisuudessaan huomioiden voida pitää riittävänä. Varoitus on annettava kirjallisena ja siinä on yksilöitävä puute tai laiminlyönti, jota varoitus koskee. 
Valvova viranomainen voi päätöksellään velvoittaa toimijan korjaamaan havaitut puutteet tai laiminlyönnin kohtuullisessa määräajassa. Valvova viranomainen voi asettaa päätöksen tehosteeksi uhkasakon tai teettämisuhan.  
22 § 
Laiminlyöntimaksu 
Valvova viranomainen voi määrätä päätöksellään kriittisen toimijan maksamaan laiminlyöntimaksun, jos kriittinen toimija tahallaan tai törkeästä huolimattomuudesta laiminlyö 14 §:ssä tarkoitetun riskiarvion, 15 §:ssä tarkoitettujen toimenpiteiden suorittamisen tai 16 §:ssä tarkoitetun poikkeamaa koskevan ilmoituksen antamisen ja havaitulla puutteella tai laiminlyönnillä on merkittävää vaikutusta yhteiskunnan keskeisten palvelujen tarjoamiseen. Laiminlyöntimaksu määrätään maksettavaksi valtiolle. Laiminlyöntimaksua ei voida määrätä kriittiselle toimijalle, joka on valtion viranomainen, valtion liikelaitos, kunnallinen viranomainen, hyvinvointialue tai itsenäinen julkisoikeudellinen laitos. Laiminlyöntimaksun määrä on vähintään 2 000 euroa ja enintään 20 000 euroa.  
Laiminlyöntimaksun suuruutta arvioitaessa on otettava huomioon tapauksen olosuhteet ja menettelyn laatu ja tässä tarkoituksessa ainakin seuraavat seikat: 
1) laiminlyönnin kesto; 
2) laiminlyönnin tai puutteen toistuvuus; 
3) merkittävien poikkeamien jättäminen ilmoittamatta;  
4) havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä huolimatta; 
5) toimenpiteet, jotka kriittinen toimija on toteuttanut vahingon ehkäisemiseksi tai lieventämiseksi. 
23 § 
Laiminlyöntimaksun määräämättä jättäminen 
Laiminlyöntimaksu jätetään määräämättä, jos  
1) kriittinen toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä laiminlyönti ole toistuva;  
2) laiminlyöntiä on pidettävä vähäisenä; taikka 
3) maksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella; laiminlyöntimaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun laiminlyönti on tapahtunut. 
Laiminlyöntimaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Laiminlyöntimaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. 
24 § 
Laiminlyöntimaksun täytäntöönpano 
Laiminlyöntimaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Laiminlyöntimaksu vanhenee viiden vuoden kuluttua lainvoiman saaneen päätöksen antamispäivästä. 
6 luku  
Erinäiset säännökset  
25 § 
Oikaisuvaatimus 
Tässä laissa tarkoitettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.  
Valtioneuvoston yleisistunnon päätökseen ei saa vaatia oikaisua.  
26 § 
Muutoksenhaku 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).  
Muutoksenhausta uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin uhkasakkolakia (1113/1990). 
27 § 
Viranomaisten ja muiden tahojen tiedonsaantioikeus 
Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä saada viranomaisilta ja kriittiseksi toimijaksi määritetyltä toimijalta maksutta tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot. Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä luovuttaa toiselle valvovalle viranomaiselle ja kyberturvallisuuslain 26 §:n mukaiselle valvovalle viranomaiselle sekä tämän lain 7 §:ssä tarkoitetulle ministeriölle ja ministeriölle, jonka toimialaan käsiteltävä asia kuuluu, tiedot, jotka ovat välttämättömiä niiden tehtävien hoitamiseksi. Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä luovuttaa välttämättömät tiedot myös Huoltovarmuuskeskukselle sen tehtävien hoitamiseksi. 
