Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta
- Säädöksen tyyppi
- Laki
- Antopäivä
- Julkaisupäivä
- Ajantasaistettu säädös
- 310/2025
- Suomen säädöskokoelma
- Säädösteksti
Alkuperäisen säädöksen teksti
Alkuperäisten säädösten teksteihin ei päivitetä säädösmuutoksia eikä tehdä oikaisuja. Muutokset ja oikaisut on huomioitu ajantasaistetuissa säädöksissä. Oikaisut näkyvät myös säädöskokoelman pdf-versioissa.
Eduskunnan päätöksen mukaisesti säädetään:
1 lukuYleiset säännökset
1 §Soveltamisala
Tällä lailla pannaan täytäntöön kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, jäljempänä CER-direktiivi .
Tätä lakia sovelletaan:
CER-direktiivin liitteen toimialaluokituksen mukaisesti energian, liikenteen, pankkialan, rahoitusmarkkinoiden infrastruktuurin, terveyden, juomaveden, jäteveden, digitaalisen infrastruktuurin, julkishallinnon, avaruuden sekä elintarvikkeiden tuotannon, jalostuksen ja jakelun lainsäädännön aloilla ottaen huomioon Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla luettelo keskeisistä palveluista annettu komission delegoitu asetus (EU) 2023/2450;
ohjaukseen ja päätöksentekoon, joka koskee kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallisena suunnitelmana annettavaa kansallista strategiaa, kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevaa kansallista riskiarviointia ja yhteiskunnan toiminnan kannalta tunnistetun keskeisen toimijan määrittämistä 10 §:ssä tarkoitetuksi kriittiseksi toimijaksi ;
1 kohdassa tarkoitettujen toimialaluokkien osalta tämän lain nojalla määritettyyn kriittiseen toimijaan ja sen velvollisuuksiin häiriönsietokyvyn parantamiseksi;
kriittisen toimijan valvontaan; sekä
viranomaisten yhteistyöhön.
Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 9 kohdassa tarkoitetulla julkishallinnon toimialan toimijaluokalla tarkoitetaan tässä laissa viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1 kohdassa säädettyjä viranomaisia.
Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 5 kohdassa tarkoitetun terveyden toimialan terveydenhuollon tarjoajan toimijaluokan osalta tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:ssä tarkoitettuihin terveydenhuollon palveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin lukuun ottamatta Kansaneläkelaitosta, veripalvelulain (197/2005) mukaisiin veripalvelulaitoksiin, apteekkeihin sekä potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetussa Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU, jäljempänä potilasdirektiivi , tarkoitettuihin lääkkeitä ja lääkinnällisiä laitteita toimittaviin ja tarjoaviin toimijoihin. Lisäksi tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettuihin sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin. Hyvinvointialueisiin lakia sovelletaan niiden järjestämän ja tuottaman sosiaali- ja terveydenhuollon osalta.
2 §Soveltamisalan rajaukset
Tätä lakia ei sovelleta tasavallan presidentin kansliaan, eduskuntaan, eduskunnan oikeusasiamieheen, valtioneuvoston oikeuskansleriin, Suomen Pankkiin eikä tuomioistuimiin. Tätä lakia ei myöskään sovelleta viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla eikä rikosten ennalta estämiseen, rikosten tutkintaan, syyteharkintaan saattamisen toteuttamiseen tai syytteeseen panoon.
Tämän lain 7 §:n 3 momenttia, 14–16 §:ää, 5 lukua ja 29 §:ää ei sovelleta sellaiseen kriittiseen toimijaan, joka toimii kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla tai tarjoaa palvelua 1 momentissa tarkoitetulle viranomaiselle. Mitä edellä tässä momentissa säädetään ei kuitenkaan koske sellaista kriittistä toimijaa, joka tarjoaa vähäisessä määrin palvelua kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla.
Tämän lain 7 §:n 3 momentin 3–5 kohtaa ja 4 momenttia, 13 §:n 3 momenttia, 14–16 §:ää, 5 lukua ja 29 §:ää ei sovelleta CER-direktiivin liitteessä olevan taulukon 3 kohdassa tarkoitetun pankkialan, 4 kohdassa tarkoitetun rahoitusmarkkinoiden infrastruktuurin tai 8 kohdassa tarkoitetun digitaalisen infrastruktuurin toimialalla toimivaan kriittiseen toimijaan.
Tätä lakia ei sovelleta sellaisen tiedon antamiseen, jonka ilmaiseminen tai luovuttaminen vaarantaa maanpuolustusta, kansallista turvallisuutta tai yleistä järjestystä ja turvallisuutta.
3 § Suhde muuhun lainsäädäntöön
Jos Euroopan unionin säädöksissä edellytetään alakohtaisesti kriittisten toimijoiden toteuttavan toimenpiteitä häiriönsietokyvyn parantamiseksi ja vaatimukset ovat vähintään tässä laissa säädettyjä velvoitteita vastaavia, kriittiseen toimijaan sovelletaan niitä tämän lain sijasta.
