Vad är CER-direktivet? (Critical Entities Resilience)
I slutet av 2022 markerade EU en ny era inom skyddet av kritisk infrastruktur genom att anta CER-direktivet, officiellt känt som direktivet för kritiska entiteters motståndskraft.
Denna nya lagstiftning syftar till att stärka och försäkra motståndskraften hos de enheter som spelar en avgörande roll för samhällsviktig verksamhet i EU.
Till skillnad från dess föregångare, som ofta fokuserade på specifika sektorer, erbjuder CER en större helhetssyn på säkerheten som sträcker över flera viktiga sektorer.
Relationen mellan CER och NIS2-direktivet
CER-direktivet och NIS2-direktivet, som båda presenterades under 2022, är två kompletterande direktiv som fokuserar på olika aspekter av säkerhet för att ge ett omfattande skydd över hela unionen.
NIS2-direktivet: Fokus på cybersäkerhet
NIS2-direktivet är inriktat på att förbättra cybersäkerheten inom hela EU. Detta direktiv syftar till att skydda nätverk och informationssystem som är avgörande för ekonomin och samhället. NIS2 omfattar åtgärder som:
- Förstärkt säkerhet för IT-infrastruktur.
- Krav på regelbundna säkerhetsrevisioner och -testning.
- Obligatorisk incidentrapportering.
Dessa åtgärder är utformade för att skydda data och IT-system från cyberattacker, dataintrång och andra typer av cyberhot.
CER-direktivet: Fokus på fysiska hot
Å andra sidan, CER-direktivet fokuserar på den generella motståndskraften hos kritiska enheter och infrastrukturer. Detta inkluderar säkerhetsåtgärder mot fysiska hot som:
- Naturkatastrofer (t.ex. översvämningar och jordbävningar).
- Mänskliga hot (till exempel sabotage, terrorattacker).
- Andra kriser (t.ex. pandemier och stora industriolyckor).
CER-direktivet kräver att kritiska enheter har robusta planer för att förebygga, hantera och återhämta sig från dessa störningar.
Det handlar om att säkra allt från fysiska byggnader och anläggningar till nödvändiga organisatoriska processer som säkerställer fortsatt drift under och efter en kris.
Samverkan mellan NIS2 och CER
Man kan säga att CER-direktivet och NIS2-direktivet kompletterar varandra eftersom de tillsammans täcker en bredare uppsättning säkerhetsrisker. Medan NIS2 skyddar mot cyberrelaterade risker, täcker CER de fysiska och operationella aspekterna.
Tillsammans medför de båda direktiven en ökad samverkan mellan digital och fysisk säkerhet, vilket är avgörande för att skapa en övergripande säkerhetskultur inom EU.
Vad innebär CER-direktivet för organisationer?
CER-direktivet påverkar organisationer som arbetar inom viktiga områden som energi, transport, sjukvård och finans. Första steget för organisationer inom dessa branscher är att först fastställa om de fyller samhällsviktiga funktioner och därmed omfattas av direktivet.
Detta gör man genom att undersöka vilka tjänster organisationen erbjuder och hur dessa tjänster spelar en roll i samhällets funktion. Om tjänsterna anses vara kritiska för samhället, omfattas företaget eller verksamheten av CER, och måste därmed följa särskilda regler.
Om man identifierat att man omfattas av CER-direktivet behöver man senare skapa processer och metoder för att kunna följa upp kraven. Detta innebär exempelvis att man måste ha processer för att hantera olika typer av risker, som cyberattacker eller stora oväntade händelser som naturkatastrofer.
Sammanfattningsvis är CER-direktivet en central del av EU:s strategi för att stärka den fysiska och organisatoriska motståndskraften hos kritiska verksamheter. Det samspelar också med NIS2-direktivet som kompletterar CER genom att fokusera mer på cybersäkerhetsaspekter.