CER (Critical Entities Resilience), blir ofte oversett som «søsterdirektivet» til det mer omtalte NIS2-direktivet. Selv om direktivene retter seg mot flere av de samme sektorer og dermed virksomheter, er det forskjeller i både plikter og formål. Det er indikasjoner på at begge direktivene vil gjennomføres samlet i norsk rett gjennom Lov om motstandsdyktighet for samfunnsviktige tjenester. Dette gjør det viktig å være oppmerksom også på krav som kommer fra CER-direktivet.
Lov om motstandsdyktighet for samfunnsviktige tjenester
CER-direktivet har som mål å styrke EUs motstandsdyktighet ved å adressere fysiske trusler mot samfunnsviktig infrastruktur. NIS2 retter seg mot digitale trusler. Sammen innebærer dermed de to direktivene krav til helhetlig sikkerhetsstyring på tvers av sikkerhetsdomener og beredskapstiltak.
CER bør være en prioritet for alle samfunnsviktige enheter i Norge, på linje med NIS2. CER og NIS2 vil treffe både offentlige og private virksomheter. Det at virksomheter har en egen robusthet og motstandsdyktighet er viktig for samfunnet, samt forsvaret av Norge. CER-direktivet understreker dette.
I denne artikkelen deler vi vår forståelse av CER-direktivet, fremhever sentrale krav og avgrensningskriterier, samt gir innsikt og oppdateringer basert på arbeidet vi gjør for våre kunder.
Forstå direktivet
EU har tatt tydelige grep for å styrke robustheten i både kritisk og digital infrastruktur mot digitale og fysiske trusler. Nylige kriser – som COVID19-pandemien, krigen i Ukraina, hurtig og endret geopolitisk kontekst og klimarelaterte katastrofer – har synliggjort det akutte behovet for bedre kollektiv beredskap. Med krigsutbrudd i Midtøsten, som har synliggjort betydelige sårbarheter i globale leveransekjeder særlig innenfor energi, har behovet heller ikke blitt redusert over tid.
Samtidig har økende sammenkobling, komplekse forsyningskjeder, fragmenterte sektorvise reguleringer og inkonsekvente definisjoner av «kritisk» infrastruktur gjort effektiv planlegging og gjennomføring av robusthetstiltak krevende.
For å møte disse utfordringene introduserte EU i januar 2023 to søsterdirektiver:
- CER-direktivet (EU-direktiv 2022/2557)
- NIS2-direktivet (EU-direktiv 2022/2555)
Direktivene har som mål å styrke EUs motstandsdyktighet mot fysiske og digitale trusler gjennom harmoniserte regler og definisjoner.
Mens NIS2 fokuserer på cybertrusler mot nettverk og informasjonssystemer, retter CER seg mot fysisk sikkerhet, personellsikkerhet, sikkerhet i leverandørkjeder og operasjonell robusthet i essensielle tjenester på tvers av 11 kritiske sektorer, slik som energi, bank, helse, vann og næringsmiddelproduksjon og -distribusjon. Med unntak av næringsmiddelsektoren, tilsvarer angivelsen av sektorer i CER-direktivet NIS2-direktivets angivelse av kritiske sektorer.
CER benytter en helhetlig risikotilnærming, som omfatter naturkatastrofer, ulykker, pandemier og ondsinnede villede handlinger.
Regulatorisk tidslinje
CER-direktivet ble vedtatt i EU desember 2022 og trådte i kraft i januar 2023. Medlemsstatene hadde opprinnelig en frist for innarbeidelse av CER-direktivet i nasjonal lovgivning innen 17. oktober 2024.
Direktivet oppstiller også andre frister relatert til gjennomføringen, herunder skulle medlemsstater innen 17. januar 2026:
- ha vedtatt en nasjonal strategi for robusthet for kritiske enheter
- ha gjennomført en risikovurdering for å identifisere kritiske enheter.
Virksomheter som regnes som «kritiske enheter» etter direktivet skal identifiseres senest 17. juli 2026. Når en organisasjon er utpekt som kritisk enhet, har den 10 måneder på seg til å etterleve direktivets krav.
For virksomheter i EU innebærer dette som et utgangspunkt at seneste etterlevelsesfrist er mai 2027.