Jos muussa laissa tai sen nojalla annetuissa säännöksissä on tästä laista poikkeavia vaatimuksia kriittisen toimijan riskiarvioinnista tai poikkeamista ilmoittamisesta ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, niitä sovelletaan tämän lain vastaavien säännösten asemasta.
Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).
Tämän lain mukaan määritetyn kriittisen toimijan velvollisuudesta hallita kyberturvallisuuteen liittyviä riskejä säädetään kyberturvallisuuslaissa (124/2025).
4 § Määritelmät
Tässä laissa tarkoitetaan:
häiriönsietokyvyllä kriittisen toimijan kykyä ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä;
keskeisellä palvelulla palvelua, joka on olennainen välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi;
kriittisellä infrastruktuurilla hyödykettä, tilaa, laitteistoa, verkostoa ja järjestelmää sekä osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka on välttämätön keskeisen palvelun tarjoamiseksi;
poikkeamalla tapahtumaa, joka voi merkittävästi häiritä tai joka häiritsee keskeisen palvelun tarjoamista, myös silloin, kun se vaikuttaa kansallisiin järjestelmiin, joilla ylläpidetään oikeusvaltiota;
riskillä poikkeaman aiheuttaman menetyksen tai häiriön mahdollisuutta, joka ilmaistaan tällaisen menetyksen tai häiriön suuruuden ja kyseisen poikkeaman toteutumisen todennäköisyyden yhdistelmänä;
riskiarvioinnilla kokonaisprosessia, jonka avulla määritetään riskin luonne ja laajuus tunnistamalla ja analysoimalla sellaiset mahdolliset asiaankuuluvat uhat, heikkoudet ja vaarat, jotka voivat johtaa poikkeamaan, ja arvioidaan mahdollinen kyseisen poikkeaman aiheuttama keskeisen palvelun tarjonnan menetys tai häiriytyminen.
2 lukuYleinen ohjaus ja kehittäminen
5 § Kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma
Valtioneuvosto hyväksyy kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja toiminnan yleisten tavoitteiden saavuttamiseksi vähintään neljän vuoden välein valtakunnallisen suunnitelman, joka toimii kriittisten toimijoiden häiriönsietokykyä koskevana kansallisena strategiana ( valtakunnallinen suunnitelma ).
Valtakunnallisen suunnitelman valmistelussa on otettava huomioon vastaavan kaltaista tarkoitusta varten annetut valtioneuvoston periaatepäätökset ja muut päätökset.
Valtakunnalliseen suunnitelmaan on sisällytettävä vähintään:
strategiset tavoitteet ja painopisteet kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseksi; tällöin on otettava huomioon rajat ylittävät ja eri toimialojen riippuvuudet ja keskinäiset riippuvuussuhteet;
ohjauskehys strategisten tavoitteiden ja painopisteiden saavuttamiseksi;
kuvaus kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseen tarvittavista toimenpiteistä sekä kuvaus 6 §:ssä tarkoitetusta kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevasta kansallisesta riskiarvioinnista;
kuvaus kriittisten toimijoiden määrittämisprosessista;
kuvaukset kriittisiä toimijoita koskevasta tukiprosessista ja toimenpiteistä julkisten ja yksityisten toimijoiden välisen yhteistyön tehostamisesta;
luettelo tärkeimmistä strategian täytäntöönpanoon osallistuvista viranomaisista ja sidosryhmistä;
toimintapuitteet CER-direktiivin ja toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 toimivaltaisten viranomaisten väliselle koordinoinnille kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia koskevaa tiedonvaihtoa ja valvontatehtävää varten;
kuvaus käytössä olevista toimenpiteistä, jotka helpottavat mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa (2003/361/EY) tarkoitettujen kriittisiksi toimijoiksi määritettyjen pienten ja keskisuurten yritysten häiriönsietokykyä koskevien velvoitteiden täytäntöönpanoa.
6 § Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi
Valtioneuvosto hyväksyy vähintään neljän vuoden välein kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin.
Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevassa kansallisessa riskiarvioinnissa on käsiteltävä merkityksellisiä:
luonnonriskejä;
ihmisen aiheuttamia riskejä;
useita toimialoja koskevia tai rajat ylittäviä riskejä;
onnettomuuksia ja luonnonkatastrofeja;
kansanterveydellisiä uhkia;
hybridiuhkia ja vieraan valtion toimintaa, joilla on vaikutusta Suomen kansalliseen turvallisuuteen;
uhkia liittyen terrorismirikoksiin; sekä
teknologiaan liittyviä kansallisen turvallisuuden uhkia, paikkatiedon väärinkäyttöön liittyviä uhkia ja muita uhkia.
Riskiarvioinnissa on otettava huomioon vähintään:
unionin pelastuspalvelumekanismista tehdyn Euroopan parlamentin ja neuvoston päätöksen N:o 1313/2013/EU 6 artiklan 1 kohdan mukainen riskiarviointi;
sellaiset merkitykselliset riskiarvioinnit, jotka tehdään Euroopan unionin säädösten vaatimusten mukaisesti;
riskit, jotka johtuvat CER-direktiivin liitteen toimialojen keskinäisriippuvuuksista sekä rajat ylittävistä riippuvuuksista;
16 ja 17 §:n mukaiset ilmoitettuja poikkeamia koskevat tiedot.