Tässä pykälässä tarkoitettu tiedonsaantioikeus ei koske kyberturvallisuuslain 19 §:ssä tarkoitetun CSIRT-yksikön käsittelemiä tietoja. 
28 § 
Viranomaisten yhteistyö  
Tämän lain 13 §:n mukaisesta päätöksestä kriittisen toimijan määrittämiseksi on ilmoitettava kyberturvallisuuslain 26 §:ssä tarkoitetulle viranomaisille yhden kuukauden kuluessa päätöksestä.  
Tämän lain 13 Valiokunta ehdottaa sisältöä muutettavaksi §:n 1 ja 2 momentissa Muutosehdotus päättyy ja 19 §:ssä tarkoitettujen viranomaisten ja kyberturvallisuuslain 26 §:ssä tarkoitetun viranomaisen on vaihdettava keskenään tietoja kriittisten toimijoiden määrittämisestä sekä kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista sekä muista kuin kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista, jotka vaikuttavat kriittisiin toimijoihin, sekä mainittujen viranomaisten toteuttamista olennaisista toimenpiteistä ja hallintatoimista. 
29 § 
Turvallisuusselvitys 
Jos turvallisuusselvityslaissa (726/2014) tarkoitettu henkilöturvallisuusselvitys laaditaan tämän lain 13 §:ssä tarkoitettuun kriittiseen toimijaan palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta henkilöstä taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta henkilöstä ja se on selvityksen kohteen ulkomailla oleskelun tai muun erityisen syyn vuoksi tarpeen, suojelupoliisi voi tehdä selvitystä varten rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 20 c §:ssä tarkoitetun pyynnön. Pyynnön perusteella saatuja rekisteritietoja voidaan käyttää henkilöturvallisuusselvityksen laadinnassa sen lisäksi, mitä turvallisuusselvityslaissa muutoin säädetään. 
30 § 
Voimaantulo 
Tämä laki tulee voimaan päivänä kuuta 20 . 
Tämän lain voimaantullessa 5 §:ssä tarkoitettu kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja 6 §:ssä tarkoitettu kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallisen riskiarvio hyväksytään ensimmäisen kerran viimeistään 17 päivänä tammikuuta 2026. Tämän lain 13 §:ssä tarkoitettu päätös kriittisen toimijan määrittämisestä tehdään ensimmäisen kerran viimeistään 17 päivänä heinäkuuta 2026. 
Tämän lain voimaantullessa 14 §:ssä säädetty kriittisen toimijan riskiarviointi tulee kriittiseksi toimijaksi määritetyn toimesta suorittaa ensimmäisen kerran yhdeksän kuukauden kuluessa siitä, kun vastaanottaja on saanut tiedon 13 §:ssä tarkoitetusta päätöksestä. Tämän lain 15 §:n mukainen suunnitelma on laadittava ensimmäisen kerran vuoden kuluessa 14 §:ssä tarkoitetun riskiarvioinnin laatimisesta. 
Saaduista 16 §:ssä tarkoitetuista poikkeamailmoituksista toimitetaan viimeistään 17 päivänä heinäkuuta 2028 ensimmäinen yhteenvetokertomus komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle. 