Ettersom Norge er en EØS-stat, er imidlertid denne tidslinjen noe annerledes. Både CER- og NIS2-direktivet er foreløpig ikke behandlet i EØS-komiteen, noe som er en forutsetning for innlemmelse i EØS-avtalen og for at norske myndigheter skal gjennomføre direktivene i norsk rett. En slik beslutning foreligger i skrivende stund ikke, noe som skaper noen uklarheter knyttet til gjennomføringstidspunktet i norsk rett. Det er likevel ventet at direktivet vil kunne tre i kraft i løpet av 2027.
I tillegg til usikkerhet når det kommer til tidslinje, er det også uklart hvordan utpekingsmekanismene i praksis vil gjennomføres i norsk rett. Vår anbefaling er at virksomheter som opererer i en av de omfattede sektorene, og som overstiger terskelverdiene angitt i CER- og NIS2-direktivet og digitalsikkerhetsforskriften bør innrette seg etter krav og være forberedt på å bli utpekt.
For norske virksomheter som opererer internasjonalt, og særlig innenfor EU, vil man kunne måtte forholde seg til kravene allerede i tråd med de frister som gjelder for de EU-statene man opererer i.
Status for nasjonal gjennomføring
De fleste medlemsstater overholdt ikke fristen 17. oktober 2024. Som følge av dette sendte Europakommisjonen formelle varselbrev 28. november 2024, og ga gjenværende land to måneder på å rapportere gjennomføringstiltakene.
Medlemsstatene befinner seg nå på ulike stadier i implementeringen.
Eksempelvis:
- Danmark har innført Lov om kritiske enheders motstandsdyktighed (CER-loven)
- Irland gjennomførte CER-direktivet via Statutory Instrument No. 559 of 2024 – European Union (Resilience of Critical Entities) Regulations 2024.
Sektorer som omfattes
- Energi
- Transport
- Helse
- Drikkevann
- Avløpsvann
- Finansmarkedsinfrastruktur
- Bank
- Digital infrastruktur
- Offentlig forvaltning
- Storskala matproduksjon, ‑foredling og ‑distribusjon
- Romfart
Utpekingskriterier
En enhet anses som kritisk dersom:
Sentrale krav for kritiske enheter
Artikkel 9 og 10 – Samarbeid og informasjonsdeling
Kritiske enheter skal samarbeide med myndigheter og andre aktører om:
- informasjonsdeling
- øvelser
- opplæring
- beste praksis.
Artikkel 12 – Risikovurdering
Når en organisasjon er identifisert som kritisk enhet, har den 9 måneder på å gjennomføre en risikovurdering i tråd med artikkel 12. Seneste frist er 17. april 2027. Det antas at det vil angis nærmere bestemte frister ved gjennomføring av direktivet i norsk rett.
Vurderingen skal minimum dekke:
- alle relevante natur- og menneskeskapte trusler
- tverrsektorielle og grenseoverskridende risikoer
- avhengigheter og gjensidige avhengigheter
- sårbarheter i forsyningskjeder.
Kravene til risikovurdering etter CER går utover og er mer omfattende enn det vi normalt ser av risikovurderinger for norske virksomheter. Samtidig ser vi hensiktsmessigheten i å anlegge et bredere perspektiv på risikovurdering og sikkerhet enn det tradisjonelle fokuset på digitale trusler og sårbarheter. Vi anbefaler derfor at alle virksomheter, også virksomheter som ikke direkte vil omfattes av kravene, søker å innarbeide et slikt perspektiv for å få en mer helhetlig tilnærming til motstandsdyktighet.
Risikovurderingen skal oppdateres minst hvert fjerde år.
Eksisterende risikovurderinger kan gjenbrukes dersom de dekker CER-kravene og godkjennes av kompetent myndighet.
Artikkel 13 – Robusthetstiltak
Kritiske enheter må iverksette forholdsmessige tekniske, sikkerhetsmessige og organisatoriske tiltak, blant annet:
- forebygging av hendelser
- håndtering og begrensning av hendelser
- gjenoppretting og kontinuitet
- fysisk sikring av lokaler og infrastruktur
- sikkerhetsstyring av ansatte (inkl. bakgrunnssjekker)
- opplæring og bevisstgjøring
- utarbeidelse av en robusthetsplan.