7 § Yhteensovittamistehtävää hoitava ministeriö
Yhteensovittamistehtävää hoitavan ministeriön tehtävään kuuluu tämän lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen.
Yhteensovittamistehtävää hoitava ministeriö toimii CER-direktiivin 9 artiklan 1 kohdan mukaisena toimivaltaisena viranomaisena ja vastaa kansallisen yhteyspisteen tehtäviä hoitavan tahon ilmoittamisesta komissiolle. Yhteensovittamistehtävää hoitavana ministeriönä toimii sisäministeriö.
Sisäministeriön tehtävänä on:
yhteensovittaa kriittisten toimijoiden häiriönsietokykyä koskevan valtakunnallisen suunnitelman valmistelua;
yhteensovittaa kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin valmistelua;
käsitellä ja toimittaa CER-direktiivin 18 artiklan 1 kohdassa tarkoitettu jäsenvaltion pyyntö neuvontaoperaatiosta komissiolle saatuaan 13 artiklan 4 kohdassa tarkoitetun suostumuksen kriittiseltä toimijalta;
antaa CER-direktiivin 18 artiklan 2 kohdassa tarkoitettu suostumus neuvontaoperaatiosta komissiolle;
toimittaa komissiolle sen tai Euroopan unionin jäsenvaltion perustellusta pyynnöstä Euroopan kannalta erityisen merkittävän kriittisen toimijan riskiarvioinnin olennaiset osat ja luettelo kriittisen toimijan toteuttamista olennaisista 15 §:ssä tarkoitetuista toimenpiteistä;
toimittaa komissiolle tiedot kriittisten toimijoiden häiriönsietokykyä koskevasta valtakunnallisesta suunnitelmasta kolmen kuukauden kuluessa sen hyväksymisestä;
toimittaa komissiolle tieto kriittisten toimijoiden lukumäärästä; sekä
toimittaa komissiolle luettelo CER-direktiivin 7 artiklan 2 kohdan a alakohdassa tarkoitetuista keskeisistä palveluista.
Yhteensovittamistehtävää hoitavan ministeriön on CER-direktiivin johdonmukaisen soveltamisen varmistamiseksi kuultava Euroopan unionin jäsenvaltioita sellaisten kriittisten toimijoiden osalta, jotka:
käyttävät kriittistä infrastruktuuria, jolla on fyysinen yhteys kahden tai useamman jäsenvaltion välillä;
ovat osa yhtiörakenteita, jotka liittyvät tai ovat yhteydessä muiden jäsenvaltioiden kriittisiin toimijoihin;
on määritetty kriittisiksi toimijoiksi yhdessä Euroopan unionin jäsenvaltiossa ja jotka tarjoavat keskeisiä palveluja toisiin jäsenvaltioihin tai toisissa jäsenvaltioissa.
8 § Kriittisen infrastruktuurin häiriönsietokykyä edistävät toimet
Edellä 7 §:ssä ja jäljempänä 13 ja 19 §:ssä tarkoitetut viranomaiset edistävät yhteistyössä Huoltovarmuuskeskuksen kanssa yleisesti kriittisten toimijoiden häiriönsietokykyyn liittyviä kokonaisuuksia.
Tässä tarkoituksessa:
analysoidaan strategioita niihin liittyvien parhaiden käytäntöjen määrittämiseksi;
vaihdetaan tietoja sellaisista parhaista käytännöistä, jotka liittyvät 10 §:ssä tarkoitettuun kriittisten toimijoiden määrittämiseen;
vaihdetaan tietoja ja parhaita käytäntöjä, jotka koskevat kriittisten toimijoiden häiriönsietokykyä koskevaa innovointia, tutkimusta ja kehitystä; sekä
vaihdetaan tarvittaessa tietoja kriittisten toimijoiden häiriönsietokykyä koskevista kysymyksistä asiaankuuluvien Euroopan unionin toimielinten, elinten ja laitosten kanssa.
Jäljempänä 19 §:ssä tarkoitettu valvova viranomainen antaa yhteistyössä Huoltovarmuuskeskuksen kanssa CER-direktiivin 10 artiklan 1 kohdassa tarkoitettua tukea kriittiselle toimijalle. Tässä tarkoituksessa voidaan laatia ohjemateriaalia, menetelmiä ja tukea häiriönsietokykyä testaavien harjoitusten järjestämistä sekä antaa neuvontaa ja koulutusta.
9 § Poikkeamailmoitusten välittäminen ja yhteenvetokertomus
Valtioneuvoston tilannekeskuksesta annetussa laissa (300/2017) tarkoitettu valtioneuvoston tilannekeskus:
välittää asianomaisen viranomaisen laatiman poikkeamailmoituksen komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa;
välittää asianomaisen viranomaisen tiedon poikkeamasta muiden asiaan liittyvien Euroopan unionin jäsenmaiden keskitetyille yhteyspisteille, jos poikkeamalla on tai voi olla merkittävää vaikutusta kriittisiin toimijoihin ja keskeisten palveluiden tarjonnan jatkuvuuteen yhdelle tai useammalle muulle Euroopan unionin jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa;
vastaanottaa poikkeamailmoituksen Euroopan unionin jäsenmaiden keskitetyiltä yhteyspisteiltä ja välittää sen asianomaiselle ministeriölle;
toimittaa kahden vuoden välein 7 §:ssä tarkoitetun ministeriön kokoaman yhteenvetokertomuksen poikkeamailmoituksista, niiden lukumäärästä ja luonteesta Euroopan unionin komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle.