Valiokunta ehdottaa sisältöä poistettavaksi Tämä laki tulee voimaan päivänä kuuta 20 . Poistoehdotus päättyy 
 Lakiehdotus päättyy 

2. Laki turvallisuusselvityslain 19 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan turvallisuusselvityslain (726/2014) 19 §:n 1 momentin 4 kohta seuraavasti:  
19 § 
Perusmuotoisen henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät 
Perusmuotoinen henkilöturvallisuusselvitys voidaan laatia sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka:  
 Muuttamaton osa säädöstekstistä on jätetty pois 
4) toimii tehtävissä, joissa voi vahingoittaa yhteiskunnan toimivuuden kannalta välttämättömän infrastruktuurin toimivuutta tai kriittisen tuotannon jatkumista taikka voi näissä tehtävissään saamiensa tietojen oikeudettomalla käytöllä merkittävällä tavalla vaarantaa valtion turvallisuutta tai edistää järjestäytynyttä rikollisuutta; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

3. Laki rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 1 ja 6 §, 11 §:n 2 momentti, 16 §:n 1 momentti, 17 §:n 1 momentti, 18 §:n 1 momentti sekä 21 §:n 1 momentti,  
sellaisina kuin ne ovat, 1 § laissa 73/2023 sekä 6 §, 11 §:n 2 momentti, 16 §:n 1 momentti, 17 §:n 1 momentti, 18 §:n 1 momentti ja 21 §:n 1 momentti laissa 74/2021, sekä 
lisätään lakiin uusi 15 c ja 20 c § ja 22 §:ään, sellaisena kuin se on osaksi laeissa 150/2014 ja 74/2021, uusi 5 momentti seuraavasti:  
1 § 
Soveltamisala 
Tässä laissa säädetään rikosrekisterin ja sakkorekisterin tietojen toimittamisesta siihen Euroopan unionin jäsenvaltioon, jonka kansalainen tuomittu on (kansalaisuusjäsenvaltio) sekä toisesta jäsenvaltiosta Suomeen toimitettujen Suomen kansalaista koskevien rekisteritietojen säilyttämisestä Suomessa.  
Lisäksi tässä laissa säädetään 1 momentissa mainittujen tietojen luovuttamisesta pyynnön perusteella rikosasian käsittelyä varten, yksityisen henkilön itseään koskevan pyynnön täyttämiseksi tai asianomaisen henkilön suostumuksella sellaisen tehtävän hoitamista varten, johon kuuluu työskentelyä tai muuta toimimista alaikäisten parissa, sekä tällaisia tietoja koskevan pyynnön esittämisestä. 
Tässä laissa säädetään myös 1 momentissa mainittujen tietojen luovuttamisesta pyynnön perusteella räjähteiden lähtöaineiden markkinoille saattamisesta ja käytöstä, asetuksen (EY) N:o 1907/2006 muuttamisesta ja asetuksen (EU) N:o 98/2013 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1148, jäljempänä lähtöaineasetus, 6 artiklassa tarkoitetun luvanhakijan taustan selvittämiseksi sekä tällaisia tietoja koskevan pyynnön esittämisestä.  
Tässä laissa säädetään myös 1 momentissa mainittujen tietojen luovuttamisesta pyynnön perusteella kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557, jäljempänä CER-direktiivi, 14 artiklassa tarkoitetun taustatarkistuksen tekemiseksi sekä tällaisia tietoja koskevan pyynnön esittämisestä.  
Tässä laissa annetaan lisäksi niiden jäsenvaltioiden tunnistamista koskevan keskitetyn järjestelmän perustamisesta, joilla on kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden tuomioita koskevia tietoja (ECRIS-TCN), eurooppalaisen rikosrekisteritietojärjestelmän täydentämiseksi ja asetuksen (EU) 2018/1726 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2019/816, jäljempänä asetus, täydentävät säännökset.  
Edellä 1–4 momentissa tarkoitetuista tehtävistä jäsenvaltioiden välisen rikosrekisteritietojen vaihdon järjestämisestä ja sisällöstä tehdyn neuvoston puitepäätöksen 2009/315/YOS, jäljempänä puitepäätös, 3 artiklassa tarkoitettuna keskusviranomaisena vastaa Oikeusrekisterikeskus. Oikeusrekisterikeskus toimii myös asetuksen 3 artiklan 5 alakohdassa tarkoitettuna keskusviranomaisena.  
Edellä 1–4 momentissa tarkoitettuun tietojen toimittamiseen ja luovuttamiseen käytetään yksittäisten jäsenvaltioiden rikosrekisteritietokantoihin perustuvaa hajautettua tietotekniikkajärjestelmää (eurooppalainen rikosrekisteritietojärjestelmä ECRIS). 
