Vesihuolto kuuluu yhteiskunnan toiminnan kannalta kriittisenä palveluna sekä CER- että NIS2-direktiivin soveltamisalaan. Kansallisesti tullaan määrittelemään CER-direktiivin mukaiset kriittiset toimijat ja NIS2-direktiivin mukaiset keskeiset ja tärkeät toimijat, joihin direktiivien velvoitteita sovelletaan. Toimijoiden määrittely tehdään riskiperusteisesti ottaen huomioon toimijoiden palvelussa esiintyvän häiriön merkittävyys.

CER-direktiivi pyrkii vahvistamaan kriittisten toimijoiden ja toimintojen häiriönsietokykyä ja viranomaisten välistä koordinaatiota. Kriittisten toimijoiden tulee laatia riskinarviointi merkityksellisten ihmisen ja luonnon aiheuttamien vaarojen osalta ja toteuttaa oikeasuhteisia teknisiä, turvallisuuteen liittyviä ja organisatorisia toimenpiteitä häiriönsietokykynsä varmistamiseksi.  

NIS2-direktiivin tavoitteena on vahvistaa ja yhdenmukaistaa yhteiskunnan kriittisten sektoreiden kyberturvallisuuden tasoa EU:ssa ja siten se täydentää ja tarkentaa CER-direktiivin vaatimuksia kyberturvallisuuden osalta. Keskeisten ja tärkeiden toimijoiden pitää hallita kyberturvallisuusriskejä riski- ja suorituskykyperusteisesti teknisillä, operatiivisilla ja organisatorisilla toimenpiteillä estääkseen tai minimoidakseen poikkeamien vaikutuksen palvelujensa vastaanottajiin ja muihin palveluihin. NIS2-direktiivi asettaa vaatimuksia myös keskeisten ja tärkeiden toimijoiden hallintoelimille.  

Molemmat direktiivit edellyttävät toimijoiden ilmoittavan merkittävistä poikkeamista viranomaisille.

Direktiivien kansallinen toimeenpano on käynnistynyt sisäministeriön (CER-direktiivi) ja liikenne- ja viestintäministeriön (NIS2-direktiivi) johdolla. Jäsenvaltioiden on saatettava direktiivit osaksi kansallista lainsäädäntöä lokakuuhun 2024 mennessä.    

Linkit direktiiveihin:

CER-direktiivi https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2557 

NIS2-direktiivi https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555&qid=1673935710925