3 luku Kriittisten toimijoiden määrittäminen ja toimijoita koskevat yleiset vaatimukset
10 § Kriittisen toimijan määrittäminen
Yksityinen tai julkinen yhteisö taikka sen toiminnallinen osa voidaan määrittää kriittiseksi toimijaksi, jos:
toimija tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua;
toimija toimii ja sen omistama, hallinnassa oleva tai käyttämä kriittinen infrastruktuuri sijaitsee Suomen alueella; sekä
poikkeamalla olisi 11 ja 12 §:n mukaisia merkittäviä haitallisia vaikutuksia:
toimijan yhden tai useamman kyseisen keskeisen palvelun tarjoamiseen; tai
muiden keskeisten palvelujen tarjoamiseen palvelusta riippuvaisilla toimialoilla.
Kriittisen toimijan määrittämisessä otetaan huomioon kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio sekä rajat ylittävä toiminta ja eurooppalainen yhteismitallisuus.
11 § Merkittävä haitallinen vaikutus
Edellä 10 §:n 1 momentin 3 kohdassa säädetyn haitallisen vaikutuksen merkittävyyttä arvioitaessa on otettava huomioon:
yhteiskunnan toimintakyvyn kannalta keskeisestä palvelusta riippuvaisten käyttäjien lukumäärä;
muiden CER-direktiivin liitteessä tarkoitettujen toimialojen ja alasektorien riippuvaisuus asianomaisesta keskeisestä palvelusta;
poikkeaman vaikutukset vakavuutensa ja kestonsa perusteella yhteiskunnan ja talouden toimintoihin, ympäristöön, yleiseen järjestykseen sekä turvallisuuteen ja väestön terveyteen;
toimijan markkinaosuus;
maantieteellinen alue, johon poikkeama voi vaikuttaa, Suomen rajat ylittävät vaikutukset ja alueelliseen eristyneisyyden asteeseen liittyvä haavoittuvuus; sekä
toimijan merkityksellisyys keskeisen palvelun riittävän tason ylläpitämisessä ottaen huomioon vaihtoehtoisten palvelujen saatavuus tai keskeisen palvelun korvattavuus.
12 § Merkittävä haitallinen vaikutus ja toimiala
Edellä 11 §:ssä tarkoitetun merkittävän haitallisen vaikutuksen merkitystä yhteiskunnan toimintakyvyn kannalta keskeiselle palvelulle arvioitaessa on otettava huomioon yhteiskunnan toimintakyvyn kannalta merkittävät erityistehtävät sekä lisäksi seuraavia toimialoja koskevat perusteet:
energiatoimialan osalta:
vastaanotetun raaka-aineen määrä tuotannossa tai jalostuksessa;
vuositasolla tuotettu energian määrä, osuus kansallisen energian tuotetusta määrästä tai energian tuotantokapasiteetti;
varastointikapasiteetti;
asiakaslukumäärä;
toimituskapasiteetti;
energian siirto ja verkosta luovutetun energian määrä;
elintarviketoimialan osalta elintarvikkeiden tuotannossa ja jalostuksessa vastaanotetun raaka-aineen määrä litroina tai kiloina ja tuotannon määrä sekä jaettavan hyödykkeen määrä myös kaupan ja jakelun, että ruokapalveluiden osalta;
liikennetoimialan osalta:
palvelun tuottajan osuus kansallisesta liikennemäärästä;
matkustajien vuosittainen lukumäärä;
rahtikuljetusten vuosittainen lukumäärä;
vesihuoltotoimialan osalta:
toimitettavan veden kuutiometrimäärä vuorokaudessa;
jäteveden poisjohtamisen kuutiometrimäärä vuorokaudessa;
avaruustoimialan osalta:
toimijan osuus sellaisesta yhteiskunnalle kriittisen palvelun tai tiedontuotannon tarjoamisessa, joka on riippuvainen avaruuspohjaisista palveluista;
toimijan osuus avaruustilannekuvaan tai radioympäristön häiriöihin liittyvän tiedontuotannon kannalta merkittävien palvelujen tarjoamisessa.
13 §Päätöksenteko kriittisestä toimijasta
Kriittisen toimijan määrittämistä koskevan asian ratkaisee se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu. Päätös on voimassa enintään neljä vuotta.
Ennen 1 momentissa tarkoitetun asian ratkaisemista on pyydettävä lausunto 7 §:ssä tarkoitetulta ministeriöltä ja tarpeellisessa laajuudessa muilta ministeriöiltä ja viranomaisilta sekä Huoltovarmuuskeskukselta.
