Det europeiska CER-direktivet
Publicerat av: Emma Johansson ·
Den nya lagen om cybersäkerhet och förslag till lag om motståndskraft hos kritiska verksamhetsutövare föreslås träda i kraft den 1 augusti 2025. Dessa nya lagar förändrar flera andra lagar, bland annat säkerhetsskyddslagen, offentlighets- och sekretesslagen samt lagen om brottsregister. Lagrådsremiss kommer under vintern och proposition under våren 2025. Även föreskrivande myndighet ska ta fram föreskrifter. För energisektorn föreslås Energimyndigheten som tillsynsmyndighet.
Det europeiska CER -direktivet, kritiska entiteters resiliens, och förslag till lag om motståndskraft hos kritiska verksamhetsutövare syftar till att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Detta gäller oavsett om störningen eller avbrottet har föranletts av naturkatastrofer, olyckor, pandemier, antagonistiska hot, inklusive terroristbrott eller andra hot. Cybersäkerhetsrelaterade risker behandlas däremot av NIS2-direktivet och förslaget om ny lag för cybersäkerhet.
CER-direktivet 2022/2557 (Directive on the resilience of critical entities) ställer krav på åtgärder för att stärka motståndskraften i samhällsviktig verksamhet. Ersätter det europeiska direktivet om kritisk infrastruktur ECI-direktivet från 2008/114/EC. Sverige har tillsätta en statlig offentlig utredning (SOU) för att omsätta båda EU-direktiven (CER och NIS-2) i svensk lagstiftning.
Syftet med förslag till lag om motståndskraft hos kritiska verksamhetsutövare är att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster inom bland annat energisektorn (el, energigas, fjärrvärme och fjärrkyla). Det innebär ökade krav på fysisk säkerhet och personalsäkerhet. Verksamheten ska även rapportera incidenter. Utredningen i sin helhet kan läsas på regeringens webbplats här. Remiss av SOU 2024:64 Motståndskraft i samhällsviktiga tjänster pågår fram till den 13 januari 2025.
Identifiering av kritiska verksamhetsutövare som berörs
Senast sommaren 2026 ska tillsynsmyndigheterna identifiera vilka kritiska verksamhetsutövare som anges i CER-direktivets bilaga som ska omfattas av den nya lagen. När en medlemsstat fastställer om en störande effekt är betydande ska den beakta följande kriterier:
- Antalet användare som är beroende av den samhällsviktiga tjänsten
- Hur beroende andra sektorer som omfattas av direktivet är av den samhällsviktiga tjänsten
- Vilken effekt incidenter kan få för ekonomisk och samhällelig verksamhet, miljön, den allmänna säkerheten och tryggheten, eller befolkningens hälsa
- Verksamhetsutövarens marknadsandel
- Det geografiska område som skulle kunna påverkas av en incident
- Verksamhetsutövarens betydelse för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten
Det är viktigt att beakta redan nu att om en tillsynsmyndighet pekar ut en verksamhet att omfattas av lag om motståndskraft hos kritiska verksamhetsutövare, så lyder denna verksamhet även under den nya cybersäkerhetslagen, som väsentlig verksamhet. Givetvis råder även en anmälningsplikt för dem som själva identifierat att verksamheten omfattas av den nya cybersäkerhetslagen.
Resilienshöjande åtgärder
- Riskbedömning av alla relevanta risker som skulle kunna leda till en incident genom ett allrisk-perspektiv
- Plan som beskriver åtgärder som har eller ska vidtas tex. förebyggande av händelser, t.ex. klimatanpassningsåtgärder
- Fysiskt skydd t.ex. stängsel, övervakning och åtkomstkontroll av anläggningar och infrastruktur
- Personalsäkerhet t.ex. regelbundna bakgrundskontroller, åtkomsträttigheter och utbildningskrav
- Incidenthantering, t.ex. kontinuitetsåtgärder och identifiering av alternativ
För mer information
- CER-direktivet publications Office (europa.eu)
- Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft - Regeringen.se
- EU och arbetet med att stärka motståndskraften i samhällsviktig verksamhet - MSB.se