6 § 
Tietojen edelleen luovuttaminen 
Kun Oikeusrekisterikeskus toimittaa tietoja 5 §:n mukaisesti kansalaisuusjäsenvaltioon, sen tulee ilmoittaa, että toimitettuja tietoja saadaan luovuttaa edelleen toiselle valtiolle ainoastaan rikosasian käsittelyä varten, yksityisen henkilön itseään koskevan pyynnön täyttämiseksi, asianomaisen henkilön suostumuksella sellaisen tehtävän hoitamista varten, johon kuuluu työskentelyä tai muuta toimimista alaikäisten parissa, lähtöaineasetuksessa tarkoitetun lähtöaineluvanhakijan taustan tarkistamista varten taikka CER-direktiivin 14 artiklassa tarkoitettua taustatarkistusta varten. 
11 § 
Tietojen luovuttaminen säilytysrekisteristä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Oikeusrekisterikeskus saa luovuttaa säilytysrekisteristä tietoja toisen jäsenvaltion keskusviranomaiselle tai muulle toimivaltaiselle viranomaiselle 14, 15 ja 15 a–15 c §:n mukaisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
15 c § 
Pyyntöön vastaaminen CER-direktiivissä tarkoitettua taustatarkistusta varten 
Oikeusrekisterikeskus luovuttaa toisen jäsenvaltion rekisteritietoja pyytäneelle keskusviranomaiselle rikosrekisterin, sakkorekisterin ja säilytysrekisterin 3 §:ssä tarkoitetut tiedot CER-direktiivin 14 artiklassa tarkoitettua taustatarkistusta varten. 
Jos rikosrekisterissä on säilytysrekisteriin merkittyjä tietoja, pyynnön esittäneelle jäsenvaltiolle toimitetaan ainoastaan säilytysrekisteriin merkityt tiedot. 
16 § 
Pyynnön sisältö, muoto ja kieli 
Oikeusrekisterikeskus hyväksyy toisen jäsenvaltion keskusviranomaisen lähettämän 14, 15 tai 15 a–15 c §:ssä tarkoitetun pyynnön, jos se sisältää puitepäätöksen liitteenä olevassa lomakkeessa tarkoitetut tarpeelliset tiedot. Pyynnön on oltava sähköisessä muodossa taikka muussa kirjallisessa muodossa, jos sitä ei ole voitu tehdä sähköisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
17 § 
Vastauksen sisältö, muoto ja kieli 
Oikeusrekisterikeskus toimittaa vastauksessaan 14, 15 tai 15 a–15 c §:ssä tarkoitetut tiedot pyynnön esittäneen toisen jäsenvaltion keskusviranomaiselle tai muulle toimivaltaiselle viranomaiselle puitepäätöksen liitteenä olevan lomakkeen mukaisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
18 § 
Määräajat 
Oikeusrekisterikeskuksen on toimitettava vastauksessaan 14, 15 b ja 15 c §:ssä tarkoitetut tiedot toisen jäsenvaltion keskusviranomaiselle tai muulle toimivaltaiselle viranomaiselle viipymättä ja kymmenen arkipäivän kuluessa päivästä, jona pyyntö on vastaanotettu. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
20 c § 
Pyynnön esittäminen henkilöturvallisuusselvitystä varten 
Oikeusrekisterikeskus esittää yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain ( / ) 29 §:ssä tarkoitettua henkilöturvallisuusselvitystä varten toisen jäsenvaltion keskusviranomaiselle rekisteritietojen luovuttamista ja niihin liittyviä tietoja koskevan pyynnön, jos suojelupoliisi on sitä pyytänyt. 
