CER-direktivet (Critical Entities Resilience Directive) er innført av EU for å styrke motstandskraften i Europas mest kritiske samfunnsfunksjoner. Direktivet stiller krav til virksomheter som har stor betydning for samfunnets stabilitet, og skal sikre at de kan motstå, reagere på og komme seg etter alvorlige hendelser.
CER er en naturlig forlengelse av arbeidet med cybersikkerhet i NIS2-direktivet, men retter seg mot den fysiske delen av samfunnets kritiske infrastruktur.
Hva er formålet med CER-direktivet?
CER-direktivet (EU) 2022/2557 trådte i kraft 16. januar 2023. Det erstattet EPCIP-direktivet fra 2008 og er betydelig mer omfattende når det gjelder sektoromfang, krav og tilsyn.
Formålet er å styrke kontinuitet og robusthet i samfunnets kritiske funksjoner. Direktivet skal sikre at viktige enheter, for eksempel innen energi, transport og helse, har evnen til å forebygge, håndtere og gjenopprette etter større forstyrrelser, enten de skyldes naturkatastrofer eller målrettet sabotasje.
Hvem omfattes av CER-direktivet?
CER-direktivet gjelder både offentlige og private virksomheter som er utpekt som kritiske eller viktige innenfor én av 11 sektorer:
- Energi (strøm, gass, olje)
- Transport (luftfart, jernbane, sjøfart, vei)
- Bankvesen
- Finansiell infrastruktur
- Helse
- Drikkevannsforsyning
- Avløpshåndtering
- Digital infrastruktur
- Offentlig administrasjon
- Matproduksjon og distribusjon
- Romsektoren
Nasjonale myndigheter utpeker hvilke aktører som faller inn under direktivets anvendelsesområde, basert på faktorer som samfunnskritikalitet, geografisk dekning og potensielle konsekvenser ved driftsforstyrrelser. Når en virksomhet er utpekt, har den ni måneder på å oppfylle kravene i CER-direktivet.
Myndighetene har fått fullmakt til å gjennomføre inspeksjoner og revisjoner, og direktivet krever etablering av meldesystemer for hendelser samt regelmessig offentlig rapportering.
Hvilke krav stiller CER-direktivet?
Virksomheter som omfattes av CER-direktivet må dokumentere og vedlikeholde et høyt nivå av fysisk robusthet og organisatorisk beredskap.
Kravene inkluderer blant annet:
1. Risikoanalyse og sårbarhetsvurdering
Virksomheten skal gjennomføre løpende risikovurderinger og identifisere svakheter i fysiske systemer, prosesser og avhengigheter.
2. Forebyggende og beskyttende tiltak
Dette kan innebære fysisk sikring av adgangsforhold, backup-systemer, redundans i forsyningslinjer eller klimatilpasning ved økt værpåvirkning.
3. Utpeking av kontaktperson
Virksomheten skal utpeke en kontaktperson som fungerer som bindeledd til myndigheter og tilsyn.
4. Resiliensplan
Det skal utarbeides en plan for kontinuitet, gjenoppretting og håndtering av større hendelser.
5. Øvelser og opplæring
Trening og testing av beredskapsplaner er obligatorisk, og ansatte i relevante funksjoner skal ha nødvendig kunnskap og instrukser.
6. Leverandørstyring og avhengigheter
Kritiske avhengigheter, inkludert tredjepartsleverandører, skal analyseres og kontrolleres med tanke på robusthet.
I tillegg stilles det krav om vurdering av tverrsektorielle avhengigheter. CER-direktivet legger opp til økt samarbeid mellom sektorer og land for å unngå såkalte «cascading effects», der en hendelse i én sektor, for eksempel energiforsyningen, forårsaker forstyrrelser i andre. Dette krever en bredere tilnærming til risikostyring og større fokus på gjensidig robusthet på tvers av verdikjeden.
Hvordan henger CER-direktivet sammen med NIS2?
Selv om CER og NIS2 er to separate EU-direktiver, er de tett knyttet sammen og del av en samlet strategi for å styrke samfunnets motstandsdyktighet både digitalt og fysisk. NIS2 fokuserer på cybersikkerhet og beskyttelse av nettverk og informasjonssystemer, mens CER-direktivet retter seg mot fysisk robusthet.
I praksis betyr det at mange virksomheter omfattes av begge direktiver. Det gjelder blant annet strømnettoperatører og gassinfrastrukturselskaper, som både er kritiske for samfunnet og sterkt avhengige av digitale systemer. I energisektoren har NIS2 skjerpet kravene til governance, risikostyring og hendelseshåndtering, mens CER-direktivet stiller krav til fysisk beredskap og evnen til å motstå sabotage, brann eller ekstremvær.
For virksomheter som er omfattet av begge regelverk, er det nødvendig med en helhetlig tilnærming der fysisk og digital sikkerhet ses i sammenheng. Det innebærer risikovurderinger, leverandørstyring, hendelseshåndtering og planlagt vedlikehold, og det stiller høyere krav til koordineringen mellom IT, drift og ledelse.
En strategisk mulighet
CER-direktivet gir virksomheter en mulighet til å se robusthet og beredskap som en strategisk kapabilitet på linje med informasjons¬sikkerhet, ESG og andre forretningskritiske områder.
Organisasjoner som jobber proaktivt med robusthet på tvers av sektorer, land og verdikjeder, vil ikke bare stå sterkere ved tilsyn og inspeksjoner, men også være bedre rustet til å håndtere reelle hendelser, redusere forstyrrelser og opprettholde tillit hos kunder, leverandører og samfunnet rundt dem.