Tämän pykälän mukaisella päätöksellä määritetyn kriittisen toimijan katsotaan olevan Euroopan kannalta erityisen merkittävä kriittinen toimija, jos se tarjoaa samoja tai samanlaisia keskeisiä palveluja vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuuden jäsenvaltion alueella, ja kun toimijalle on ilmoitettu asiasta. Komission ilmoitettua siitä, että kriittistä toimijaa pidetään Euroopan kannalta erityisen merkittävänä kriittisenä toimijana, 7 §:ssä tarkoitetun ministeriön on toimitettava tieto komission ilmoituksesta ja siihen liittyvistä velvoitteista kriittiselle toimijalle viivytyksettä.
Asianomainen ministeriö voi peruuttaa 1 momentissa tarkoitetun päätöksen, jos kriittinen toimija ei enää täytä annetun päätöksen edellytyksiä tai kriittinen toimija on lopettanut toimintansa.
14 §Kriittisen toimijan suorittama riskiarviointi
Kriittisen toimijan on suoritettava riskiarviointi tarvittaessa ja vähintään neljän vuoden välein. Riskiarviointia laadittaessa on otettava huomioon kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio ja muut riskiarvioinnin kannalta merkittävät tietolähteet.
Kriittisen toimijan riskiarvioinnissa on otettava huomioon kaikki sellaiset merkitykselliset luonnon ja ihmisen aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Tällöin otetaan huomioon toimialojen tai rajat ylittävät riskit, onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut uhat sekä muut toimivaltaisen ministeriön määrittämät uhat.
Riskiarvioinnissa on otettava huomioon, missä määrin muut toimialat ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta.
Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin tämän lain nojalla muu riskiarvio tai asiakirja, kriittinen toimija voi käyttää kyseistä arviointia tai asiakirjaa. Tästä on mainittava kyseisessä riskiarviossa tai asiakirjassa.
15 §Häiriönsietokyvyn varmistaminen ja häiriönsietokykyä koskeva suunnitelma
Kriittisen toimijan on toteutettava häiriönsietokykynsä varmistamiseksi asianmukaisia ja oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä, jotka perustuvat 14 §:ssä tarkoitettuun riskiarviontiin ja muihin asiaan kuuluviin tietoihin. Tässä tarkoituksessa kriittisen toimijan on laadittava asianmukaisia ja oikeasuhtaisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä sisältävä suunnitelma häiriönsietokyvyn varmistamiseksi.
Suunnitelmassa on oltava selostus:
toimenpiteistä poikkeamien syntymisen estämiseksi ottaen huomioon katastrofiriskien vähentämiseen ja ilmastonmuutokseen sopeutumiseen liittyvät toimenpiteet;
tilojen ja niissä sijaitsevan infrastruktuurin suojaamisesta kuten aidan asentamisesta, esteiden pystyttämisestä, ilmaisulaitteista ja kulunvalvonnasta sekä muusta fyysisestä suojaamisesta;
toimenpiteistä poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi;
toimenpiteistä poikkeamisista palautumiseksi ottaen huomioon liiketoiminnan jatkuvuuteen liittyvät toimenpiteet ja vaihtoehtoiset toimitusketjut;
henkilöstöturvallisuuden varmistamisesta kuten kriittisiä tehtäviä hoitavien henkilöstöryhmien määrittämisestä mukaan lukien ulkopuolisten palvelutarjoajien henkilöstön huomioiminen määrittämisessä, pääsyoikeuksien vahvistamisesta tiloihin, kriittiseen infrastruktuuriin ja arkaluonteisiin tietoihin sekä turvallisuusselvitysten pyytämisestä ja koulutus- ja pätevyysvaatimuksista;
tiedottamisesta asianomaiselle henkilöstölle; sekä
toteuttamisaikataulua koskevasta suunnitelmasta.
Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin tämän lain nojalla asiakirja tai suunnitelma, erillistä tämän pykälän mukaista suunnitelmaa ei tarvitse laatia, vaan kriittinen toimija voi käyttää kyseistä asiakirjaa tai suunnitelmaa. Tästä on mainittava suunnitelmassa tai asiakirjassa.
Kriittisen toimijan on nimettävä yhteyspiste, jonka kautta tiedonkulku järjestetään ja ilmoitettava tässä tarkoituksessa tehtävää hoitavan yhteyshenkilön nimi ja yhteystiedot tai muu vastaava yhteyspiste, josta voi saada tietoa.
4 luku Kriittisen toimijan poikkeamailmoitus
16 §Poikkeamia koskeva ilmoitusvelvollisuus
Kriittisen toimijan on ilmoitettava ilman aiheetonta viivytystä asianomaiselle valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle merkittävästä poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista.
Kriittisen toimijan on annettava ensi-ilmoitus valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle viimeistään 24 tunnin kuluttua siitä, kun poikkeama on tullut tietoon, jollei välttämättömästä operatiivisesta syystä muuta johdu. Kriittinen toimija antaa yksityiskohtaisen raportin tarvittaessa viimeistään kuukauden kuluttua siitä, kun poikkeama on tullut tietoon yhteensovittamistehtävää hoitavalle ministeriölle, toimialasta vastaavalle ministeriölle ja toimivaltaiselle valvovalle viranomaiselle.
