CER-direktivet ska hantera störningar i infrastruktur

Publicerat av: Kalle Lindholm ·

Förslaget till det så kallade CER-direktivet (Critical Entities Resilience Directive) är en del av ett stort paket med en ny strategi för cybersäkerhet. Förslaget är ett ramverk som ska ge stöd och säkerställa kritiska enheters förmåga att förebygga, motstå och hantera störningar eller avbrott i verksamheten.

Detta nya EU-direktiv ska säkerställa funktionaliteten och stärka robustheten för kritiska enheter. Det ska gälla oavsett om en störning eller ett avbrott har föranletts av till exempel naturolyckor, terroristattacker, pandemier eller andra allvarliga händelser. Det föreslagna CER-direktivet är tänkt att ersätta den nuvarande EU-regleringen om europeisk kritisk infrastruktur från 2008.

– Förslaget ställer krav på funktionalitet i verksamheten. Energisektorn är ett av tio områden som omfattas. I energi ingår el, fjärrvärme & fjärrkyla, flytande drivmedel och bränslen, naturgas och vätgas, säger Emma Johansson som är säkerhetsansvarig hos Energiföretagen Sverige.

Hjälp att få och krav

Förslaget anger att:

  • medlemsstaterna ska ta fram en strategi för att säkerställa resiliensen inom kritiska enheter.
  • ansvariga för kritiska enheter ska göra riskbedömningar, vidta åtgärder för att stärka sin resiliens och rapportera störningar och avbrott till nationella myndigheter.
  • kritiska enheter som tillhandahåller tjänster i minst en tredjedel av medlemsstaterna ska bli föremål för översyn och rådgivning från kommissionen.
  • kommissionen ska erbjuda risköversikter, metodstöd och övningar för att kunna testa resiliensen i kritiska enheter.
  • gränsöverskridande samarbete om direktivets införande ska ske via en expertgrupp (Critical Entities Resilience Group).

Förslaget kan påverka närliggande svenska regler inom flera områden, som exempelvis säkerhetsskyddslagstiftningen och lagstiftning om krisberedskap och civilt försvar. Direktivet ska dock inte hindra att medlemsstaterna vidtar de åtgärder som de anser nödvändiga för att skydda den nationella säkerheten.

Specifikt för energiområdet – koppling till NIS 2.0

För energisektorn innebär direktivet att arbeta med:

  • risk- och sårbarhetsanalys (RSA), riskminimering och kontinuitetshantering.
  • incidentrapportering, kontinuitetshantering, krishantering.
  • sårbarhetsrapportering även om incidenter inte uppstår.

Det finns även beröringspunkter med NIS-direktivet 2.0. NIS 2.0 har en regel om att alla samhällsviktiga tjänster som nämns i CER ska beröras av NIS 2.0, som har lägre tröskel på grund av större hotbild mot system. NIS- och CER-samarbetsgrupperna, såväl nationella som på EU-nivå, ska ha regelbundna möten.

Förslaget införs 36 månader efter att det har beslutats av kommissionen.

Mer information från EU-rätten (välj önskat språk där)

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se