Nyt CER-direktiv skal styrke kritisk infrastruktur i EU
Udgivet: 22. februar 2024Et nyt direktiv skal gøre virksomheder i udvalgte sektorer bedre til at forebygge, håndtere og komme på fode igen efter hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Og kravene omfatter muligvis også underleverandører, hvilket potentielt vil påvirke en hel underskov af SMV’er.
Klimaet har hedeslag, naturkatastroferne står i kø, og der er krig i Europa på andet år. Med andre ord er der masser af ting, som kan potentielt kan påvirke vigtige sektorer som bl.a. energi, transport, telekommunikation og sundhed.
»Der er potentielt en hel underskov af SMV’er, som også bliver påvirket af CER.«
Set i bakspejlet var der derfor tale om rettidig omhu, da Europa-Kommissionen i december 2020 fremsatte et forslag til et direktiv om kritiske enheders modstandsdygtighed. Critical Entities Resilience Directive (CER) trådte i kraft i starten af 2023 sammen med NIS2-direktivet, som det da også har mange ligheder med, og EU har givet medlemslandene frist til midten af oktober 2024 til at udmønte CER nationalt. I Danmark har forsvarsministeriet dog meldt ud, at man ikke når at få lovgivningen på plads inden oktober 2024, og at danske virksomheder derfor tidligst skal leve op til kravene fra en gang i 2025.
- Hvor NIS2 primært handler om cyber- og informationssikkerhed, fokuserer CER på kritisk infrastruktur –både analog og digital – hvad angår f.eks. naturkatastrofer, sabotage og disruption af forsyningskæder. Formålet er at styrke modstandsdygtigheden i den kritiske infrastruktur i EU. CER skal sikre, at vigtige sektorer er i stand til at modstå og reagere på forskellige former for kriser og dermed beskytte samfundet og opretholde kontinuiteten i vitale tjenester og funktioner, forklarer Jesper Florin, leder af DBI’s sikringsafdeling.
Risikovurderinger og rapportering
Som nævnt skal CER først udmøntes i Danmark, men ifølge Jesper Florin er der stor sandsynlighed for, at Det vil kræve regelmæssige risikovurderinger hos virksomheder i sektorer, som er omfattet af direktivet. Desuden skal der ske løbende rapportering til relevante myndigheder, så der er en form for kontrol af de foranstaltninger, som træffes for at øge modstandsdygtigheden. Dertil kommer formentlig udarbejdelsen af beredskabsplaner.
- Det bliver interessant at se, hvor vidtrækkende implementeringen af direktivet bliver i Danmark. Om f.eks. virksomheder inden for fødevaresektoren vil omfatte leverandører af mad til plejehjem eller Forsvaret, siger Jesper Florin.
Særligt direktiv for finansielle enheder
Jesper Florin oplyser, at CER og NIS2 er to ud af tre EU-direktiver. Parallelt med CER og NIS2 er der nemlig også et særligt Digital Operations Resilience Act (DORA), som skal styrke it-sikkerheden for finansielle enheder som banker, forsikringsselskaber og investeringsselskaber.
Artiklen er oprindelig udgivet 15. august 2023, men er opdateret 22. februar 2024 med nye oplysninger om implementeringdatoen for CER-direktivet.
Fakta om CER
Critical Entities Resilience Directive (CER) skal styrke modstandsdygtigheden (resiliensen) i den kritiske infrastruktur i EU.
Kritiske enheder er enheder, der leverer væsentlige tjenester, som er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundheden, den offentlige sikkerhed og miljøet. De skal kunne identificere, forebygge, beskytte mod, reagere på, håndtere og komme på fode igen efter hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Visse centrale offentlige forvaltninger vil også være omfattet af visse bestemmelser i udkastet til direktiv.
EU-medlemslandene skal have en national strategi for at identificere de kritiske enheder, der leverer væsentlige tjenester, øge deres modstandsdygtighed og foretage en risikovurdering mindst hvert 4. år.
CER omfatter sektorerne energi, transport, bankvæsen, finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig administration, rumfart og fødevarer.