Häiriön merkittävyyden määrittämisessä on otettava huomioon erityisesti käyttäjien lukumäärä ja osuus, joihin häiriö vaikuttaa, häiriön kesto ja maantieteellinen alue ja maantieteellisen alueen eristyneisyys.
Huoltovarmuuskeskuksella on sen estämättä, mitä tietojen salassa pitämisestä säädetään, oikeus saada tehtäviensä hoitamiseksi ja asianomaisten ministeriöiden ja valvovien viranomaisten tukemiseksi välttämättömiksi arvioidut tiedot 2 momentissa tarkoitetusta ensi-ilmoituksesta ja yksityiskohtaisesta raportista.
17 § Ensi-ilmoituksen ja yksityiskohtaisen raportin sisältö
Poikkeamaa koskevaan ensi-ilmoitukseen sisällytetään:
tieto poikkeaman havaitsemisesta ja sen luonteesta;
arvio mahdollisesta aiheuttajasta tai syystä;
arvio mahdollisista seurauksista ja arvio keskeisen palvelun käyttäjien lukumäärästä tai osuudesta, johon häiriö vaikuttaa;
tieto, joka on tarpeen poikkeaman mahdollisten rajat ylittävien vaikutusten määrittämiseksi.
Yksityiskohtaiseen raporttiin sisällytetään:
yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista sekä maantieteellisestä laajuudesta;
poikkeaman todennäköisesti aiheuttaneen uhkan tai syyn luonne;
toteutetut tai meneillään olevat toimenpiteet vaikutusten lieventämiseksi;
mahdolliset rajat ylittävät vaikutukset; sekä
muut kuin 1–4 kohdassa tarkoitetut poikkeaman hallinnan kannalta olennaiset tiedot.
Kriittisen toimijan on toimitettava valvovan viranomaisen pyynnöstä lisätietoja, jotka liittyvät havaittuun poikkeamaan.
18 § Vastaanotetun poikkeamailmoituksen käsittely
Asianomaisen valvovan viranomaisen on ilmoitettava kriittiselle toimijalle poikkeamailmoituksen vastaanottamisesta ja mahdollisista tukitoimista.
Asianomaisen valvovan viranomaisen on annettava viivytyksettä kriittiselle toimijalle tietoja jatkotoimista. Jos häiriöstä ilmoittaminen on yleisen edun mukaista, valvova viranomainen voi lisäksi velvoittaa kriittisen toimijan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.
Jos poikkeamalla on tai voi olla merkittävä vaikutus kriittisiin toimijoihin ja keskeisten palvelujen tarjonnan jatkuvuuteen yhdelle tai useammalle Euroopan unionin jäsenvaltiolle tai jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa jäsenvaltiossa, asiasta on saatujen tietojen perusteella ilmoitettava 9 §:n mukaisesti.
5 lukuValvonta
19 § Valvovat viranomaiset
Asianomainen valvova viranomainen valvoo kriittiselle toimijalle tämän lain nojalla säädettyjen ja määrättyjen velvoitteiden noudattamista. Tässä laissa tarkoitettuja valvovia viranomaisia ovat:
Energiavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energiatoimialan alasektoreiden sähkö, kaukolämmitys ja -jäähdytys toimijaluokkien alaan sekä kaasun alasektorin toimijaluokkien jakeluverkonhaltijat, siirtoverkon haltijat ja toimittajat alaan sekä alasektori vedyn siirtoa koskevaan toimijaluokkaan;
Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus niiden kriittisten toimijoiden osalta, jotka kuuluvat juomaveden ja jäteveden toimijaluokkaan;
Liikenne- ja viestintävirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat liikennetoimialan alasektoreiden ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne ja julkinen liikenne alaan sekä niiden kriittisten toimijoiden osalta, jotka kuuluvat avaruustoimialan alaan;
Lääkealan turvallisuus- ja kehittämiskeskus Fimea kriittisiksi nimettyjen:
ihmisille tarkoitettuja lääkkeitä koskevista yhteisön säännöistä annetun Euroopan parlamentin ja neuvoston direktiivin 2001/83/EY, jäljempänä lääkedirektiivi , 1 artiklan 2 alakohdassa tarkoitettujen lääkkeiden tutkimusta ja kehitystä harjoittavien toimijoiden osalta;
tilastollisen toimialaluokituksen NACE Rev. 2 vahvistamisesta sekä neuvoston asetuksen (ETY) N:o 3037/90 ja tiettyjen eri tilastoaloja koskevien yhteisön asetusten muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1893/2006, sellaisena kuin se on viimeksi muutettuna komission delegoidussa asetuksessa (EU) 2023/137, vahvistetun NACE Rev.2 -luokituksen C jakson kaksinumerotasossa 21 tarkoitettujen lääkeaineiden ja lääkkeiden valmistajien osalta;
Euroopan lääkeviraston roolin vahvistamisesta kriisivalmiudessa ja -hallinnassa lääkkeiden ja lääkinnällisten laitteiden osalta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/123 22 artiklassa tarkoitettujen kansanterveysuhan aikana kriittisiksi katsottujen lääkinnällisten laitteiden valmistajien osalta;
lääkedirektiivin 79 artiklassa tarkoitettujen tukkukaupan harjoittamista koskevien luvan haltijoiden ja apteekkien osalta;
potilasdirektiivin mukaisten lääkkeitä ja lääkinnällisiä laitteita toimittavien ja tarjoavien toimijoiden ja veripalvelulaitosten osalta;
Ruokavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat elintarvikkeiden tuotanto, jalostus ja jakelu toimijaluokkaan;
Turvallisuus- ja kemikaalivirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energia toimialan alasektoreiden öljy, vety ja kaasu alaan, lukuun ottamatta edellä Energiaviraston valvonnan alaan säädettyjä toimijoita;
Sosiaali- ja terveysalan lupa- ja valvontavirasto ja aluehallintovirastot kriittisiksi nimettyjen sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettujen sosiaali- ja terveydenhuollon palveluita antavien palvelunjärjestäjien ja palveluntuottajien osalta; toimivaltainen valvontaviranomainen määräytyy mainitun lain 32 §:n 2 ja 3 momentin mukaisesti;
Sosiaali- ja terveysalan lupa- ja valvontavirasto kriittisiksi nimettyjen rajat ylittävistä vakavista terveysuhkista ja päätöksen N:o 1082/2013/EU kumoamisesta annetun Europan parlamentin ja neuvoston asetuksen (EU) 2022/2371 15 artiklassa tarkoitettujen EU:n vertailulaboratorioiden osalta.
