CER-direktivet på väg in i svensk lag – skärpta krav på motståndskraft i energisektorn

CER innebär ett bredare perspektiv på säkerhet – där både fysisk säkerhet, personalsäkerhet, kontinuitet och cybersäkerhet behöver ses som en helhet. CER-direktivet syftar till att stärka motståndskraften hos kritiska verksamheter inom EU. Fokus ligger på att förebygga, hantera och återhämta sig från störningar – oavsett om de orsakas av olyckor, naturhändelser eller antagonistiska hot.

Direktivet kompletterar NIS2, som främst fokuserar på cybersäkerhet, genom att ha ett bredare perspektiv på fysisk säkerhet, personalsäkerhet och kontinuitet.

Till skillnad från NIS2, där verksamheter själva ska anmäla sig anmälningsplikt, bygger CER-direktivet på att myndigheter pekar ut vilka aktörer som anses vara kritiska och därmed omfattas av de nya kraven.

Sanktionsavgifter kopplade till CER kan i praktiken uppgå till 120 miljoner kronor eller 2 procent av omsättningen. Lagrådsremiss CER-direktivet

Vilka verksamheter kommer att omfattas?

För att en verksamhet ska identifieras som kritisk ska tre kriterier vara uppfyllda:

1. Verksamhetsutövaren ska tillhandahålla en eller flera samhällsviktiga tjänster i eller till Sverige.
2. Verksamhetsutövaren ska ha sin kritiska infrastruktur belägen i Sverige.
3. En incident skulle få betydande störande effekter för tillhandahållandet av en eller flera samhällsviktiga tjänster.

Vad innebär detta för energiföretag?

Även om detaljerna i den svenska tillämpningen ännu inte är helt klara, är det tydligt att CER kommer att innebära:

• Genomföra riskbedömningar
• Vidta skydds- och säkerhetsåtgärder (inkl. fysisk säkerhet och personalsäkerhet)
• Planera för kontinuitet och krishantering med förmåga att upprätthålla och snabbt återställa verksamhet
• Rapportera incidenter som kan orsaka betydande störningar

Vad kan ni som företag göra nu

Om en verksamhetsutövare får besked om att den omfattas av den nya lagen som kritisk verksamhetsutövare gäller tidsfristerna 9 månader för att genomföra en riskbedömning samt 10 månader för att uppfylla övriga krav. När dessa tidsfrister har löpt ut kan tillsyn inledas. Energimyndigheten blir tillsynsmyndighet för energisektorn.

CER-direktivet och NIS2-direktivet kompletterar varandra. Det innebär att verksamheter som omfattas av CER också omfattas av cybersäkerhetslagen.

Även om detaljerna inte är fastställda finns det anledning att redan nu:

• Säkerställa att befintliga risk- och kontinuitetsanalyser är uppdaterade
• Se över samordningen mellan fysisk säkerhet, personalsäkerhet, cybersäkerhet och beredskap
• Tydliggöra ansvar och styrning – med krav på ledningens engagemang i kris- och beredskapsfrågor
• Följa utvecklingen av både CER och NIS2 parallellt