Hur CER-direktivet kan komma att påverka informationssäkerhetsarbetet

Parallellt med NIS2-direktivet ska CER-direktivet genomföras i Sverige, så om inte NIS2 räckte så måste du kanske börja ta höjd för indirekt påverkan på det systematiska informationssäkerhetsarbetet från CER.

Kraven i CER-direktivet handlar om att skapa ett slags gemensam lägstanivå för verksamheter runtom i EU, så att dessa ska vara motståndskraftiga, inte bara mot ett eventuellt antagonistiskt angrepp, utan även mot exempelvis naturkatastrofer.

CER-direktivet ställer inte specifika krav på informationssäkerheten, men om man utpekas som en kritisk entitet under CER så blir man ett subjekt under NIS2 och ska följa kraven på riskhanteringsåtgärder för cybersäkerhet och samma rapporteringsskyldigheter.

Direktivet ställer krav både på medlemsstatsnivå och verksamhetsnivå. Såväl medlemsstaterna som verksamheter som faller inom direktivets tillämpningsområde ska göra en riskanalys för att adressera risker som kan hota kritiska verksamheter, allt från en terrorattack till en översvämning.

Medlemsstaterna ska också ta fram en strategi för nödvändiga åtgärder för att säkra motståndskraften hos de kritiska verksamheterna. Naturligtvis ska också ett nätverk för kommunikation mellan olika myndigheter skapas liksom en tillsyns- och behörigmyndighetsorganisation som ska kunna besluta om föreskrifter, tillsyn, sanktioner, eventuellt vite och förelägganden.

Såväl privata som offentliga aktörer ska;

• Anmäla till ansvarig myndighet om man träffas av regleringen,
• Arbeta systematiskt med riskhantering,
• Vidta de tekniska och organisatoriska åtgärder som riskerna kräver för att stärka sin motståndskraft för att förhindra störningar i leverans av en tjänst,
• Kunna få hjälp av myndigheterna med att identifiera relevanta hot att planera för och,
• Arbeta för att minimera konsekvenserna av incidenter, men när de inträffar, incidentrapportera, vilket känns igen från kraven i NIS-direktivet.

Syftet med CER-direktivet är, vilket faller sig naturligt, att säkra att vissa verksamheter ska bestå inom den inre marknaden, trots olika yttre påverkan. 

Grundförutsättningar kring CER

• En kritisk entitet enligt CER är en offentlig eller privat entitet som har identifierats av en medlemsstat i enlighet med artikel 6 som tillhörande en av de kategorier som anges i den tredje kolumnen i tabellen i bilagan.
• Entiteter som bedöms som kritiska enligt CER ska också omfattas av kraven i NIS2.
• CER ska dock inte ställa högre direkta krav på informationssäkerheten än NIS2, detta gäller även den regulatoriska bördan som exempelvis tillsyn och efterlevnadskontroller.
• Varje medlemsland ansvarar för att det finns en strategi för hur direktiven ska tillämpas tillsammans och parallellt.
• Strategin bör, i syfte att uppnå samstämmighet och effektivitet, utformas så att den smidigt integrerar befintlig politik och, när så är möjligt, bygger på relevanta befintliga nationella och sektorsspecifika strategier, planer eller liknande dokument.
• CER påverkar inte medlemsstaternas ansvar att skydda den nationella säkerheten och försvaret eller deras befogenhet att skydda andra väsentliga statliga funktioner, inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning. Det innebär att säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter inte kommer att omfattas.
• Kritiska entiteter enligt CER ska följa kraven på riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter enligt NIS2 (artikel 1, NIS2)
• Senast den 17 juli 2026 ska medlemsstaterna identifiera de kritiska entiteterna för de sektorer och undersektorer som anges i bilagan.
• Varje medlemsstat ska upprätta en förteckning över de kritiska entiteter som har identifierats enligt och säkerställa att dessa kritiska entiteter underrättas om att de har identifierats som kritiska entiteter inom en månad från identifieringen.
• Medlemsstaterna ska informera dessa kritiska entiteter om deras skyldigheter enligt kapitlen III och IV och om det datum från och med vilket dessa skyldigheter är tillämpliga på dem.
• Kritiska entiteter inom sektorerna för bankverksamhet, finansmarknadsinfrastruktur och digital infrastruktur kan få ett annat datum för ikraftträdande.
• Medlemsstaterna ska senast den 17 oktober 2024 anta och offentliggöra regleringen som är nödvändig för att följa detta direktiv. De ska tillämpa dessa bestämmelser från och med den 18 oktober 2024. Samma datum som för NIS2.

Möjlig förstärkning eller utvidgning av befintliga krav i och med CER

• Artikel 8 i CER kan leda till att det tillkommer tröskelvärden och tillfällen för när entiteterna ska incidentrapportera enligt NIS2.
• Artikel 14 i CER kan innebära ökade krav på bakgrundskontroller på personal hos kritiska entiteter som arbetar med IT och informationssäkerhet, generellt. Detta kan bli särskilt aktuellt för personer som bedöms centrala för verksamhetens motståndskraft (upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet).
• Definitionen av samhällsviktig tjänst enligt artikel 2 i CER, kan komma att bredda definitionen till att även omfatta att upprätthålla folkhälsa och värna miljön.
• Definitionen av offentlig förvaltningsenhet i CER omfattar även lokala myndigheter redan i direktivet, till skillnad från NIS2 där omfattningen på lokal nivå lämnas till medlemslandet att avgöra.
  
  

Exakt hur dessa två direktiv kommer att genomföras i Sverige går i dagsläget inte att säga. Första vägledningen får vi när den särskilda utredaren av CER och NIS2 levererar sin första del av slutrapporten i slutet av februari 2024.

För vidare läsning

• CER Critical entities' resilience (europa.eu)
• New rules to boost cybersecurity of the EU institutions (europa.eu)
• NIS2 Directive - 2022/2555 - EN - EUR-Lex (europa.eu)
• Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft - Regeringen.se
• Tillsyn – utmaningar i genomförandet av NIS2-direktivet