Viimeksi julkaistu 1.8.2025 17.21

Eduskunnan vastaus EV 47/2025 vp HE 205/2024 vp  Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi

HE 205/2024 vp
HaVM 11/2025 vp

Asia

Hallituksen esitys eduskunnalle laiksi yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta ja eräiksi muiksi laeiksi (HE 205/2024 vp). 

Valiokuntakäsittely

Valiokunnan mietintö: Hallintovaliokunta (HaVM 11/2025 vp). 

Päätös

Eduskunta on hyväksynyt seuraavat lait: 

Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta   

Eduskunnan päätöksen mukaisesti säädetään:  
1 luku 
Yleiset säännökset  
1 § 
Soveltamisala  
Tällä lailla pannaan täytäntöön kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, jäljempänä CER-direktiivi
Tätä lakia sovelletaan: 
1) CER-direktiivin liitteen toimialaluokituksen mukaisesti energian, liikenteen, pankkialan, rahoitusmarkkinoiden infrastruktuurin, terveyden, juomaveden, jäteveden, digitaalisen infrastruktuurin, julkishallinnon, avaruuden sekä elintarvikkeiden tuotannon, jalostuksen ja jakelun lainsäädännön aloilla ottaen huomioon Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 täydentämisestä vahvistamalla luettelo keskeisistä palveluista annettu komission delegoitu asetus (EU) 2023/2450; 
2) ohjaukseen ja päätöksentekoon, joka koskee kriittisten toimijoiden häiriönsietokykyä koskevaa valtakunnallisena suunnitelmana annettavaa kansallista strategiaa, kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevaa kansallista riskiarviointia ja yhteiskunnan toiminnan kannalta tunnistetun keskeisen toimijan määrittämistä 10 §:ssä tarkoitetuksi kriittiseksi toimijaksi; 
3) 1 kohdassa tarkoitettujen toimialaluokkien osalta tämän lain nojalla määritettyyn kriittiseen toimijaan ja sen velvollisuuksiin häiriönsietokyvyn parantamiseksi; 
4) kriittisen toimijan valvontaan; sekä 
5) viranomaisten yhteistyöhön. 
Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 9 kohdassa tarkoitetulla julkishallinnon toimialan toimijaluokalla tarkoitetaan tässä laissa viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentin 1 kohdassa säädettyjä viranomaisia. 
Edellä 2 momentin 1 kohdassa CER-direktiivin liitteessä olevan taulukon 5 kohdassa tarkoitetun terveyden toimialan terveydenhuollon tarjoajan toimijaluokan osalta tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain (741/2023) 4 §:ssä tarkoitettuihin terveydenhuollon palveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin lukuun ottamatta Kansaneläkelaitosta, veripalvelulain (197/2005) mukaisiin veripalvelulaitoksiin, apteekkeihin sekä potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetussa Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU, jäljempänä potilasdirektiivi, tarkoitettuihin lääkkeitä ja lääkinnällisiä laitteita toimittaviin ja tarjoaviin toimijoihin. Lisäksi tätä lakia sovelletaan sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettuihin sosiaalipalveluita järjestäviin tai tuottaviin palvelunjärjestäjiin ja palveluntuottajiin. Hyvinvointialueisiin lakia sovelletaan niiden järjestämän ja tuottaman sosiaali- ja terveydenhuollon osalta. 
2 § 
Soveltamisalan rajaukset 
Tätä lakia ei sovelleta tasavallan presidentin kansliaan, eduskuntaan, eduskunnan oikeusasiamieheen, valtioneuvoston oikeuskansleriin, Suomen Pankkiin eikä tuomioistuimiin. Tätä lakia ei myöskään sovelleta viranomaistoimintaan maanpuolustuksen, kansallisen turvallisuuden, yleisen järjestyksen ja turvallisuuden aloilla eikä rikosten ennalta estämiseen, rikosten tutkintaan, syyteharkintaan saattamisen toteuttamiseen tai syytteeseen panoon. 
Tämän lain 7 §:n 3 momenttia, 14—16 §:ää, 5 lukua ja 29 §:ää ei sovelleta sellaiseen kriittiseen toimijaan, joka toimii kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla tai tarjoaa palvelua 1 momentissa tarkoitetulle viranomaiselle. Mitä edellä tässä momentissa säädetään ei kuitenkaan koske sellaista kriittistä toimijaa, joka tarjoaa vähäisessä määrin palvelua kansallisen turvallisuuden, yleisen turvallisuuden, maanpuolustuksen tai lainvalvonnan alalla. 
Tämän lain 7 §:n 3 momentin 3—5 kohtaa ja 4 momenttia, 13 §:n 3 momenttia, 14—16 §:ää, 5 lukua ja 29 §:ää ei sovelleta CER-direktiivin liitteessä olevan taulukon 3 kohdassa tarkoitetun pankkialan, 4 kohdassa tarkoitetun rahoitusmarkkinoiden infrastruktuurin tai 8 kohdassa tarkoitetun digitaalisen infrastruktuurin toimialalla toimivaan kriittiseen toimijaan. 
Tätä lakia ei sovelleta sellaisen tiedon antamiseen, jonka ilmaiseminen tai luovuttaminen vaarantaa maanpuolustusta, kansallista turvallisuutta tai yleistä järjestystä ja turvallisuutta. 
3 §  
Suhde muuhun lainsäädäntöön 
Jos Euroopan unionin säädöksissä edellytetään alakohtaisesti kriittisten toimijoiden toteuttavan toimenpiteitä häiriönsietokyvyn parantamiseksi ja vaatimukset ovat vähintään tässä laissa säädettyjä velvoitteita vastaavia, kriittiseen toimijaan sovelletaan niitä tämän lain sijasta.  
Jos muussa laissa tai sen nojalla annetuissa säännöksissä on tästä laista poikkeavia vaatimuksia kriittisen toimijan riskiarvioinnista tai poikkeamista ilmoittamisesta ja vaatimukset ovat vaikutuksiltaan vähintään tässä laissa säädettyjä velvoitteita vastaavia, niitä sovelletaan tämän lain vastaavien säännösten asemasta. 
Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).  
Tämän lain mukaan määritetyn kriittisen toimijan velvollisuudesta hallita kyberturvallisuuteen liittyviä riskejä säädetään kyberturvallisuuslaissa (124/2025). 
4 §  
Määritelmät 
Tässä laissa tarkoitetaan: 
1) häiriönsietokyvyllä kriittisen toimijan kykyä ehkäistä, torjua ja lieventää poikkeamia, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä; 
2) keskeisellä palvelulla palvelua, joka on olennainen välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi; 
3) kriittisellä infrastruktuurilla hyödykettä, tilaa, laitteistoa, verkostoa ja järjestelmää sekä osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka on välttämätön keskeisen palvelun tarjoamiseksi; 
4)  poikkeamalla  tapahtumaa,  joka  voi  merkittävästi  häiritä  tai  joka  häiritsee  keskeisen palvelun tarjoamista, myös silloin,  kun se  vaikuttaa  kansallisiin  järjestelmiin, joilla ylläpidetään oikeusvaltiota; 
5) riskillä poikkeaman aiheuttaman menetyksen tai häiriön mahdollisuutta, joka ilmaistaan tällaisen menetyksen tai häiriön suuruuden ja kyseisen poikkeaman toteutumisen todennäköisyyden yhdistelmänä; 
6) riskiarvioinnilla kokonaisprosessia, jonka avulla määritetään riskin luonne ja laajuus tunnistamalla ja analysoimalla sellaiset mahdolliset asiaankuuluvat uhat, heikkoudet ja vaarat, jotka voivat johtaa poikkeamaan, ja arvioidaan mahdollinen kyseisen poikkeaman aiheuttama keskeisen palvelun tarjonnan menetys tai häiriytyminen. 
2 luku 
Yleinen ohjaus ja kehittäminen  
5 §  
Kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma 
Valtioneuvosto hyväksyy kriittisten toimijoiden häiriönsietokyvyn parantamiseksi ja toiminnan yleisten tavoitteiden saavuttamiseksi vähintään neljän vuoden välein valtakunnallisen suunnitelman, joka toimii kriittisten toimijoiden häiriönsietokykyä koskevana kansallisena strategiana (valtakunnallinen suunnitelma). 
Valtakunnallisen suunnitelman valmistelussa on otettava huomioon vastaavan kaltaista tarkoitusta varten annetut valtioneuvoston periaatepäätökset ja muut päätökset.  
Valtakunnalliseen suunnitelmaan on sisällytettävä vähintään: 
1) strategiset tavoitteet ja painopisteet kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseksi; tällöin on otettava huomioon rajat ylittävät ja eri toimialojen riippuvuudet ja keskinäiset riippuvuussuhteet; 
2) ohjauskehys strategisten tavoitteiden ja painopisteiden saavuttamiseksi;  
