Om CER-direktivet
Publicerat av: Emma Johansson
Proposition förslag till lag ny om motståndskraft (LOM) hos kritiska verksamhetsutövare publiceras preliminärt den 19 maj. Den nya lagen föreslås träda i kraft i slutet av 2026.
Det europeiska CER -direktivet, kritiska entiteters resiliens, och förslag till lag om motståndskraft hos kritiska verksamhetsutövare syftar till att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Detta gäller oavsett om störningen eller avbrottet har föranletts av naturkatastrofer, olyckor, pandemier, antagonistiska hot, inklusive terroristbrott eller andra hot. Cybersäkerhetsrelaterade risker behandlas däremot av NIS2-direktivet och förslaget om ny lag för cybersäkerhet.
CER-direktivet 2022/2557 (Directive on the resilience of critical entities) ställer krav på åtgärder för att stärka motståndskraften i samhällsviktig verksamhet. Ersätter det europeiska direktivet om kritisk infrastruktur ECI-direktivet från 2008/114/EC. Sverige har tillsätta en statlig offentlig utredning (SOU) för att omsätta båda EU-direktiven (CER och NIS-2) i svensk lagstiftning.
Syftet med förslag till lag om motståndskraft hos kritiska verksamhetsutövare är att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster inom bland annat energisektorn (el, energigas, fjärrvärme och fjärrkyla). Det innebär ökade krav på fysisk säkerhet och personalsäkerhet. Verksamheten ska även rapportera incidenter. Utredningen i sin helhet kan läsas på regeringens webbplats här.
Identifiering av kritiska verksamhetsutövare som berörs
Tillsynsmyndigheter, för energisektorn Energimyndigheten, ska identifiera tillhandahållare av samhällsviktiga tjänster. När en medlemsstat fastställer om en störande effekt är betydande ska den beakta följande kriterier:
- Antalet användare som är beroende av den samhällsviktiga tjänsten
- Hur beroende andra sektorer som omfattas av direktivet är av den samhällsviktiga tjänsten
- Vilken effekt incidenter kan få för ekonomisk och samhällelig verksamhet, miljön, den allmänna säkerheten och tryggheten, eller befolkningens hälsa
- Verksamhetsutövarens marknadsandel
- Det geografiska område som skulle kunna påverkas av en incident
- Verksamhetsutövarens betydelse för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten
Det är viktigt att beakta redan nu att om en tillsynsmyndighet pekar ut en verksamhet att omfattas av lag om motståndskraft hos kritiska verksamhetsutövare, så lyder denna verksamhet även under den nya cybersäkerhetslagen, som väsentlig verksamhet.
Krav på kritiska verksamhetsutövare:
- Riskananlys av alla relevanta risker som skulle kunna leda till en incident genom ett allrisk-perspektiv
- Kontinuitetshantering och reparationsförmåga som beskriver åtgärder som har eller ska vidtas tex. förebyggande av händelser, t.ex. klimatanpassningsåtgärder
- Fysiskt skydd t.ex. stängsel, övervakning och åtkomstkontroll av anläggningar och infrastruktur
- Personalsäkerhet t.ex. regelbundna bakgrundskontroller, åtkomsträttigheter och utbildningskrav
- Incidenthantering, t.ex. kontinuitetsåtgärder och identifiering av alternativ
För mer information
- CER-direktivet publications Office (europa.eu)
- Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft - Regeringen.se
- EU och arbetet med att stärka motståndskraften i samhällsviktig verksamhet - MSB.se