Klimaet har hedeslag, naturkatastroferne står i kø, og der er krig i Europa på andet år. Med andre ord er der ifølge DBI masser af ting, som kan potentielt kan påvirke vigtige sektorer som bl.a. energi, transport, telekommunikation og sundhed.

Set i bakspejlet var der derfor tale om rettidig omhu, da Europa-Kommissionen i december 2020 fremsatte et forslag til et direktiv om kritiske enheders modstandsdygtighed. Critical Entities Resilience Directive (CER) trådte i kraft i starten af 2023 sammen med NIS2-direktivet, som det da også har mange ligheder med, og EU har givet medlemslandene frist til midten af oktober 2024 til at udmønte CER nationalt. I Danmark har forsvarsministeriet dog meldt ud, at man ikke når at få lovgivningen på plads inden oktober 2024, og at danske virksomheder derfor tidligst skal leve op til kravene fra en gang i 2025.

- Hvor NIS2 primært handler om cyber- og informationssikkerhed, fokuserer CER på kritisk infrastruktur –både analog og digital – hvad angår f.eks. naturkatastrofer, sabotage og disruption af forsyningskæder. Formålet er at styrke modstandsdygtigheden i den kritiske infrastruktur i EU. CER skal sikre, at vigtige sektorer er i stand til at modstå og reagere på forskellige former for kriser og dermed beskytte samfundet og opretholde kontinuiteten i vitale tjenester og funktioner, forklarer Rami Ezzeddine, der er sikkerhedsrådgiver hos DBI.

Risikovurderinger og rapportering

Som nævnt skal CER først udmøntes i Danmark, men ifølge Rami Ezzeddine er der stor sandsynlighed for, at det vil kræve regelmæssige risikovurderinger hos virksomheder i sektorer, som er omfattet af direktivet. Desuden skal der ske løbende rapportering til relevante myndigheder, så der er en form for kontrol af de foranstaltninger, som træffes for at øge modstandsdygtigheden. Dertil kommer formentlig udarbejdelsen af beredskabsplaner.

- Det bliver interessant at se, hvor vidtrækkende implementeringen af direktivet bliver i Danmark. Om f.eks. virksomheder inden for fødevaresektoren vil omfatte leverandører af mad til plejehjem eller Forsvaret. Der er potentielt en hel underskov af SMV’er, som også bliver påvirket af CER, siger Rami Ezzeddine.

Særligt direktiv for finansielle enheder

Rami Ezzeddine oplyser, at CER og NIS2 er to ud af tre EU-direktiver. Parallelt med CER og NIS2 er der nemlig også et særligt Digital Operations Resilience Act (DORA), som skal styrke it-sikkerheden for finansielle enheder som banker, forsikringsselskaber og investeringsselskaber.

Fakta om CER

Critical Entities Resilience Directive (CER) skal styrke modstandsdygtigheden (resiliensen) i den kritiske infrastruktur i EU.

Kritiske enheder er enheder, der leverer væsentlige tjenester, som er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundheden, den offentlige sikkerhed og miljøet. De skal kunne identificere, forebygge, beskytte mod, reagere på, håndtere og komme på fode igen efter hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Visse centrale offentlige forvaltninger vil også være omfattet af visse bestemmelser i udkastet til direktiv.

EU-medlemslandene skal have en national strategi for at identificere de kritiske enheder, der leverer væsentlige tjenester, øge deres modstandsdygtighed og foretage en risikovurdering mindst hvert 4. år.

CER omfatter sektorerne energi, transport, bankvæsen, finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig administration, rumfart og fødevarer.

Kilde: DBI