CER-laki koskettaa lähivuosina yhä useampaa organisaatiota, erityisesti kriittisen infrastruktuurin toimijoita. Monessa yrityksessä herää nyt sama kysymys: täyttääkö nykyinen kulunvalvonta tulevat vaatimukset?
EU:n CER-direktiiviin perustuva laki kriittisen infrastruktuurin suojaamisesta (CER-laki 310/2025) tuo fyysisen turvallisuuden entistä vahvemmin osaksi organisaatioiden riskienhallintaa.
Käytännössä tämä tarkoittaa sitä, että kulunvalvonta ja pääsynhallinta eivät ole enää pelkkiä teknisiä ratkaisuja, vaan niihin liittyy velvoitteita, joilla varmistetaan toiminnan jatkuvuus ja häiriönsietokyky.
Kriittiset toimijat nimetään toimialoittain viimeistään 17.7.2026, mutta valmistautuminen on monessa organisaatiossa käynnissä.
Mitä CER-laki tarkoittaa kulunvalvonnan näkökulmasta?
CER-laki kohdistuu ensisijaisesti organisaatioon itseensä: sen fyysiseen, organisatoriseen ja operatiiviseen turvallisuuteen. Kulunvalvonnan rooli korostuu erityisesti seuraavissa osa-alueissa.
Fyysinen turvallisuus: kulunvalvonta osana kokonaisuutta
Kulunvalvonta on osa laajempaa fyysisen turvallisuuden kokonaisuutta, johon kuuluvat myös esimerkiksi kameravalvonta ja alueiden suojaus. Tavoitteena on estää luvaton pääsy kriittisiin kohteisiin ja tunnistaa poikkeamat nopeasti.
Lokit ja auditointi
Kulunvalvonnan tulee tuottaa luotettavaa ja kattavaa lokitietoa. Käytännössä tämä tarkoittaa sitä, että kulkutapahtumat voidaan jälkikäteen todentaa ja hyödyntää poikkeamien selvittämisessä.
CER tuo mukanaan myös vaatimuksia poikkeamien raportointiin: kriittisistä häiriöistä tulee pystyä ilmoittamaan nopeasti.
Kyberturvallisuus osana kulunvalvontaa
Kriittisiksi nimettyjen toimijoiden tulee täyttää myös kyberturvallisuuteen liittyviä vaatimuksia. Kulunvalvonnan osalta tämä näkyy esimerkiksi:
- rajapintojen suojaamisena
- roolipohjaisena käyttöoikeuksien hallintana
- järjestelmäarkkitehtuurin turvallisuutena
Henkilöstö ja pääsynhallinta
Kulkuoikeuksien hallinta ei koske vain järjestelmiä, vaan myös ihmisiä. Organisaatiot voivat joutua varmistamaan esimerkiksi tukihenkilöiden luotettavuuden tai rajaamaan pääsyoikeuksia entistä tarkemmin.
Dokumentointi ja varautuminen
CER edellyttää, että organisaatio pystyy osoittamaan, miten turvallisuus on toteutettu. Tämä tarkoittaa muun muassa järjestelmien teknistä dokumentaatiota, selvityksiä lokikäytännöistä ja varautumis- sekä jatkuvuussuunnitelmia toiminnasta.
Miten Tolotech vastaa CER-vaatimuksiin?
CER-laki ei määrittele yksittäisiä hyväksyttyjä kulunvalvontajärjestelmiä. Vastuu vaatimusten täyttämisestä on aina kriittisellä toimijalla itsellään. Siksi ratkaisevaa on, että käytössä oleva järjestelmä mahdollistaa vaatimusten täyttämisen käytännössä.
Tolotechin ratkaisuissa tämä on huomioitu alusta alkaen:
- kulunvalvonta on osa laajempaa fyysisen turvallisuuden kokonaisuutta
- järjestelmä tukee kattavaa ja auditoitavaa lokitietojen keräämistä
- käyttöoikeudet voidaan määritellä roolipohjaisesti ja hallita keskitetysti
- rajapinnat ja järjestelmäarkkitehtuuri tukevat turvallista integraatiota
- ratkaisu soveltuu myös ympäristöihin, joissa vaaditaan korkeaa käytettävyyttä ja toimintavarmuutta
Käytännössä tämä tarkoittaa asiakkaalle sitä, että kulunvalvonta tukee vaatimusten täyttämistä ilman erillisiä kiertoteitä tai manuaalista työtä.
Lisäksi Tolotechin toiminta perustuu ISO/IEC 27001 -sertifioituun tietoturvan hallintajärjestelmään. Se osoittaa korkeaa kyberturvan tasoa ja kypsyyttä esimerkiksi pääsynhallinnan, riskienhallinnan ja lokituksen osalta.
On kuitenkin hyvä huomioida, että ISO 27001 ei yksinään täytä CER-vaatimuksia, mutta se toimii hyvänä perustana, jonka päälle CER-vaatimuksia voidaan rakentaa.
Mitä tämä tarkoittaa käytännössä?
Monelle organisaatiolle CER-laki tarkoittaa sitä, että nykyisiä ratkaisuja ja toimintamalleja on syytä tarkastella uudelleen:
- tuottaako kulunvalvonta riittävää lokitietoa
- onko pääsynhallinta hallittua ja dokumentoitua
- pystytäänkö poikkeamat tunnistamaan ja raportoimaan ajoissa
- onko järjestelmä osa laajempaa turvallisuuskokonaisuutta
Koska kriittisten toimijoiden nimeäminen etenee vaiheittain, nyt on oikea hetki arvioida tilanne ja varmistaa, että perusta on kunnossa ennen vaatimusten voimaantuloa.
Tolotechin ratkaisut on suunniteltu tukemaan tätä kokonaisuutta, jolloin kulunvalvonta toimii osana turvallista, hallittua ja dokumentoitua toimintaympäristöä. Jos haluat arvioida, miten nykyinen kulunvalvontanne vastaa CER-vaatimuksiin, keskustelemme mielellämme tilanteestanne, ota yhteyttä!
