CER-direktivets syfte är att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster på den inre marknaden.
Europaparlamentet och rådet antog den 14 december 2022 CER-direktivet, samtidigt som NIS2-direktivet.
Om CER-direktivet EUR-Lex 2022/2257
EU:s medlemsstater ska identifiera verksamhetsutövare som erbjuder samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel.
- Direktivet ställer krav på att kritiska verksamhetsutövare ska göra en riskbedömning och vidta åtgärder, inklusive bakgrundskontroller, i syfte att stärka motståndskraften, samt rapportera incidenter.
- Direktivet innehåller vidare bestämmelser om tillsyn och sanktioner samt en ram för samarbete mellan medlemsstaterna.
Lagen om motståndskraft hos kritiska verksamhetsutövare
Utredningen föreslår att CER-direktivet införlivas genom en ny lag, lagen om motståndskraft hos kritiska verksamhetsutövare.
Lagen ska tillämpas på enskilda och offentliga verksamhetsutövare som tillhandahåller en samhällsviktig tjänst som omfattas av bilagan till direktivet. Vidare krävs att verksamhetsutövaren har identifierats som kritisk av tillsynsmyndigheten.
Motståndskraft i samhällsviktiga tjänster, SOU 2024:64
Identifiering av kritiska verksamhetsutövare
Tillsynsmyndigheterna ska identifiera kritiska verksamhetsutövare inom sina tillsynsområden. För att en verksamhetsutövare ska identifieras som kritisk enligt direktivet ska tre kriterier vara uppfyllda:
- Verksamhetsutövaren ska tillhandahålla en eller flera samhällsviktiga tjänster inom någon av sektorerna som finns i bilagan till direktivet,
- verksamhetsutövaren ska ha en kritisk infrastruktur belägen i Sverige, och
- en incident ska få betydande störande effekter för tillhandahållandet av den samhällsviktiga tjänsten.
Myndigheten för samhällsskydd och beredskap ska meddela föreskrifter om när en störande effekt är betydande.
Direktivet ställer krav på att kritiska verksamhetsutövare ska göra en riskbedömning och vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder, inklusive bakgrundskontroller, i syfte att stärka motståndskraften, samt rapportera incidenter. Åtgärderna ska vidtas på grundval av riskbedömningen, utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. Tillsynsmyndigheterna får meddela föreskrifter om riskbedömning, åtgärder och planer för motståndskraft. MSB får meddela föreskrifter för sektorn offentlig förvaltning.
Kritiska verksamhetsutövare ska utan dröjsmål rapportera incidenter som medför eller kan medföra en betydande störning i tillhandahållandet av den samhällsviktiga tjänsten till MSB. En första rapport ska lämnas inom 24 timmar. MSB får meddela föreskrifter om vad som utgör en betydande störning och om incidentrapportering.
Bakgrundskontroll
Kritiska verksamhetsutövare ska göra en befattningsanalys där det framgår för vilka befattningar det finns ett krav på bakgrundskontroll.
Den kritiska verksamhetsutövaren ska genomföra bakgrundskontrollen och bedöma om personen som kontrollen avser är lämplig.
Tillsyn
Utredningen föreslår att den tillsynsmyndighet som är tillsynsmyndighet enligt den föreslagna lagen om cybersäkerhet även blir tillsynsmyndighet enligt lagen om motståndskraft hos kritiska verksamhetsutövare.
Ingripande och sanktioner
Ingripande kan ske genom att tillsynsmyndigheten beslutar om föreläggande, sanktionsavgift eller anmärkning. Nivåerna på sanktionsavgiften föreslås vara desamma som för väsentliga verksamhetsutövare i lagen om cybersäkerhet. För offentliga kritiska verksamhetsutövare innebär detta att sanktionsavgiften bestäms till lägst 5 000 kronor och högst till 10 000 000 kronor.
Lagen om cybersäkerhet
Kommun eller region som identifierats som en kritisk verksamhetsutövare enligt lagen om motståndskraft hos kritiska verksamhetsutövare ska omfattas av lagen om cybersäkerhet.