3) kuvaus kriittisten toimijoiden yleisen häiriönsietokyvyn parantamiseen tarvittavista toimenpiteistä sekä kuvaus 6 §:ssä tarkoitetusta kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevasta kansallisesta riskiarvioinnista; 
4) kuvaus kriittisten toimijoiden määrittämisprosessista; 
5) kuvaukset kriittisiä toimijoita koskevasta tukiprosessista ja toimenpiteistä julkisten ja yksityisten toimijoiden välisen yhteistyön tehostamisesta; 
6) luettelo tärkeimmistä strategian täytäntöönpanoon osallistuvista viranomaisista ja sidosryhmistä; 
7) toimintapuitteet CER-direktiivin ja toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 toimivaltaisten viranomaisten väliselle koordinoinnille kyberturvallisuusriskejä, kyberuhkia ja kyberturvallisuuspoikkeamia koskevaa tiedonvaihtoa ja valvontatehtävää varten;  
8) kuvaus käytössä olevista toimenpiteistä, jotka helpottavat mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetussa komission suosituksessa (2003/361/EY) tarkoitettujen kriittisiksi toimijoiksi määritettyjen pienten ja keskisuurten yritysten häiriönsietokykyä koskevien velvoitteiden täytäntöönpanoa. 
6 §  
Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarviointi  
Valtioneuvosto hyväksyy vähintään neljän vuoden välein kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin.  
Kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevassa kansallisessa riskiarvioinnissa on käsiteltävä merkityksellisiä: 
1) luonnonriskejä; 
2) ihmisen aiheuttamia riskejä;  
3) useita toimialoja koskevia tai rajat ylittäviä riskejä; 
4) onnettomuuksia ja luonnonkatastrofeja; 
5) kansanterveydellisiä uhkia; 
6) hybridiuhkia ja vieraan valtion toimintaa, joilla on vaikutusta Suomen kansalliseen turvallisuuteen;  
7) uhkia liittyen terrorismirikoksiin; sekä 
8) teknologiaan liittyviä kansallisen turvallisuuden uhkia, paikkatiedon väärinkäyttöön liittyviä uhkia ja muita uhkia. 
Riskiarvioinnissa on otettava huomioon vähintään: 
1) unionin pelastuspalvelumekanismista tehdyn Euroopan parlamentin ja neuvoston päätöksen N:o 1313/2013/EU 6 artiklan 1 kohdan mukainen riskiarviointi;  
2) sellaiset merkitykselliset riskiarvioinnit, jotka tehdään Euroopan unionin säädösten vaatimusten mukaisesti;  
3) riskit, jotka johtuvat CER-direktiivin liitteen toimialojen keskinäisriippuvuuksista sekä rajat ylittävistä riippuvuuksista; 
4) 16 ja 17 §:n mukaiset ilmoitettuja poikkeamia koskevat tiedot. 
7 §  
Yhteensovittamistehtävää hoitava ministeriö 
Yhteensovittamistehtävää hoitavan ministeriön tehtävään kuuluu tämän lain mukaisen toiminnan yleinen ohjaus, seuranta, yhteensovittaminen ja kehittäminen.  
Yhteensovittamistehtävää hoitava ministeriö toimii CER-direktiivin 9 artiklan 1 kohdan mukaisena toimivaltaisena viranomaisena ja vastaa kansallisen yhteyspisteen tehtäviä hoitavan tahon ilmoittamisesta komissiolle. Yhteensovittamistehtävää hoitavana ministeriönä toimii sisäministeriö.  
Sisäministeriön tehtävänä on:  
1) yhteensovittaa kriittisten toimijoiden häiriönsietokykyä koskevan valtakunnallisen suunnitelman valmistelua;  
2) yhteensovittaa kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskevan kansallisen riskiarvioinnin valmistelua;  
3) käsitellä ja toimittaa CER-direktiivin 18 artiklan 1 kohdassa tarkoitettu jäsenvaltion pyyntö neuvontaoperaatiosta komissiolle saatuaan 13 artiklan 4 kohdassa tarkoitetun suostumuksen kriittiseltä toimijalta; 
4) antaa CER-direktiivin 18 artiklan 2 kohdassa tarkoitettu suostumus neuvontaoperaatiosta komissiolle; 
5) toimittaa komissiolle sen tai Euroopan unionin jäsenvaltion perustellusta pyynnöstä Euroopan kannalta erityisen merkittävän kriittisen toimijan riskiarvioinnin olennaiset osat ja luettelo kriittisen toimijan toteuttamista olennaisista 15 §:ssä tarkoitetuista toimenpiteistä; 
6) toimittaa komissiolle tiedot kriittisten toimijoiden häiriönsietokykyä koskevasta valtakunnallisesta suunnitelmasta kolmen kuukauden kuluessa sen hyväksymisestä; 
7) toimittaa komissiolle tieto kriittisten toimijoiden lukumäärästä; sekä 
8) toimittaa komissiolle luettelo CER-direktiivin 7 artiklan 2 kohdan a alakohdassa tarkoitetuista keskeisistä palveluista. 
Yhteensovittamistehtävää hoitavan ministeriön on CER-direktiivin johdonmukaisen soveltamisen varmistamiseksi kuultava Euroopan unionin jäsenvaltioita sellaisten kriittisten toimijoiden osalta, jotka: 
1) käyttävät kriittistä infrastruktuuria, jolla on fyysinen yhteys kahden tai useamman jäsenvaltion välillä; 
2) ovat osa yhtiörakenteita, jotka liittyvät tai ovat yhteydessä muiden jäsenvaltioiden kriittisiin toimijoihin; 
3) on määritetty kriittisiksi toimijoiksi yhdessä Euroopan unionin jäsenvaltiossa ja jotka tarjoavat keskeisiä palveluja toisiin jäsenvaltioihin tai toisissa jäsenvaltioissa. 
8 §  
Kriittisen infrastruktuurin häiriönsietokykyä edistävät toimet 
Edellä 7 §:ssä ja jäljempänä 13 ja 19 §:ssä tarkoitetut viranomaiset edistävät yhteistyössä Huoltovarmuuskeskuksen kanssa yleisesti kriittisten toimijoiden häiriönsietokykyyn liittyviä kokonaisuuksia.  
Tässä tarkoituksessa: 
1) analysoidaan strategioita niihin liittyvien parhaiden käytäntöjen määrittämiseksi; 
2) vaihdetaan tietoja sellaisista parhaista käytännöistä, jotka liittyvät 10 §:ssä tarkoitettuun kriittisten toimijoiden määrittämiseen;  
3) vaihdetaan tietoja ja parhaita käytäntöjä, jotka koskevat kriittisten toimijoiden häiriönsietokykyä koskevaa innovointia, tutkimusta ja kehitystä; sekä  
4) vaihdetaan tarvittaessa tietoja kriittisten toimijoiden häiriönsietokykyä koskevista kysymyksistä asiaankuuluvien Euroopan unionin toimielinten, elinten ja laitosten kanssa. 
Jäljempänä 19 §:ssä tarkoitettu valvova viranomainen antaa yhteistyössä Huoltovarmuuskeskuksen kanssa CER-direktiivin 10 artiklan 1 kohdassa tarkoitettua tukea kriittiselle toimijalle. Tässä tarkoituksessa voidaan laatia ohjemateriaalia, menetelmiä ja tukea häiriönsietokykyä testaavien harjoitusten järjestämistä sekä antaa neuvontaa ja koulutusta. 
9 §  
Poikkeamailmoitusten välittäminen ja yhteenvetokertomus 
Valtioneuvoston tilannekeskuksesta annetussa laissa (300/2017) tarkoitettu valtioneuvoston tilannekeskus: 
1) välittää asianomaisen viranomaisen laatiman poikkeamailmoituksen komissiolle, jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle tai useammalle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa tai useammassa jäsenvaltiossa; 
2) välittää asianomaisen viranomaisen tiedon poikkeamasta muiden asiaan liittyvien Euroopan unionin jäsenmaiden keskitetyille yhteyspisteille, jos poikkeamalla on tai voi olla merkittävää vaikutusta kriittisiin toimijoihin ja keskeisten palveluiden tarjonnan jatkuvuuteen yhdelle tai useammalle muulle Euroopan unionin jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa;  
3) vastaanottaa poikkeamailmoituksen Euroopan unionin jäsenmaiden keskitetyiltä yhteyspisteiltä ja välittää sen asianomaiselle ministeriölle;  
4) toimittaa kahden vuoden välein 7 §:ssä tarkoitetun ministeriön kokoaman yhteenvetokertomuksen poikkeamailmoituksista, niiden lukumäärästä ja luonteesta Euroopan unionin komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle. 
3 luku  
Kriittisten toimijoiden määrittäminen ja toimijoita koskevat yleiset vaatimukset  
10 §  
Kriittisen toimijan määrittäminen 
Yksityinen tai julkinen yhteisö taikka sen toiminnallinen osa voidaan määrittää kriittiseksi toimijaksi, jos: 
1) toimija tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua; 
2) toimija toimii ja sen omistama, hallinnassa oleva tai käyttämä kriittinen infrastruktuuri sijaitsee Suomen alueella; sekä 
3) poikkeamalla olisi 11 ja 12 §:n mukaisia merkittäviä haitallisia vaikutuksia:
a) toimijan yhden tai useamman kyseisen keskeisen palvelun tarjoamiseen; tai
b) muiden keskeisten palvelujen tarjoamiseen palvelusta riippuvaisilla toimialoilla.
 
