Vad innebär CER-direktivet?

Många har idag hört talas om antagandet av direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) vilken kommer att ersätta NIS-direktivet. Vad som däremot är mindre känt är att vid samma tillfälle antog Europaparlamentet och Europeiska unionens råd även direktivet om kritiska entiteters motståndskraft (CER-direktivet). CER- och NIS-direktiven kompletterar varandra i och med att NIS-direktivet även gäller för säkerhetsåtgärder inom samhällsviktig verksamhet som CER-direktivet identifierar.

CER- och NIS2-direktivet ska börja tillämpas den 18 oktober 2024.

Syftet med CER-direktivet

Kritiska entiteter som tillhandahåller samhällsviktiga tjänster spelar en avgörande roll i upprätthållandet av central ekonomisk verksamhet på den inre marknaden och viktiga samhällsfunktioner. Därför är det nödvändigt att etablera en unionsram som både ökar deras motståndskraft genom gemensamma minimiregler och erbjuder enhetligt stöd och tillsyn.

CER-direktivet har därmed till syfte att säkerställa att kritiska samhällsfunktioner och enheter är motståndskraftiga mot olika hot och störningar. Här ingår verksamheter som bedrivs av såväl privat som offentlig sektor.

Tillämpningsområdet för CER-direktivet

I direktivets artikel 1 fastställs direktivets innehåll och tillämpningsområde. I CER-direktivets bilaga anges sektorerna:

• Energi

• Transport

• Bankverksamhet

• Finansmarknadsinfrastruktur

• Hälso- och sjukvård

• Dricksvatten

• Avloppsvatten

• Digital infrastruktur

• Offentlig förvaltning

• Rymden

• Produktion, bearbetning och distribution av livsmedel.

I bilagan återfinns även angivna undersektorer samt de kategorier av entiteter som omfattas inom respektive sektor.

Förhållandet mellan CER- och NIS2-direktivet

NIS2-direktivet tar sikte på cybersäkerhet, då dess syfte är att säkerställa en hög gemensam nivå av cybersäkerhet inom union och förbättra skyddet av kritisk infrastruktur och digitala tjänster mot cyberhot och incidenter. CER-direktivet har till syfte att öka motståndskraften och minska sårbarheten hos kritiska samhällsviktiga verksamheter. NIS2- och CER-direktivet har flera likheter då de båda omfattar aktörer inom sektorer som energi, transport, bankverksamhet, finansmarknadsinfrastruktur, m.m. Dock åläggs medlemsstaterna enligt CER-direktivet att göra riskbedömningar vilka ska innehålla en redogörelse för relevanta risker för naturolyckor, -katastrofer, hot mot folkhälsan, terroristbrott m.m., dvs. CER-direktivet adresserar inte cybersäkerhetsrisker eller hot från cyberattacker. Dessa frågor regleras istället i NIS2-direktivet.

Vad händer nu?

Eftersom både CER och NIS2 utgör EU-rättsliga direktiv, ska dessa implementeras i nationell lagstiftning. Alltså befinner vi oss i skedet att dessa håller på att bli svensk lag. Dock bör man beakta att de krav som uppställs i de båda direktiven utgör en miniminivå, vilket innebär att Sverige, liksom de andra medlemsländerna, kan bestämma sig för att sätta högre krav än de som anges. Det är därmed av vikt för organisationer att redan nu göra en analys om man kan komma att omfattas av direktiven, för att därmed börja vidta åtgärder i enlighet med de krav som uppställs.  

Vi på Omegapoint kan hjälpa er

Vi på Omegapoint hjälper er gärna kring era frågor och arbeten inför CER-direktivet. Genom vår expertis, samt vårt verktyg Ciso kan vi tillsammans bidra till effektiviserat arbete för er kring de krav som det nya direktivet uppställer. Tveka därför inte att höra av er om ni vill veta mer!

Referens

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG

Stephanie Åkander

Jurist och konsult inom informations- och cybersäkerhet.