Kriittisten toimijoiden häiriönsietokyvyn valvonta

Asianomainen valvova viranomainen valvoo kriittiselle toimijalle säädettyjen ja määrättyjen velvoitteiden noudattamista. 

Fimea toimii valvovana viranomaisena kriittisiksi nimetyille: 

a) ihmisille tarkoitettuja lääkkeitä koskevista yhteisön säännöistä annetun Euroopan parlamentin ja neuvoston direktiivin 2001/83/EY, jäljempänä lääkedirektiivi, 1 artiklan 2 alakohdassa tarkoitettujen lääkkeiden tutkimusta ja kehitystä harjoittaville toimijoille; 
b) tilastollisen toimialaluokituksen NACE Rev. 2 vahvistamisesta sekä neuvoston asetuksen (ETY) N:o 3037/90 ja tiettyjen eri tilastoaloja koskevien yhteisön asetusten muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1893/2006, sellaisena kuin se on viimeksi muutettuna komission delegoidussa asetuksessa (EU) 2023/137, vahvistetun NACE Rev.2 –luokituksen C jakson kaksinumerotasossa 21 tarkoitettujen lääkeaineiden ja lääkkeiden valmistajille; 
c) Euroopan lääkeviraston roolin vahvistamisesta kriisivalmiudessa ja -hallinnassa lääkkeiden ja lääkinnällisten laitteiden osalta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/123 22 artiklassa tarkoitettujen kansanterveysuhan aikana kriittisiksi katsottujen lääkinnällisten laitteiden valmistajille; 
d) lääkedirektiivin 79 artiklassa tarkoitettujen tukkukaupan harjoittamista koskevien luvan haltijoille ja apteekeille;
 e) potilasdirektiivin mukaisten lääkkeitä ja lääkinnällisiä laitteita toimittaville ja tarjoaville toimijoille ja veripalvelulaitoksille;

Valvonta kohdistetaan kriittiseen toimijaan laissa säädettyjen velvollisuuksien noudattamisen valvomiseksi siinä laajuudessa kuin se on tarpeen. 
 

EU:n jäsenvaltioiden on määritettävä kriittiset toimijat CER-direktiivin mukaan ensimmäisen kerran viimeistään 17.7.2026. Fimean valvomien toimijoiden osalta kriittiset toimijat nimeää Sosiaali- ja terveysministeriö. Päätös on voimassa enintään neljä vuotta.

10 §: Yksityinen tai julkinen yhteisö taikka sen toiminnallinen osa voidaan määrittää kriittiseksi toimijaksi, jos: 

1) toimija tarjoaa yhtä tai useampaa yhteiskunnan toimintakyvyn kannalta keskeistä palvelua; 
2) toimija toimii ja sen omistama, hallinnassa oleva tai käyttämä kriittinen infrastruktuuri sijaitsee Suomen alueella; sekä 
3) poikkeamalla olisi 11 ja 12 §:n mukaisia merkittäviä haitallisia vaikutuksia 
 a) toimijan yhden tai useamman kyseisen keskeisen palvelun tarjoamiseen; tai
 b) muiden keskeisten palvelujen tarjoamiseen palvelusta riippuvaisilla toimialoilla.

Kriittisen toimijan määrittämisessä otetaan huomioon kriittisten toimijoiden häiriönsietokykyä koskeva valtakunnallinen suunnitelma ja kriittistä infrastruktuuria ja kriittisten toimijoiden häiriönsietokykyä koskeva kansallinen riskiarvio sekä rajat ylittävä toiminta ja eurooppalainen yhteismitallisuus.

Lue lisää merkittävästä haitallisesta vaikutuksesta laista yhteiskunnan kriittisen infrastruktuurin suojaamisisesta ja häiriönsietokyvyn parantamisesta (310/2025).
 

Laki yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta tuo kriittisille toimijoille velvoitteita mm. riskinarviointiin, häiriönsietokyvyn varmistamiseen, häiriönsietokykyä koskevan suunnitelmaan sekä poikkeamien menettelyihin liittyen.

Yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain perusteella kriittisiksi toimijoiksi määritettyihin toimijoihin sovelletaan kyberturvallisuuslakia (124/2025) niiden koosta riippumatta, mikä tuo kriittisille toimijoille myös kyberturvallisuuslain mukaiset velvoitteet, joita ovat

• Ilmoittautumisvelvoite valvovan viranomaisen NIS2-toimijaluetteloon 
• Kyberturvallisuuden riskienhallintavelvoitteet 
• Kyberturvallisuuden poikkeamien raportointivelvoitteet

Kyberturvallisuuslain 10—18 ja 41 §:ää sovelletaan kriittiseen toimijaan kolmen kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi. Kyberturvallisuuslain 7—9 §:ää sovelletaan kriittiseen toimijaan kuitenkin vasta yhdeksän kuukauden kuluttua siitä, kun tämä on saanut tiedon päätöksestä, jolla tämä on määritetty kriittiseksi toimijaksi.

Lue lisää kriittisen toimijan velvoitteista ja niiden suhteesta muuhun lainsäädäntöön laista yhteiskunnan kriittisen infrastruktuurin suojaamisisesta ja häiriönsietokyvyn parantamisesta (310/2025).