Kriittisen toimijan määrittämisessä otetaan huomioon kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio sekä rajat ylittävä toiminta ja eurooppalainen yhteismitallisuus. 
11 §  
Merkittävä haitallinen vaikutus 
Edellä 10 §:n 1 momentin 3 kohdassa säädetyn haitallisen vaikutuksen merkittävyyttä arvioitaessa on otettava huomioon: 
1) yhteiskunnan toimintakyvyn kannalta keskeisestä palvelusta riippuvaisten käyttäjien lukumäärä; 
2) muiden CER-direktiivin liitteessä tarkoitettujen toimialojen ja alasektorien riippuvaisuus asianomaisesta keskeisestä palvelusta; 
3) poikkeaman vaikutukset vakavuutensa ja kestonsa perusteella yhteiskunnan ja talouden toimintoihin, ympäristöön, yleiseen järjestykseen sekä turvallisuuteen ja väestön terveyteen; 
4) toimijan markkinaosuus; 
5) maantieteellinen alue, johon poikkeama voi vaikuttaa, Suomen rajat ylittävät vaikutukset ja alueelliseen eristyneisyyden asteeseen liittyvä haavoittuvuus; sekä 
6) toimijan merkityksellisyys keskeisen palvelun riittävän tason ylläpitämisessä ottaen huomioon vaihtoehtoisten palvelujen saatavuus tai keskeisen palvelun korvattavuus. 
12 §  
Merkittävä haitallinen vaikutus ja toimiala 
Edellä 11 §:ssä tarkoitetun merkittävän haitallisen vaikutuksen merkitystä yhteiskunnan toimintakyvyn kannalta keskeiselle palvelulle arvioitaessa on otettava huomioon yhteiskunnan toimintakyvyn kannalta merkittävät erityistehtävät sekä lisäksi seuraavia toimialoja koskevat perusteet: 
1) energiatoimialan osalta:
a) vastaanotetun raaka-aineen määrä tuotannossa tai jalostuksessa;
b) vuositasolla tuotettu energian määrä, osuus kansallisen energian tuotetusta määrästä tai energian tuotantokapasiteetti;
c) varastointikapasiteetti;
d) asiakaslukumäärä;
e) toimituskapasiteetti;
f) energian siirto ja verkosta luovutetun energian määrä;
 
2) elintarviketoimialan osalta elintarvikkeiden tuotannossa ja jalostuksessa vastaanotetun raaka-aineen määrä litroina tai kiloina ja tuotannon määrä sekä jaettavan hyödykkeen määrä myös kaupan ja jakelun, että ruokapalveluiden osalta; 
3) liikennetoimialan osalta:
a) palvelun tuottajan osuus kansallisesta liikennemäärästä;
b) matkustajien vuosittainen lukumäärä;
c) rahtikuljetusten vuosittainen lukumäärä;
 
4) vesihuoltotoimialan osalta:
a) toimitettavan veden kuutiometrimäärä vuorokaudessa;
b) jäteveden poisjohtamisen kuutiometrimäärä vuorokaudessa;
 
5) avaruustoimialan osalta:
a) toimijan osuus sellaisesta yhteiskunnalle kriittisen palvelun tai tiedontuotannon tarjoamisessa, joka on riippuvainen avaruuspohjaisista palveluista;
b) toimijan osuus avaruustilannekuvaan tai radioympäristön häiriöihin liittyvän tiedontuotannon kannalta merkittävien palvelujen tarjoamisessa.
 