20 §Valvonnan kohdistaminen ja tarkastusoikeus
Valvonta on kohdistettava kriittiseen toimijaan tässä laissa säädettyjen velvollisuuksien noudattamisen valvomiseksi siinä laajuudessa kuin se on tarpeen. Valvovalla viranomaisella on oikeus tehdä tarkastuksia paikan päällä kriittisessä infrastruktuurissa, rakennuksissa ja toimitiloissa, joita kriittinen toimija käyttää keskeisten palvelujensa tarjoamiseen.
Tarkastuksen yhteydessä on oikeus päästä valvottavan kohteen kaikkiin valvonnan kannalta välttämättömiin rakennuksiin, tiloihin ja tieto- ja muihin järjestelmiin sekä saada salassapitosäännösten tai muiden rajoitusten estämättä selvityksiä tässä laissa vaadituista suunnitelmista ja muista järjestelyistä. Tarkastusta ei kuitenkaan saa suorittaa pysyväisluonteiseen asumiseen käytettävissä tiloissa. Valvova viranomainen voi suorittaa lisäksi kriittisen toimijan toimenpiteiden valvontaa rakennusten ja toimitilojen ulkopuolella kriittisen toimijan häiriönsietokyvyn varmistamiseksi.
Valvova viranomainen voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. Valvova viranomainen voi tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tarkastuksen suorittajalla ja siihen osallistuvalla ulkopuolisella asiantuntijalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettua avustamistehtävää. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).
Tarkastuksessa noudatettavaan menettelyyn sovelletaan hallintolain (434/2003) 39 §:ää.
21 §Huomautus, varoitus ja valvontapäätös
Valvova viranomainen voi antaa huomautuksen tai varoituksen kriittiselle toimijalle, joka rikkoo tätä lakia. Varoituksen voi antaa, jos huomautusta ei asiasta ilmenevät seikat kokonaisuudessaan huomioiden voida pitää riittävänä. Varoitus on annettava kirjallisena ja siinä on yksilöitävä puute tai laiminlyönti, jota varoitus koskee.
Valvova viranomainen voi päätöksellään velvoittaa toimijan korjaamaan havaitut puutteet tai laiminlyönnin kohtuullisessa määräajassa. Valvova viranomainen voi asettaa päätöksen tehosteeksi uhkasakon tai teettämisuhan.
22 §Laiminlyöntimaksu
Valvova viranomainen voi määrätä päätöksellään kriittisen toimijan maksamaan laiminlyöntimaksun, jos kriittinen toimija tahallaan tai törkeästä huolimattomuudesta laiminlyö 14 §:ssä tarkoitetun riskiarvion, 15 §:ssä tarkoitettujen toimenpiteiden suorittamisen tai 16 §:ssä tarkoitetun poikkeamaa koskevan ilmoituksen antamisen ja havaitulla puutteella tai laiminlyönnillä on merkittävää vaikutusta yhteiskunnan keskeisten palvelujen tarjoamiseen. Laiminlyöntimaksu määrätään maksettavaksi valtiolle. Laiminlyöntimaksua ei voida määrätä kriittiselle toimijalle, joka on valtion viranomainen, valtion liikelaitos, kunnallinen viranomainen, hyvinvointialue tai itsenäinen julkisoikeudellinen laitos. Laiminlyöntimaksun määrä on vähintään 2 000 euroa ja enintään 20 000 euroa.