21 § 
Pyynnön sisältö, muoto ja kieli 
Oikeusrekisterikeskus esittää 19, 20 ja 20 a–20 c §:ssä tarkoitetut pyyntönsä toisen jäsenvaltion keskusviranomaiselle puitepäätöksen liitteenä olevan lomakkeen mukaisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
22 § 
Tietojen käyttöä koskevat rajoitukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Toisen jäsenvaltion 20 c §:n mukaisen pyynnön perusteella toimittamia rekisteritietoja ja niihin liittyviä tietoja saadaan käyttää ainoastaan yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 29 §:ssä tarkoitettua henkilöturvallisuusselvitystä varten sen mukaisesti, kuin tiedot toimittanut jäsenvaltio on ilmoittanut. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

4. Laki rikosrekisterilain 4 a ja 5 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan rikosrekisterilain (770/1993) 5 §:n 1 momentti, sellaisena kuin se on laissa 74/2023, sekä  
lisätään 4 a §:ään, sellaisena kuin se on laeissa, 1093/1999, 215/2012, 733/2014, 1114/2018, 75/2021, 23/2022, 333/2022 ja 424/2023, uusi 6 momentti seuraavasti:  
4 a § 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Rikosrekisterin tietoja luovutetaan toisen Euroopan unionin jäsenvaltion keskusviranomaiselle mainitulle keskusviranomaiselle esitetyn pyynnön perusteella EU-rikosrekisterilain 15 b ja 15 c §:n mukaisesti. 
5 § 
Tiedot rikosrekisteristä luovutetaan rikosrekisterin otteella, jossa ovat henkilöstä rekisteriin talletetut tiedot tai ilmoitus siitä, ettei henkilöstä ole merkintää rekisterissä. Oikeushenkilöstä luovutetaan vastaavan sisältöinen ote. Jos tieto päätöksestä on saatu EU-rikosrekisterilain 20 tai 20 a—20 c §:n nojalla tai mainitussa laissa tarkoitetusta säilytysrekisteristä, rikosrekisterin otteelle merkitään ne tiedot, jotka voitaisiin tallettaa rikosrekisteriin. Rikosrekisterin otteelle ei kuitenkaan merkitä rikosrekisterissä olevaa tietoa rikosilmoitusnumerosta, sovelletuista lainsäännöksistä eikä tietoja, joiden merkitseminen on toisen jäsenvaltion asettaman EU-rikosrekisterilain 9 §:n 4 momentissa tarkoitetun ehdon mukaan kielletty. Rikosrekisterin otteelle merkitään tämän lain 2 §:n 5 momentissa tarkoitettu tieto vain, jos rikosrekisterin ote annetaan 4 §:n 1 momentin nojalla syyttäjälle tai esitutkintaviranomaiselle. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

5. Laki eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain (485/2004) 4 §:n 1 momentin 1 kohdan johdantokappale ja a alakohta sekä 25 §:n 2 momentti, sellaisina kuin ne ovat, 4 §:n 1 momentin 1 kohdan johdantokappale ja a alakohta laissa 955/2018 ja 25 §:n 2 momentti laissa 1519/2019, sekä  
lisätään lakiin uusi 7 g § seuraavasti:  
4 § 
Liikenne- ja viestintäviraston erityistehtävät 
Liikenne- ja viestintävirasto toimii turvatoimiasetuksen 2 artiklan 6 kohdassa tarkoitettuna merenkulun turvatoimien yhteysyksikkönä ja satamien turvatoimien yhteysyksikkönä, minkä lisäksi sen tehtävänä on: 
1) suorittaa satamarakenteiden ja satamien turva-arvioinnit, hyväksyä alusten, satamien ja satamarakenteiden turvasuunnitelmat, katsastaa alukset sekä antaa todistuskirjat siten kuin turvatoimiasetuksessa ja tässä laissa säädetään sekä:
a) hyväksyä turva-arvioinnin perusteella ja satamanpitäjän esityksestä sataman turvatoimialueen rajat ja se, keille sataman henkilöstöön kuuluville tai 7 g §:ssä tarkoitetuille henkilöille tehdään turvallisuusselvityslaissa (726/2014) tarkoitettu turvallisuusselvitys, sekä huolehtia satamien turvasuunnitelmien tarkistamisesta tämän lain mukaisesti;
 
 Muuttamaton osa säädöstekstistä on jätetty pois 
2 a luku 
Satamien turvatoimet 
7 g § 
Turvallisuusselvitys 
Ulkomaanliikenteen sataman satamanpitäjän on varmistettava, että sataman turvallisuuden kannalta kriittisiin tietoihin ja tietojärjestelmiin on pääsy vain henkilöllä, jota voidaan pitää nuhteettomana ja luotettavana. Tässä tarkoituksessa satamanpitäjän on haettava turvallisuusselvitystä henkilöstä, joka saa: 
1) pääsyn salassa pidettäviin sataman turvatoimia koskeviin tietoihin; tai 
2) sellaisen käyttöoikeuden sataman turvallisuuden kannalta kriittiseen lastin käsittelyä tai sataman valvontaa koskevaan tietojärjestelmään, joka mahdollistaa tietojen lukemisen ja niiden muuttamisen muuten kuin yksittäistä työtehtävää tai tietojärjestelmän teknistä ylläpitoa varten. 