13 § 
Päätöksenteko kriittisestä toimijasta 
Kriittisen toimijan määrittämistä koskevan asian ratkaisee se ministeriö, jonka toimialaan käsiteltävä toimija kuuluu. Päätös on voimassa enintään neljä vuotta. 
Ennen 1 momentissa tarkoitetun asian ratkaisemista on pyydettävä lausunto 7 §:ssä tarkoitetulta ministeriöltä ja tarpeellisessa laajuudessa muilta ministeriöiltä ja viranomaisilta sekä Huoltovarmuuskeskukselta. 
Tämän pykälän mukaisella päätöksellä määritetyn kriittisen toimijan katsotaan olevan Euroopan kannalta erityisen merkittävä kriittinen toimija, jos se tarjoaa samoja tai samanlaisia keskeisiä palveluja vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuuden jäsenvaltion alueella, ja kun toimijalle on ilmoitettu asiasta. Komission ilmoitettua siitä, että kriittistä toimijaa pidetään Euroopan kannalta erityisen merkittävänä kriittisenä toimijana, 7 §:ssä tarkoitetun ministeriön on toimitettava tieto komission ilmoituksesta ja siihen liittyvistä velvoitteista kriittiselle toimijalle viivytyksettä.  
Asianomainen ministeriö voi peruuttaa 1 momentissa tarkoitetun päätöksen, jos kriittinen toimija ei enää täytä annetun päätöksen edellytyksiä tai kriittinen toimija on lopettanut toimintansa. 
14 § 
Kriittisen toimijan suorittama riskiarviointi 
Kriittisen toimijan on suoritettava riskiarviointi tarvittaessa ja vähintään neljän vuoden välein. Riskiarviointia laadittaessa on otettava huomioon kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio ja muut riskiarvioinnin kannalta merkittävät tietolähteet. 
Kriittisen toimijan riskiarvioinnissa on otettava huomioon kaikki sellaiset merkitykselliset luonnon ja ihmisen aiheuttamat riskit, jotka voivat johtaa poikkeamaan. Tällöin otetaan huomioon toimialojen tai rajat ylittävät riskit, onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhat ja muut uhat sekä muut toimivaltaisen ministeriön määrittämät uhat. 
Riskiarvioinnissa on otettava huomioon, missä määrin muut toimialat ovat riippuvaisia kriittisen toimijan tarjoamasta keskeisestä palvelusta. 
Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin tämän lain nojalla muu riskiarvio tai asiakirja, kriittinen toimija voi käyttää kyseistä arviointia tai asiakirjaa. Tästä on mainittava kyseisessä riskiarviossa tai asiakirjassa.  
15 § 
Häiriönsietokyvyn varmistaminen ja häiriönsietokykyä koskeva suunnitelma 
Kriittisen toimijan on toteutettava häiriönsietokykynsä varmistamiseksi asianmukaisia ja oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä, jotka perustuvat 14 §:ssä tarkoitettuun riskiarviontiin ja muihin asiaan kuuluviin tietoihin. Tässä tarkoituksessa kriittisen toimijan on laadittava asianmukaisia ja oikeasuhtaisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä sisältävä suunnitelma häiriönsietokyvyn varmistamiseksi.  
Suunnitelmassa on oltava selostus: 
1) toimenpiteistä poikkeamien syntymisen estämiseksi ottaen huomioon katastrofiriskien vähentämiseen ja ilmastonmuutokseen sopeutumiseen liittyvät toimenpiteet;  
2) tilojen ja niissä sijaitsevan infrastruktuurin suojaamisesta kuten aidan asentamisesta, esteiden pystyttämisestä, ilmaisulaitteista ja kulunvalvonnasta sekä muusta fyysisestä suojaamisesta;  
3) toimenpiteistä poikkeamien seurauksiin ja häiriötilanteisiin vastaamiseksi, torjumiseksi ja lieventämiseksi; 
4) toimenpiteistä poikkeamisista palautumiseksi ottaen huomioon liiketoiminnan jatkuvuuteen liittyvät toimenpiteet ja vaihtoehtoiset toimitusketjut; 
5) henkilöstöturvallisuuden varmistamisesta kuten kriittisiä tehtäviä hoitavien henkilöstöryhmien määrittämisestä mukaan lukien ulkopuolisten palvelutarjoajien henkilöstön huomioiminen määrittämisessä, pääsyoikeuksien vahvistamisesta tiloihin, kriittiseen infrastruktuuriin ja arkaluonteisiin tietoihin sekä turvallisuusselvitysten pyytämisestä ja koulutus- ja pätevyysvaatimuksista;  
6) tiedottamisesta asianomaiselle henkilöstölle; sekä 
7) toteuttamisaikataulua koskevasta suunnitelmasta. 
Jos vastaavan kaltaista tarkoitusta varten laaditaan muun lain kuin tämän lain nojalla asiakirja tai suunnitelma, erillistä tämän pykälän mukaista suunnitelmaa ei tarvitse laatia, vaan kriittinen toimija voi käyttää kyseistä asiakirjaa tai suunnitelmaa. Tästä on mainittava suunnitelmassa tai asiakirjassa.  
Kriittisen toimijan on nimettävä yhteyspiste, jonka kautta tiedonkulku järjestetään ja ilmoitettava tässä tarkoituksessa tehtävää hoitavan yhteyshenkilön nimi ja yhteystiedot tai muu vastaava yhteyspiste, josta voi saada tietoa. 
4 luku  
Kriittisen toimijan poikkeamailmoitus 
16 § 
Poikkeamia koskeva ilmoitusvelvollisuus 
Kriittisen toimijan on ilmoitettava ilman aiheetonta viivytystä asianomaiselle valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle merkittävästä poikkeamasta, joka häiritsee tai voi häiritä keskeisten palvelujen tarjoamista. 
Kriittisen toimijan on annettava ensi-ilmoitus valvovalle viranomaiselle ja Valtioneuvoston tilannekeskukselle viimeistään 24 tunnin kuluttua siitä, kun poikkeama on tullut tietoon, jollei välttämättömästä operatiivisesta syystä muuta johdu. Kriittinen toimija antaa yksityiskohtaisen raportin tarvittaessa viimeistään kuukauden kuluttua siitä, kun poikkeama on tullut tietoon yhteensovittamistehtävää hoitavalle ministeriölle, toimialasta vastaavalle ministeriölle ja toimivaltaiselle valvovalle viranomaiselle. 
Häiriön merkittävyyden määrittämisessä on otettava huomioon erityisesti käyttäjien lukumäärä ja osuus, joihin häiriö vaikuttaa, häiriön kesto ja maantieteellinen alue ja maantieteellisen alueen eristyneisyys. 
Huoltovarmuuskeskuksella on sen estämättä, mitä tietojen salassa pitämisestä säädetään, oikeus saada tehtäviensä hoitamiseksi ja asianomaisten ministeriöiden ja valvovien viranomaisten tukemiseksi välttämättömiksi arvioidut tiedot 2 momentissa tarkoitetusta ensi-ilmoituksesta ja yksityiskohtaisesta raportista. 
17 §  
Ensi-ilmoituksen ja yksityiskohtaisen raportin sisältö 
Poikkeamaa koskevaan ensi-ilmoitukseen sisällytetään:  
1) tieto poikkeaman havaitsemisesta ja sen luonteesta; 
2) arvio mahdollisesta aiheuttajasta tai syystä;  
3) arvio mahdollisista seurauksista ja arvio keskeisen palvelun käyttäjien lukumäärästä tai osuudesta, johon häiriö vaikuttaa;  
4) tieto, joka on tarpeen poikkeaman mahdollisten rajat ylittävien vaikutusten määrittämiseksi. 
Yksityiskohtaiseen raporttiin sisällytetään: 
1) yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista sekä maantieteellisestä laajuudesta; 
2) poikkeaman todennäköisesti aiheuttaneen uhkan tai syyn luonne; 
3) toteutetut tai meneillään olevat toimenpiteet vaikutusten lieventämiseksi; 
4) mahdolliset rajat ylittävät vaikutukset; sekä  
5) muut kuin 1—4 kohdassa tarkoitetut poikkeaman hallinnan kannalta olennaiset tiedot.  
Kriittisen toimijan on toimitettava valvovan viranomaisen pyynnöstä lisätietoja, jotka liittyvät havaittuun poikkeamaan.  
18 §  
Vastaanotetun poikkeamailmoituksen käsittely  
Asianomaisen valvovan viranomaisen on ilmoitettava kriittiselle toimijalle poikkeamailmoituksen vastaanottamisesta ja mahdollisista tukitoimista.  
Asianomaisen valvovan viranomaisen on annettava viivytyksettä kriittiselle toimijalle tietoja jatkotoimista. Jos häiriöstä ilmoittaminen on yleisen edun mukaista, valvova viranomainen voi lisäksi velvoittaa kriittisen toimijan tiedottamaan yleisölle asiasta tai kuultuaan ilmoitusvelvollista tiedottaa asiasta itse. 
Jos poikkeamalla on tai voi olla merkittävä vaikutus kriittisiin toimijoihin ja keskeisten palvelujen tarjonnan jatkuvuuteen yhdelle tai useammalle Euroopan unionin jäsenvaltiolle tai jos poikkeamalla on tai voi olla merkittävä vaikutus keskeisten palvelujen tarjonnan jatkuvuuteen vähintään kuudelle Euroopan unionin jäsenvaltiolle tai vähintään kuudessa jäsenvaltiossa, asiasta on saatujen tietojen perusteella ilmoitettava 9 §:n mukaisesti. 
5 luku 
Valvonta  
19 §  
Valvovat viranomaiset  
Asianomainen valvova viranomainen valvoo kriittiselle toimijalle tämän lain nojalla säädettyjen ja määrättyjen velvoitteiden noudattamista. Tässä laissa tarkoitettuja valvovia viranomaisia ovat: 
1) Energiavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energiatoimialan alasektoreiden sähkö, kaukolämmitys ja -jäähdytys toimijaluokkien alaan sekä kaasun alasektorin toimijaluokkien jakeluverkonhaltijat, siirtoverkon haltijat ja toimittajat alaan sekä alasektori vedyn siirtoa koskevaan toimijaluokkaan;  
2) Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus niiden kriittisten toimijoiden osalta, jotka kuuluvat juomaveden ja jäteveden toimijaluokkaan;  
3) Liikenne- ja viestintävirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat liikennetoimialan alasektoreiden ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne ja julkinen liikenne alaan sekä niiden kriittisten toimijoiden osalta, jotka kuuluvat avaruustoimialan alaan; 
4) Lääkealan turvallisuus- ja kehittämiskeskus Fimea kriittisiksi nimettyjen: 
a) ihmisille tarkoitettuja lääkkeitä koskevista yhteisön säännöistä annetun Euroopan parlamentin ja neuvoston direktiivin 2001/83/EY, jäljempänä lääkedirektiivi, 1 artiklan 2 alakohdassa tarkoitettujen lääkkeiden tutkimusta ja kehitystä harjoittavien toimijoiden osalta;
b) tilastollisen toimialaluokituksen NACE Rev. 2 vahvistamisesta sekä neuvoston asetuksen (ETY) N:o 3037/90 ja tiettyjen eri tilastoaloja koskevien yhteisön asetusten muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1893/2006, sellaisena kuin se on viimeksi muutettuna komission delegoidussa asetuksessa (EU) 2023/137, vahvistetun NACE Rev.2 -luokituksen C jakson kaksinumerotasossa 21 tarkoitettujen lääkeaineiden ja lääkkeiden valmistajien osalta;
c) Euroopan lääkeviraston roolin vahvistamisesta kriisivalmiudessa ja -hallinnassa lääkkeiden ja lääkinnällisten laitteiden osalta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/123 22 artiklassa tarkoitettujen kansanterveysuhan aikana kriittisiksi katsottujen lääkinnällisten laitteiden valmistajien osalta;
d) lääkedirektiivin 79 artiklassa tarkoitettujen tukkukaupan harjoittamista koskevien luvan haltijoiden ja apteekkien osalta;
e) potilasdirektiivin mukaisten lääkkeitä ja lääkinnällisiä laitteita toimittavien ja tarjoavien toimijoiden ja veripalvelulaitosten osalta;
 
5) Ruokavirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat elintarvikkeiden tuotanto, jalostus ja jakelu toimijaluokkaan; 
6) Turvallisuus- ja kemikaalivirasto niiden kriittisten toimijoiden osalta, jotka kuuluvat energia toimialan alasektoreiden öljy, vety ja kaasu alaan, lukuun ottamatta edellä Energiaviraston valvonnan alaan säädettyjä toimijoita; 
7) Sosiaali- ja terveysalan lupa- ja valvontavirasto ja aluehallintovirastot kriittisiksi nimettyjen sosiaali- ja terveydenhuollon valvonnasta annetun lain 4 §:ssä tarkoitettujen sosiaali- ja terveydenhuollon palveluita antavien palvelunjärjestäjien ja palveluntuottajien osalta; toimivaltainen valvontaviranomainen määräytyy mainitun lain 32 §:n 2 ja 3 momentin mukaisesti; 
8) Sosiaali- ja terveysalan lupa- ja valvontavirasto kriittisiksi nimettyjen rajat ylittävistä vakavista terveysuhkista ja päätöksen N:o 1082/2013/EU kumoamisesta annetun Europan parlamentin ja neuvoston asetuksen (EU) 2022/2371 15 artiklassa tarkoitettujen EU:n vertailulaboratorioiden osalta. 
20 § 
Valvonnan kohdistaminen ja tarkastusoikeus  
Valvonta on kohdistettava kriittiseen toimijaan tässä laissa säädettyjen velvollisuuksien noudattamisen valvomiseksi siinä laajuudessa kuin se on tarpeen. Valvovalla viranomaisella on oikeus tehdä tarkastuksia paikan päällä kriittisessä infrastruktuurissa, rakennuksissa ja toimitiloissa, joita kriittinen toimija käyttää keskeisten palvelujensa tarjoamiseen. 
Tarkastuksen yhteydessä on oikeus päästä valvottavan kohteen kaikkiin valvonnan kannalta välttämättömiin rakennuksiin, tiloihin ja tieto- ja muihin järjestelmiin sekä saada salassapitosäännösten tai muiden rajoitusten estämättä selvityksiä tässä laissa vaadituista suunnitelmista ja muista järjestelyistä. Tarkastusta ei kuitenkaan saa suorittaa pysyväisluonteiseen asumiseen käytettävissä tiloissa. Valvova viranomainen voi suorittaa lisäksi kriittisen toimijan toimenpiteiden valvontaa rakennusten ja toimitilojen ulkopuolella kriittisen toimijan häiriönsietokyvyn varmistamiseksi. 
Valvova viranomainen voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. Valvova viranomainen voi tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tarkastuksen suorittajalla ja siihen osallistuvalla ulkopuolisella asiantuntijalla on oltava sellainen koulutus ja kokemus kuin tarkastuksen suorittamiseksi on tarpeen. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettua avustamistehtävää. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).  
Tarkastuksessa noudatettavaan menettelyyn sovelletaan hallintolain (434/2003) 39 §:ää.  
21 § 
Huomautus, varoitus ja valvontapäätös  
Valvova viranomainen voi antaa huomautuksen tai varoituksen kriittiselle toimijalle, joka rikkoo tätä lakia. Varoituksen voi antaa, jos huomautusta ei asiasta ilmenevät seikat kokonaisuudessaan huomioiden voida pitää riittävänä. Varoitus on annettava kirjallisena ja siinä on yksilöitävä puute tai laiminlyönti, jota varoitus koskee. 
Valvova viranomainen voi päätöksellään velvoittaa toimijan korjaamaan havaitut puutteet tai laiminlyönnin kohtuullisessa määräajassa. Valvova viranomainen voi asettaa päätöksen tehosteeksi uhkasakon tai teettämisuhan. 
22 § 
Laiminlyöntimaksu 
Valvova viranomainen voi määrätä päätöksellään kriittisen toimijan maksamaan laiminlyöntimaksun, jos kriittinen toimija tahallaan tai törkeästä huolimattomuudesta laiminlyö 14 §:ssä tarkoitetun riskiarvion, 15 §:ssä tarkoitettujen toimenpiteiden suorittamisen tai 16 §:ssä tarkoitetun poikkeamaa koskevan ilmoituksen antamisen ja havaitulla puutteella tai laiminlyönnillä on merkittävää vaikutusta yhteiskunnan keskeisten palvelujen tarjoamiseen. Laiminlyöntimaksu määrätään maksettavaksi valtiolle. Laiminlyöntimaksua ei voida määrätä kriittiselle toimijalle, joka on valtion viranomainen, valtion liikelaitos, kunnallinen viranomainen, hyvinvointialue tai itsenäinen julkisoikeudellinen laitos. Laiminlyöntimaksun määrä on vähintään 2 000 euroa ja enintään 20 000 euroa.  
Laiminlyöntimaksun suuruutta arvioitaessa on otettava huomioon tapauksen olosuhteet ja menettelyn laatu ja tässä tarkoituksessa ainakin seuraavat seikat: 
1) laiminlyönnin kesto; 
2) laiminlyönnin tai puutteen toistuvuus; 
3) merkittävien poikkeamien jättäminen ilmoittamatta;  
4) havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä huolimatta; 
5) toimenpiteet, jotka kriittinen toimija on toteuttanut vahingon ehkäisemiseksi tai lieventämiseksi. 
23 § 
Laiminlyöntimaksun määräämättä jättäminen 
Laiminlyöntimaksu jätetään määräämättä, jos  
1) kriittinen toimija on oma-aloitteisesti ryhtynyt riittäviin toimenpiteisiin laiminlyönnin korjaamiseksi välittömästi sen havaitsemisen jälkeen ja ilmoittanut siitä viivytyksettä valvovalle viranomaiselle sekä toiminut yhteistyössä valvovan viranomaisen kanssa eikä laiminlyönti ole toistuva;  
2) laiminlyöntiä on pidettävä vähäisenä; taikka 
3) maksun määräämistä on pidettävä ilmeisen kohtuuttomana muutoin kuin 1 tai 2 kohdassa tarkoitetulla perusteella; laiminlyöntimaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun laiminlyönti on tapahtunut. 
Laiminlyöntimaksua ei saa määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Laiminlyöntimaksua ei saa määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. 
24 § 
Laiminlyöntimaksun täytäntöönpano 
Laiminlyöntimaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Laiminlyöntimaksu vanhenee viiden vuoden kuluttua lainvoiman saaneen päätöksen antamispäivästä. 
6 luku  
Erinäiset säännökset 
25 § 
Oikaisuvaatimus 
Tässä laissa tarkoitettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.  
Valtioneuvoston yleisistunnon päätökseen ei saa vaatia oikaisua.  
26 § 
Muutoksenhaku 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).  
Muutoksenhausta uhkasakon asettamista ja maksettavaksi tuomitsemista sekä teettämisuhan asettamista ja täytäntöönpantavaksi määräämistä koskevaan päätökseen sovelletaan kuitenkin uhkasakkolakia (1113/1990). 
27 § 
Viranomaisten ja muiden tahojen tiedonsaantioikeus 
Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä saada viranomaisilta ja kriittiseksi toimijaksi määritetyltä toimijalta maksutta tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot. Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä luovuttaa toiselle valvovalle viranomaiselle ja kyberturvallisuuslain 26 §:n mukaiselle valvovalle viranomaiselle sekä tämän lain 7 §:ssä tarkoitetulle ministeriölle ja ministeriölle, jonka toimialaan käsiteltävä asia kuuluu, tiedot, jotka ovat välttämättömiä niiden tehtävien hoitamiseksi. Valvovalla viranomaisella on oikeus salassapitosäännösten estämättä luovuttaa välttämättömät tiedot myös Huoltovarmuuskeskukselle sen tehtävien hoitamiseksi. 
Tässä pykälässä tarkoitettu tiedonsaantioikeus ei koske kyberturvallisuuslain 19 §:ssä tarkoitetun CSIRT-yksikön käsittelemiä tietoja. 
28 § 
Viranomaisten yhteistyö  
Tämän lain 13 §:n mukaisesta päätöksestä kriittisen toimijan määrittämiseksi on ilmoitettava kyberturvallisuuslain 26 §:ssä tarkoitetuille viranomaisille yhden kuukauden kuluessa päätöksestä.  
Tämän lain 13 §:n 1 ja 2 momentissa ja 19 §:ssä tarkoitettujen viranomaisten ja kyberturvallisuuslain 26 §:ssä tarkoitetun viranomaisen on vaihdettava keskenään tietoja kriittisten toimijoiden määrittämisestä sekä kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista sekä muista kuin kyberturvallisuusriskeistä, kyberuhkista ja kyberturvallisuuspoikkeamista, jotka vaikuttavat kriittisiin toimijoihin, sekä mainittujen viranomaisten toteuttamista olennaisista toimenpiteistä ja hallintatoimista. 
29 § 
Turvallisuusselvitys 
Jos turvallisuusselvityslaissa (726/2014) tarkoitettu henkilöturvallisuusselvitys laaditaan tämän lain 13 §:ssä tarkoitettuun kriittiseen toimijaan palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta henkilöstä taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta henkilöstä ja se on selvityksen kohteen ulkomailla oleskelun tai muun erityisen syyn vuoksi tarpeen, suojelupoliisi voi tehdä selvitystä varten rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 20 c §:ssä tarkoitetun pyynnön. Pyynnön perusteella saatuja rekisteritietoja voidaan käyttää henkilöturvallisuusselvityksen laadinnassa sen lisäksi, mitä turvallisuusselvityslaissa muutoin säädetään. 
30 § 
Voimaantulo 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
Tämän lain voimaan tullessa 5 §:ssä tarkoitettu kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja 6 §:ssä tarkoitettu kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio hyväksytään ensimmäisen kerran viimeistään 17 päivänä tammikuuta 2026. Tämän lain 13 §:ssä tarkoitettu päätös kriittisen toimijan määrittämisestä tehdään ensimmäisen kerran viimeistään 17 päivänä heinäkuuta 2026. 
Tämän lain voimaan tullessa 14 §:ssä säädetty kriittisen toimijan riskiarviointi tulee kriittiseksi toimijaksi määritetyn toimesta suorittaa ensimmäisen kerran yhdeksän kuukauden kuluessa siitä, kun vastaanottaja on saanut tiedon 13 §:ssä tarkoitetusta päätöksestä. Tämän lain 15 §:n mukainen suunnitelma on laadittava ensimmäisen kerran vuoden kuluessa 14 §:ssä tarkoitetun riskiarvioinnin laatimisesta. 
Saaduista 16 §:ssä tarkoitetuista poikkeamailmoituksista toimitetaan viimeistään 17 päivänä heinäkuuta 2028 ensimmäinen yhteenvetokertomus komissiolle ja CER-direktiivin 19 artiklassa tarkoitetulle kriittisten toimijoiden häiriönsietokykyä käsittelevälle ryhmälle. 
 Lakiehdotus päättyy 