Laiminlyöntimaksun suuruutta arvioitaessa on otettava huomioon tapauksen olosuhteet ja menettelyn laatu ja tässä tarkoituksessa ainakin seuraavat seikat:
laiminlyönnin kesto;
laiminlyönnin tai puutteen toistuvuus;
merkittävien poikkeamien jättäminen ilmoittamatta;
havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä huolimatta;
toimenpiteet, jotka kriittinen toimija on toteuttanut vahingon ehkäisemiseksi tai lieventämiseksi.
23 §Laiminlyöntimaksun määräämättä jättäminen
Laiminlyöntimaksu jätetään määräämättä, jos
kriittinen toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä laiminlyönti ole toistuva;
laiminlyöntiä on pidettävä vähäisenä; taikka
maksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella; laiminlyöntimaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun laiminlyönti on tapahtunut.
Laiminlyöntimaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Laiminlyöntimaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio.
24 §Laiminlyöntimaksun täytäntöönpano
Laiminlyöntimaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Laiminlyöntimaksu vanhenee viiden vuoden kuluttua lainvoiman saaneen päätöksen antamispäivästä.
6 luku Erinäiset säännökset
25 §Oikaisuvaatimus
Tässä laissa tarkoitettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.
Valtioneuvoston yleisistunnon päätökseen ei saa vaatia oikaisua.
26 §Muutoksenhaku
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).
Muutoksenhausta uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin uhkasakkolakia (1113/1990).
27 §Viranomaisten ja muiden tahojen tiedonsaantioikeus
Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä saada viranomaisilta ja kriittiseksi toimijaksi määritetyltä toimijalta maksutta tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot. Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä luovuttaa toiselle valvovalle viranomaiselle ja kyberturvallisuuslain 26 §:n mukaiselle valvovalle viranomaiselle sekä tämän lain 7 §:ssä tarkoitetulle ministeriölle ja ministeriölle, jonka toimialaan käsiteltävä asia kuuluu, tiedot, jotka ovat välttämättömiä niiden tehtävien hoitamiseksi. Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä luovuttaa välttämättömät tiedot myös Huoltovarmuuskeskukselle sen tehtävien hoitamiseksi.
Tässä pykälässä tarkoitettu tiedonsaantioikeus ei koske kyberturvallisuuslain 19 §:ssä tarkoitetun CSIRT-yksikön käsittelemiä tietoja.
28 §Viranomaisten yhteistyö
Tämän lain 13 §:n mukaisesta päätöksestä kriittisen toimijan määrittämiseksi on ilmoitettava kyberturvallisuuslain 26 §:ssä tarkoitetuille viranomaisille yhden kuukauden kuluessa päätöksestä.
Tämän lain 13 §:n 1 ja 2 momentissa ja 19 §:ssä tarkoitettujen viranomaisten ja kyberturvallisuuslain 26 §:ssä tarkoitetun viranomaisen on vaihdettava keskenään tietoja kriittisten toimijoiden määrittämisestä sekä kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista sekä muista kuin kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista, jotka vaikuttavat kriittisiin toimijoihin, sekä mainittujen viranomaisten toteuttamista olennaisista toimenpiteistä ja hallintatoimista.
29 §Turvallisuusselvitys
Jos turvallisuusselvityslaissa (726/2014) tarkoitettu henkilöturvallisuusselvitys laaditaan tämän lain 13 §:ssä tarkoitettuun kriittiseen toimijaan palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta henkilöstä taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta henkilöstä ja se on selvityksen kohteen ulkomailla oleskelun tai muun erityisen syyn vuoksi tarpeen, suojelupoliisi voi tehdä selvitystä varten rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 20 c §:ssä tarkoitetun pyynnön. Pyynnön perusteella saatuja rekisteritietoja voidaan käyttää henkilöturvallisuusselvityksen laadinnassa sen lisäksi, mitä turvallisuusselvityslaissa muutoin säädetään.
30 §Voimaantulo
Tämä laki tulee voimaan 1 päivänä heinäkuuta 2025.
Tämän lain voimaan tullessa 5 §:ssä tarkoitettu kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja 6 §:ssä tarkoitettu kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio hyväksytään ensimmäisen kerran viimeistään 17 päivänä tammikuuta 2026. Tämän lain 13 §:ssä tarkoitettu päätös kriittisen toimijan määrittämisestä tehdään ensimmäisen kerran viimeistään 17 päivänä heinäkuuta 2026.
Tämän lain voimaan tullessa 14 §:ssä säädetty kriittisen toimijan riskiarviointi tulee kriittiseksi toimijaksi määritetyn toimesta suorittaa ensimmäisen kerran yhdeksän kuukauden kuluessa siitä, kun vastaanottaja on saanut tiedon 13 §:ssä tarkoitetusta päätöksestä. Tämän lain 15 §:n mukainen suunnitelma on laadittava ensimmäisen kerran vuoden kuluessa 14 §:ssä tarkoitetun riskiarvioinnin laatimisesta.
Saaduista 16 §:ssä tarkoitetuista poikkeamailmoituksista toimitetaan viimeistään 17 päivänä heinäkuuta 2028 ensimmäinen yhteenvetokertomus komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle.
HaVM 11/2025
EV 47/2025
Helsingissä 13.6.2025
Tasavallan PresidenttiAlexander StubbSisäministeriMari Rantanen