Tietoa tai tietojärjestelmää pidetään sataman turvallisuuden kannalta kriittisenä, jos tietoa tai tietojärjestelmää käyttämällä tai tietojärjestelmän tietoja muuttamalla voidaan merkittävällä tavalla vaarantaa valtion turvallisuutta tai edistää järjestäytynyttä rikollisuutta. Liikenne- ja viestintävirasto tekee päätöksen siitä, mitä tietoja ja tietojärjestelmiä pidetään turvallisuuden kannalta kriittisinä ja mitä satamanpitäjiä 1 momentissa säädetty velvollisuus koskee sekä millaisia käyttöoikeuksia 1 momentin 2 kohdassa tarkoitetaan. Arvioinnissa on otettava huomioon satamalle tehty turva-arviointi ja sataman turvasuunnitelma. 
Liikenne- ja viestintävirasto voi päättää, että 1 momentissa säädetty velvollisuus koskee myös sellaista muuta sataman tehtävää, josta turvallisuusselvityslain 19–21 §:n mukaan voidaan hakea turvallisuusselvitystä ja jossa työskentelevän henkilön nuhteettomuuden ja luotettavuuden varmistaminen on erittäin tärkeää valtion turvallisuuden suojaamiseksi tai järjestäytyneen rikollisuuden ennalta ehkäisemiseksi. 
Ennen 2 tai 3 momentissa tarkoitetun päätöksen tekemistä Liikenne- ja viestintäviraston on kuultava satamanpitäjää ja muita toimivaltaisia viranomaisia. Päätöksessä on asetettava kohtuullinen määräaika, johon mennessä turvallisuusselvitystä on haettava. 
Turvallisuusselvitystä on haettava uudelleen sen voimassaolon päättyessä. 
Jos turvallisuusselvityksessä tai turvallisuusselvityslain 51 §:n mukaisessa seurannassa ilmenee tietoja, joiden perusteella satamanpitäjä arvioi, että selvityksen kohteelle ei voida antaa 1 momentissa tarkoitettua pääsyä tietoihin ja tietojärjestelmiin, sen on ryhdyttävä toimenpiteisiin pääsyn poistamiseksi. Satamanpitäjä saa tässä tarkoituksessa salassapitosäännösten estämättä luovuttaa työnantajalle vastaavat tiedot kuin selvityksen kohteella on oikeus saada toimivaltaiselta viranomaiselta turvallisuusselvityslain 6 §:n 1 ja 3 momentin mukaan. Mitä turvallisuusselvityslain 45 §:n 1 ja 2 momentissa säädetään hakijan velvollisuuksista, sovelletaan myös tietoja saaneeseen työnantajaan. Turvallisuusselvitykseen sisältyvien tietojen salassapidosta säädetään turvallisuusselvityslain 59 §:ssä. 