Laki turvallisuusselvityslain 19 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan turvallisuusselvityslain (726/2014) 19 §:n 1 momentin 4 kohta seuraavasti: 
19 § 
Perusmuotoisen henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät 
Perusmuotoinen henkilöturvallisuusselvitys voidaan laatia sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka:  
 Muuttamaton osa säädöstekstistä on jätetty pois 
4) toimii tehtävissä, joissa voi vahingoittaa yhteiskunnan toimivuuden kannalta välttämättömän infrastruktuurin toimivuutta tai kriittisen tuotannon jatkumista taikka voi näissä tehtävissään saamiensa tietojen oikeudettomalla käytöllä merkittävällä tavalla vaarantaa valtion turvallisuutta tai edistää järjestäytynyttä rikollisuutta; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 1 ja 6 §, 11 §:n 2 momentti, 16 §:n 1 momentti, 17 §:n 1 momentti, 18 §:n 1 momentti sekä 21 §:n 1 momentti, 
sellaisina kuin ne ovat, 1 § laissa 73/2023 sekä 6 §, 11 §:n 2 momentti, 16 §:n 1 momentti, 17 §:n 1 momentti, 18 §:n 1 momentti ja 21 §:n 1 momentti laissa 74/2021, sekä 
lisätään lakiin uusi 15 c ja 20 c § ja 22 §:ään, sellaisena kuin se on osaksi laeissa 150/2014 ja 74/2021, uusi 5 momentti seuraavasti: 
1 § 
Soveltamisala 
Tässä laissa säädetään rikosrekisterin ja sakkorekisterin tietojen toimittamisesta siihen Euroopan unionin jäsenvaltioon, jonka kansalainen tuomittu on (kansalaisuusjäsenvaltio) sekä toisesta jäsenvaltiosta Suomeen toimitettujen Suomen kansalaista koskevien rekisteritietojen säilyttämisestä Suomessa. 
Lisäksi tässä laissa säädetään 1 momentissa mainittujen tietojen luovuttamisesta pyynnön perusteella rikosasian käsittelyä varten, yksityisen henkilön itseään koskevan pyynnön täyttämiseksi tai asianomaisen henkilön suostumuksella sellaisen tehtävän hoitamista varten, johon kuuluu työskentelyä tai muuta toimimista alaikäisten parissa, sekä tällaisia tietoja koskevan pyynnön esittämisestä. 
Tässä laissa säädetään myös 1 momentissa mainittujen tietojen luovuttamisesta pyynnön perusteella räjähteiden lähtöaineiden markkinoille saattamisesta ja käytöstä, asetuksen (EY) N:o 1907/2006 muuttamisesta ja asetuksen (EU) N:o 98/2013 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1148, jäljempänä lähtöaineasetus, 6 artiklassa tarkoitetun luvanhakijan taustan selvittämiseksi sekä tällaisia tietoja koskevan pyynnön esittämisestä. 
Tässä laissa säädetään myös 1 momentissa mainittujen tietojen luovuttamisesta pyynnön perusteella kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557, jäljempänä CER-direktiivi, 14 artiklassa tarkoitetun taustatarkistuksen tekemiseksi sekä tällaisia tietoja koskevan pyynnön esittämisestä. 
Tässä laissa annetaan lisäksi niiden jäsenvaltioiden tunnistamista koskevan keskitetyn järjestelmän perustamisesta, joilla on kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden tuomioita koskevia tietoja (ECRIS-TCN), eurooppalaisen rikosrekisteritietojärjestelmän täydentämiseksi ja asetuksen (EU) 2018/1726 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2019/816, jäljempänä asetus, täydentävät säännökset. 
Edellä 1—4 momentissa tarkoitetuista tehtävistä jäsenvaltioiden välisen rikosrekisteritietojen vaihdon järjestämisestä ja sisällöstä tehdyn neuvoston puitepäätöksen 2009/315/YOS, jäljempänä puitepäätös, 3 artiklassa tarkoitettuna keskusviranomaisena vastaa Oikeusrekisterikeskus. Oikeusrekisterikeskus toimii myös asetuksen 3 artiklan 5 alakohdassa tarkoitettuna keskusviranomaisena. 
Edellä 1—4 momentissa tarkoitettuun tietojen toimittamiseen ja luovuttamiseen käytetään yksittäisten jäsenvaltioiden rikosrekisteritietokantoihin perustuvaa hajautettua tietotekniikkajärjestelmää (eurooppalainen rikosrekisteritietojärjestelmä ECRIS). 
6 § 
Tietojen edelleen luovuttaminen 
Kun Oikeusrekisterikeskus toimittaa tietoja 5 §:n mukaisesti kansalaisuusjäsenvaltioon, sen tulee ilmoittaa, että toimitettuja tietoja saadaan luovuttaa edelleen toiselle valtiolle ainoastaan rikosasian käsittelyä varten, yksityisen henkilön itseään koskevan pyynnön täyttämiseksi, asianomaisen henkilön suostumuksella sellaisen tehtävän hoitamista varten, johon kuuluu työskentelyä tai muuta toimimista alaikäisten parissa, lähtöaineasetuksessa tarkoitetun lähtöaineluvanhakijan taustan tarkistamista varten taikka CER-direktiivin 14 artiklassa tarkoitettua taustatarkistusta varten. 
11 § 
Tietojen luovuttaminen säilytysrekisteristä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Oikeusrekisterikeskus saa luovuttaa säilytysrekisteristä tietoja toisen jäsenvaltion keskusviranomaiselle tai muulle toimivaltaiselle viranomaiselle 14, 15 ja 15 a—15 c §:n mukaisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
15 c § 
Pyyntöön vastaaminen CER-direktiivissä tarkoitettua taustatarkistusta varten 
Oikeusrekisterikeskus luovuttaa toisen jäsenvaltion rekisteritietoja pyytäneelle keskusviranomaiselle rikosrekisterin, sakkorekisterin ja säilytysrekisterin 3 §:ssä tarkoitetut tiedot CER-direktiivin 14 artiklassa tarkoitettua taustatarkistusta varten. 
Jos rikosrekisterissä on säilytysrekisteriin merkittyjä tietoja, pyynnön esittäneelle jäsenvaltiolle toimitetaan ainoastaan säilytysrekisteriin merkityt tiedot. 
16 § 
Pyynnön sisältö, muoto ja kieli 
Oikeusrekisterikeskus hyväksyy toisen jäsenvaltion keskusviranomaisen lähettämän 14, 15 tai 15 a—15 c §:ssä tarkoitetun pyynnön, jos se sisältää puitepäätöksen liitteenä olevassa lomakkeessa tarkoitetut tarpeelliset tiedot. Pyynnön on oltava sähköisessä muodossa taikka muussa kirjallisessa muodossa, jos sitä ei ole voitu tehdä sähköisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
17 § 
Vastauksen sisältö, muoto ja kieli 
Oikeusrekisterikeskus toimittaa vastauksessaan 14, 15 tai 15 a—15 c §:ssä tarkoitetut tiedot pyynnön esittäneen toisen jäsenvaltion keskusviranomaiselle tai muulle toimivaltaiselle viranomaiselle puitepäätöksen liitteenä olevan lomakkeen mukaisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
18 § 
Määräajat 
Oikeusrekisterikeskuksen on toimitettava vastauksessaan 14, 15 b ja 15 c §:ssä tarkoitetut tiedot toisen jäsenvaltion keskusviranomaiselle tai muulle toimivaltaiselle viranomaiselle viipymättä ja kymmenen arkipäivän kuluessa päivästä, jona pyyntö on vastaanotettu. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
20 c § 
Pyynnön esittäminen henkilöturvallisuusselvitystä varten 
Oikeusrekisterikeskus esittää yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (   /   ) 29 §:ssä tarkoitettua henkilöturvallisuusselvitystä varten toisen jäsenvaltion keskusviranomaiselle rekisteritietojen luovuttamista ja niihin liittyviä tietoja koskevan pyynnön, jos suojelupoliisi on sitä pyytänyt. 
21 § 
Pyynnön sisältö, muoto ja kieli 
Oikeusrekisterikeskus esittää 19, 20 ja 20 a—20 c §:ssä tarkoitetut pyyntönsä toisen jäsenvaltion keskusviranomaiselle puitepäätöksen liitteenä olevan lomakkeen mukaisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
22 § 
Tietojen käyttöä koskevat rajoitukset 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Toisen jäsenvaltion 20 c §:n mukaisen pyynnön perusteella toimittamia rekisteritietoja ja niihin liittyviä tietoja saadaan käyttää ainoastaan yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain 29 §:ssä tarkoitettua henkilöturvallisuusselvitystä varten sen mukaisesti, kuin tiedot toimittanut jäsenvaltio on ilmoittanut. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki rikosrekisterilain 4 a ja 5 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan rikosrekisterilain (770/1993) 5 §:n 1 momentti, sellaisena kuin se on laissa 74/2023, sekä 
lisätään 4 a §:ään, sellaisena kuin se on laeissa, 1093/1999, 215/2012, 733/2014, 1114/2018, 75/2021, 23/2022, 333/2022 ja 424/2023, uusi 6 momentti seuraavasti: 
4 a § 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Rikosrekisterin tietoja luovutetaan toisen Euroopan unionin jäsenvaltion keskusviranomaiselle mainitulle keskusviranomaiselle esitetyn pyynnön perusteella EU-rikosrekisterilain 15 b ja 15 c §:n mukaisesti. 
5 § 
Tiedot rikosrekisteristä luovutetaan rikosrekisterin otteella, jossa ovat henkilöstä rekisteriin talletetut tiedot tai ilmoitus siitä, ettei henkilöstä ole merkintää rekisterissä. Oikeushenkilöstä luovutetaan vastaavan sisältöinen ote. Jos tieto päätöksestä on saatu EU-rikosrekisterilain 20 tai 20 a—20 c §:n nojalla tai mainitussa laissa tarkoitetusta säilytysrekisteristä, rikosrekisterin otteelle merkitään ne tiedot, jotka voitaisiin tallettaa rikosrekisteriin. Rikosrekisterin otteelle ei kuitenkaan merkitä rikosrekisterissä olevaa tietoa rikosilmoitusnumerosta, sovelletuista lainsäännöksistä eikä tietoja, joiden merkitseminen on toisen jäsenvaltion asettaman EU-rikosrekisterilain 9 §:n 4 momentissa tarkoitetun ehdon mukaan kielletty. Rikosrekisterin otteelle merkitään tämän lain 2 §:n 5 momentissa tarkoitettu tieto vain, jos rikosrekisterin ote annetaan 4 §:n 1 momentin nojalla syyttäjälle tai esitutkintaviranomaiselle. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain (485/2004) 4 §:n 1 momentin 1 kohdan johdantokappale ja a alakohta sekä 25 §:n 2 momentti, sellaisina kuin ne ovat, 4 §:n 1 momentin 1 kohdan johdantokappale ja a alakohta laissa 955/2018 ja 25 §:n 2 momentti laissa 1519/2019, sekä 
lisätään lakiin uusi 7 g § seuraavasti: 
4 § 
Liikenne- ja viestintäviraston erityistehtävät 
Liikenne- ja viestintävirasto toimii turvatoimiasetuksen 2 artiklan 6 kohdassa tarkoitettuna merenkulun turvatoimien yhteysyksikkönä ja satamien turvatoimien yhteysyksikkönä, minkä lisäksi sen tehtävänä on: 
1) suorittaa satamarakenteiden ja satamien turva-arvioinnit, hyväksyä alusten, satamien ja satamarakenteiden turvasuunnitelmat, katsastaa alukset sekä antaa todistuskirjat siten kuin turvatoimiasetuksessa ja tässä laissa säädetään sekä:
a) hyväksyä turva-arvioinnin perusteella ja satamanpitäjän esityksestä sataman turvatoimialueen rajat ja se, keille sataman henkilöstöön kuuluville tai 7 g §:ssä tarkoitetuille henkilöille tehdään turvallisuusselvityslaissa (726/2014) tarkoitettu turvallisuusselvitys, sekä huolehtia satamien turvasuunnitelmien tarkistamisesta tämän lain mukaisesti;
 
