Resilience of Critical Entities – snart i ett regelverk nära dig!
I december 2020 publicerade EU-kommissionen ett förslag till direktiv gällande resilience of critical entities, det så kallade CER-direktivet. Än så länge finns ingen ytterligare version att tillgå än det ursprungliga förslaget. Det vi har att förvänta oss, oavsett hur förslaget slipats i de olika instanserna, är emellertid ett direktiv som reglerar just vad namnet antyder: motståndskraften hos kritiska verksamheter. Enligt de senaste uppgifterna förväntas signering och publicering av direktivet ske nu i december.
Reglerna i förslaget handlar om att skapa ett slags gemensam lägstanivå för verksamheter runtom i EU, så att dessa ska vara motståndskraftiga, inte bara mot ett eventuellt antagonistiskt angrepp, utan även mot t.ex. naturkatastrofer.
Direktivet ställer krav både på medlemsstatsnivå och verksamhetsnivå. Såväl medlemsstaterna som verksamheter som faller inom direktivets tillämpningsområde ska göra en riskanalys för att adressera risker som kan hota kritiska verksamheter, allt från en terrorattack till en översvämning. Medlemsstaterna ska också ta fram en strategi för nödvändiga åtgärder för att säkra motståndskraften hos de kritiska verksamheterna. Naturligtvis ska också ett nätverk för kommunikation mellan olika myndigheter ställas upp liksom en tillsyns- och behörigmyndighetsorganisation som ska kunna besluta om föreskrifter, tillsyn, sanktioner, eventuellt vite och förelägganden. Här ska även nämnas att såväl privata som offentliga aktörer ska:
-
Anmäla till ansvarig myndighet om man träffas av regleringen,
-
Arbeta systematiskt med riskhantering,
-
Vidta de tekniska och organisatoriska åtgärder som riskerna kräver för att stärka sin motståndskraft för att förhindra störningar i leverans av en tjänst,
-
Kunna få hjälp av myndigheterna med att identifiera relevanta hot att planera för och,
-
Arbeta för att minimera konsekvenserna av incidenter, men när de inträffar, incidentrapportera, vilket känns igen från kraven i NIS-direktivet.
Syftet med CER-direktivet är, vilket faller sig naturligt, att säkra att vissa verksamheter ska bestå inom den inre marknaden, trots olika yttre påverkan. De verksamheter som ska omfattas enligt det ursprungliga förslaget är:
-
Energi
-
Transport
-
Bankverksamhet
-
Finansiell infrastruktur
-
Hälsa
-
Dricksvatten
-
Avfallsvatten
-
Digital infrastruktur
-
Offentlig förvaltning
-
Rymden
-
(Eventuellt också livsmedelstillverkning framöver)
Eftersom det rör sig om ett direktiv kommer det att genomföras i svensk lag. Kvalitén på genomförandet kommer vara beroende av samverkan mellan parter från både offentlig och privat verksamhet. Är man på hugget och påläst finns alltså all möjlighet att påverka ett bra genomförande av CER i svensk rätt.
Föga förvånande har förslaget väckt en del frågetecken kring gränsdragningar mot nationell säkerhet där medlemsstaterna har unik kompetens att besluta. Likaså är gränsdragningarna mot andra kommande regelverk, som t.ex. NIS2-direktivet (se våra andra blogginlägg på temat NIS2 här) intressanta. Enligt vad som kommit fram under förhandlingsprocessen för CER- och NIS2-direktiven ska dessa vara anpassade till varandra och förväntas också beslutas om slutligt samtidigt.
Beslutet om CER väntas nu alltså komma inom kort och publikation av CER-
direktivet i EU:s officiella tidning ska enligt uppgift ske i december 2022. Om NIS2 också står på agendan under december återstår att se.
Bevaka gärna utvecklingen av CER-direktivet, det kommer nämligen vi att göra här på bloggen. Tveka heller inte att höra av er till oss om ni har funderingar på CER!
Här hittar du förslaget till CER-direktivet och här hittar du uppgiften om när det slutligt ska publiceras.