25 § 
Muutoksenhaku  
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valitus on käsiteltävä viipymättä. Muutoksenhaku ei estä aluksen pysäyttämisen, aluksen, satamarakenteen tai sataman turvatoimialueen toiminnan rajoittamisen eikä 12 §:ssä tarkoitettua henkilöön kohdistuvaa pakkotointa koskevan päätöksen täytäntöönpanoa, ellei valitusviranomainen toisin määrää. Edellä 7 g §:n 2 ja 3 momentissa tarkoitettua päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 .  
 Lakiehdotus päättyy 

6. Laki Euroopan unionin ja Yhdistyneen kuningaskunnan välisen kauppa- ja yhteistyösopimuksen rikoksen johdosta tapahtuvaa luovuttamista ja rikosrekisteritietojen vaihtamista koskevien määräysten soveltamisesta annetun lain 6 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan Euroopan unionin ja Yhdistyneen kuningaskunnan välisen kauppa- ja yhteistyösopimuksen rikoksen johdosta tapahtuvaa luovuttamista ja rikosrekisteritietojen vaihtamista koskevien määräysten soveltamisesta annetun lain (470/2021) 6 § seuraavasti:  
6 § 
Rikosrekisteritietojen vaihtamiseen sovellettava sääntely 
EU-UK-sopimuksen kolmannen osan IX osaston rikosrekisteritietojen vaihtamista koskevia määräyksiä sovellettaessa noudatetaan niiden kanssa soveltuvin osin rinnakkain, mitä rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 1 §:n 1 ja 2 momentissa, 2–4, 5, 7 ja 8 §:ssä, 9 §:n 1, 3 ja 4 momentissa sekä 10, 11, 12, 13, 14, 15, 15 a, 16–20, 20 a, 21 ja 22 §:ssä säädetään, jollei tässä laissa toisin säädetä. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

7. Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 1 §:n 2 momentin Valiokunta ehdottaa sisältöä muutettavaksi 36 Muutosehdotus päättyy kohta, sellaisena kuin se on laissaValiokunta ehdottaa sisältöä muutettavaksi  / Muutosehdotus päättyy, sekä  
lisätään 1 §:n 2 momenttiin, sellaisena kuin se on laeissa 1183/2023, 23/2024, 36/2024, 545/2024Valiokunta ehdottaa sisältöä muutettavaksi , Muutosehdotus päättyy 651/2024, Valiokunta ehdottaa sisältöä muutettavaksi 138/2025 ja /2025 Muutosehdotus päättyy uusi Valiokunta ehdottaa sisältöä muutettavaksi 37 kohta Muutosehdotus päättyy seuraavasti:  
1 § 
Lain soveltamisala 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Siten kuin tässä laissa säädetään, pannaan täytäntöön myös: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valiokunta ehdottaa sisältöä muutettavaksi 36) kulutuspalvelujen turvallisuudesta annetun lain ( / ) 25 §:ssä tarkoitettu seuraamusmaksu;  Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 37 Muutosehdotus päättyy) yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain ( / ) 22 §:ssä tarkoitettu laiminlyöntimaksu. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 
Helsingissä 29.4.2025 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Mauri Peltokangas ps 
 varapuheenjohtaja 
Pihla Keto-Huovinen kok 
 jäsen 
Tiina Elo vihr 
 jäsen 
Eveliina Heinäluoma sd 
 jäsen 
Petri Honkonen kesk 
 jäsen 
Juha Hänninen kok 
 jäsen 
Christoffer Ingo 
 jäsen 
Mari Kaunistola kok 
 jäsen 
Anna Kontula vas 
 jäsen 
Rami Lehtinen ps 
 jäsen 
Mira Nieminen ps 
 jäsen 
Saku Nikkanen sd 
 jäsen 
Eemeli Peltonen sd 
 jäsen 
Hanna Räsänen kesk 
 jäsen 
Paula Werning sd 
 jäsen 
Joakim Vigelius ps 
 jäsen 
Ben Zyskowicz kok 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Henri Helo