 Muuttamaton osa säädöstekstistä on jätetty pois 
2 a luku 
Satamien turvatoimet 
7 g § 
Turvallisuusselvitys 
Ulkomaanliikenteen sataman satamanpitäjän on varmistettava, että sataman turvallisuuden kannalta kriittisiin tietoihin ja tietojärjestelmiin on pääsy vain henkilöllä, jota voidaan pitää nuhteettomana ja luotettavana. Tässä tarkoituksessa satamanpitäjän on haettava turvallisuusselvitystä henkilöstä, joka saa: 
1) pääsyn salassa pidettäviin sataman turvatoimia koskeviin tietoihin; tai 
2) sellaisen käyttöoikeuden sataman turvallisuuden kannalta kriittiseen lastin käsittelyä tai sataman valvontaa koskevaan tietojärjestelmään, joka mahdollistaa tietojen lukemisen ja niiden muuttamisen muuten kuin yksittäistä työtehtävää tai tietojärjestelmän teknistä ylläpitoa varten. 
Tietoa tai tietojärjestelmää pidetään sataman turvallisuuden kannalta kriittisenä, jos tietoa tai tietojärjestelmää käyttämällä tai tietojärjestelmän tietoja muuttamalla voidaan merkittävällä tavalla vaarantaa valtion turvallisuutta tai edistää järjestäytynyttä rikollisuutta. Liikenne- ja viestintävirasto tekee päätöksen siitä, mitä tietoja ja tietojärjestelmiä pidetään turvallisuuden kannalta kriittisinä ja mitä satamanpitäjiä 1 momentissa säädetty velvollisuus koskee sekä millaisia käyttöoikeuksia 1 momentin 2 kohdassa tarkoitetaan. Arvioinnissa on otettava huomioon satamalle tehty turva-arviointi ja sataman turvasuunnitelma. 
Liikenne- ja viestintävirasto voi päättää, että 1 momentissa säädetty velvollisuus koskee myös sellaista muuta sataman tehtävää, josta turvallisuusselvityslain 19—21 §:n mukaan voidaan hakea turvallisuusselvitystä ja jossa työskentelevän henkilön nuhteettomuuden ja luotettavuuden varmistaminen on erittäin tärkeää valtion turvallisuuden suojaamiseksi tai järjestäytyneen rikollisuuden ennalta ehkäisemiseksi. 
Ennen 2 tai 3 momentissa tarkoitetun päätöksen tekemistä Liikenne- ja viestintäviraston on kuultava satamanpitäjää ja muita toimivaltaisia viranomaisia. Päätöksessä on asetettava kohtuullinen määräaika, johon mennessä turvallisuusselvitystä on haettava. 
Turvallisuusselvitystä on haettava uudelleen sen voimassaolon päättyessä. 
Jos turvallisuusselvityksessä tai turvallisuusselvityslain 51 §:n mukaisessa seurannassa ilmenee tietoja, joiden perusteella satamanpitäjä arvioi, että selvityksen kohteelle ei voida antaa 1 momentissa tarkoitettua pääsyä tietoihin ja tietojärjestelmiin, sen on ryhdyttävä toimenpiteisiin pääsyn poistamiseksi. Satamanpitäjä saa tässä tarkoituksessa salassapitosäännösten estämättä luovuttaa työnantajalle vastaavat tiedot kuin selvityksen kohteella on oikeus saada toimivaltaiselta viranomaiselta turvallisuusselvityslain 6 §:n 1 ja 3 momentin mukaan. Mitä turvallisuusselvityslain 45 §:n 1 ja 2 momentissa säädetään hakijan velvollisuuksista, sovelletaan myös tietoja saaneeseen työnantajaan. Turvallisuusselvitykseen sisältyvien tietojen salassapidosta säädetään turvallisuusselvityslain 59 §:ssä. 
25 § 
Muutoksenhaku  
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valitus on käsiteltävä viipymättä. Muutoksenhaku ei estä aluksen pysäyttämisen, aluksen, satamarakenteen tai sataman turvatoimialueen toiminnan rajoittamisen eikä 12 §:ssä tarkoitettua henkilöön kohdistuvaa pakkotointa koskevan päätöksen täytäntöönpanoa, ellei valitusviranomainen toisin määrää. Edellä 7 g §:n 2 ja 3 momentissa tarkoitettua päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  .  
 Lakiehdotus päättyy 