Det benyttes liknende funksjonelle områder som skal oppfylles, slik som i NIST CSF, for å oppnå sikkerhet og motstandskraft: Prevent, Protect, Respond, Resist, Mitigate & Recover.
Enheten må også utpeke en kontaktperson mot myndighetene.
Artikkel 14 – Bakgrunnssjekker
CER-direktivet understreker viktigheten av god personellsikkerhet, herunder gjennom krav til gjennomføring av bakgrunnssjekk. Omfattede virksomheter skal også ta hensyn til leverandørers personell når man iverksetter tiltak for å redusere risiko på dette området. Det er ikke avklart hvordan reglene om bakgrunnssjekk vil gjennomføres i Norge, herunder om det opprettes en tilsvarende funksjon som etter sikkerhetsloven der Sivil Klareringsmyndighet har ansvaret for sivil sektor, eller om virksomheter må knytte til seg aktører i markedet eller gjennomføre undersøkelsene selv. Bruk av bakgrunnssjekk er ikke uvanlig blant kritiske virksomheter i dag, og det benyttes ofte tredjepartsleverandører for å gjennomføre undersøkelsene.
Ved gjennomføring av CER vil det komme tydeligere lovhjemler for gjennomføring av personellsikkerhetstiltak, noe som har vært en mangelvare i mange sektorer. Innføring av personellsikkerhetstiltak slik som bakgrunnssjekk og tilknytningsvurderinger aktualiserer også annet regelverk, og det er helt avgjørende at man tar hensyn både personvern, arbeidsmiljøloven og likestillings- og diskrimineringslovgivning.
Artikkel 15 – Varsling av hendelser
Kritiske enheter skal varsle myndighetene om hendelser som:
- i vesentlig grad forstyrrer
- eller kan forstyrre leveransen av essensielle tjenester.
Varslingsfrister:
- Innen 24 timer – innledende varsel
- Innen 1 måned – detaljert rapport
Dersom hendelsen også er meldepliktig etter enten NIS2 eller GDPR, fordi de enten gjelder digitale løsninger eller innebærer brudd på personopplysningssikkerhet, må virksomhetene i tillegg til ovennevnte frister også forholde seg til meldefrist på 72 timer fra man ble kjent med hendelsen.
Sanksjoner
CER krever at sanksjoner skal være:
- effektive
- forholdsmessige
- avskrekkende.
Hvordan tilsynsmyndigheters verktøykasse blir i Norge er det vanskelig å spå. Med henblikk til annet tilsvarende regelverk, slik som GDPR og NIS2, ventes det at sanksjonsregimet kan bli strengt også etter CER.
Forholdet til annet regelverk
CER er tett knyttet til:
- NIS2
- DORA.
Alle kritiske enheter under CER regnes automatisk som «essensielle» under NIS2, og er dermed underlagt et strengere tilsynsregime etter dette regelverket, særlig når det kommer til digital motstandsdyktighet og cybersikkerhet.
Avslutning
CER representerer et betydelig løft innen fysisk og operasjonell motstandsdyktighet i EU og Norge. For å lykkes må ledelsen være aktivt involvert og sikre tverrfaglig koordinering på tvers av organisasjonen.
Hvordan KPMG kan hjelpe
KPMG tilbyr helhetlig støtte gjennom:
- avklaringer av omfang
- gap‑, modenhets- og risikovurderinger
- dyp faglig innsikt i fysisk, personell- og informasjonssikkerhet
- utvikling av veikart
- implementering av tiltak som dekker hele spennet i sikkerhet og motstandskraft, fra forebyggende sikkerhet, til beredskap, og forretningskontinuitet,
- samordnet etterlevelse av CER og NIS2 og en fremtidig lov om motstandsdyktighet for samfunnsviktige tjenester med forskrifter.
Ved å samarbeide med KPMG kan organisasjoner styrke sin fysiske, operasjonelle og digitale motstandsdyktighet på en effektiv og koordinert måte.
Vi i KPMG kaller det helhetlig sikkerhet og motstandskraft, og vi har et egenutviklet verktøy for å måle modenhet for fysisk, personell- og informasjonssikkerhet som istandsetter virksomhetens ledelse å ta informerte valg om hvor risikoreduserende tiltak bør settes inn.
Kontakt oss