Laki Euroopan unionin ja Yhdistyneen kuningaskunnan välisen kauppa- ja yhteistyösopimuksen rikoksen johdosta tapahtuvaa luovuttamista ja rikosrekisteritietojen vaihtamista koskevien määräysten soveltamisesta annetun lain 6 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan Euroopan unionin ja Yhdistyneen kuningaskunnan välisen kauppa- ja yhteistyösopimuksen rikoksen johdosta tapahtuvaa luovuttamista ja rikosrekisteritietojen vaihtamista koskevien määräysten soveltamisesta annetun lain (470/2021) 6 § seuraavasti: 
6 § 
Rikosrekisteritietojen vaihtamiseen sovellettava sääntely 
EU-UK-sopimuksen kolmannen osan IX osaston rikosrekisteritietojen vaihtamista koskevia määräyksiä sovellettaessa noudatetaan niiden kanssa soveltuvin osin rinnakkain, mitä rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 1 §:n 1 ja 2 momentissa, 2—4, 5, 7 ja 8 §:ssä, 9 §:n 1, 3 ja 4 momentissa sekä 10—13, 14, 15, 15 a, 16—20, 20 a, 21 ja 22 §:ssä säädetään, jollei tässä laissa toisin säädetä. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 

Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 1 §:n 2 momentin 36 kohta, sellaisena kuin se on laissa 197/2025, sekä 
lisätään 1 §:n 2 momenttiin, sellaisena kuin se on laeissa 1183/2023, 23/2024, 36/2024, 545/2024, 651/2024, 952/2024, 1122/2024, 138/2025 ja 197/2025 uusi 37 kohta seuraavasti: 
1 § 
Lain soveltamisala 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Siten kuin tässä laissa säädetään, pannaan täytäntöön myös: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
36) kulutuspalvelujen turvallisuudesta annetun lain (185/2025) 25 §:ssä tarkoitettu seuraamusmaksu; 
37) yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (  /  ) 22 §:ssä tarkoitettu laiminlyöntimaksu. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
 Lakiehdotus päättyy 
Helsingissä 13.5.2025 

Eduskunnan puolesta

puhemies   
pääsihteeri