14 grudnia 2022 roku w Unii Europejskiej wraz z dyrektywą NIS 2 (w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii) przyjęta została dyrektywa CER (w sprawie odporności podmiotów krytycznych). Ma ona na celu zwiększenie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym. Poniżej znajdują się podstawowe informacje na temat dyrektywy, natomiast szczegółowe opracowanie dostępne jest w formacie pdf pod tekstem.
Podstawowe informacje
- Dyrektywa CER ma na celu zwiększenie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym.
- Wraz z dyrektywą NIS 2 tworzą one komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.
- Dyrektywa CER reguluje przede wszystkim obowiązki państw członkowskich poprzez ustanowienie krajowych ram dotyczących odporności podmiotów krytycznych.
- W załączniku do dyrektywy wymieniono jedenaście sektorów, w ramach których będą wyznaczane podmioty krytyczne.
- W stosunku do wcześniejszych uregulowań dotyczących infrastruktury krytycznej zmienił się sposób i mechanizm identyfikowania podmiotów krytycznych. Wprowadzono trzy kryteria, które muszą być spełnione przez podmiot łącznie, a dodatkowo bierze się pod uwagę strategię państwa w zakresie odporności podmiotów krytycznych i ocenę ryzyka państwa członkowskiego.
- Uznanie za podmiot krytyczny następuje w drodze decyzji państwa członkowskiego.
- W CER znalazły się również obowiązki dla podmiotów krytycznych. Muszą one wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
- Dyrektywa wprowadza również możliwość sprawdzania przeszłości osób, które pełnią newralgiczne role w podmiocie krytycznym lub na jego rzecz, lub posiadają dostęp do jego budynków i terenów.
- W dyrektywie znajduje się szczególna kategoria podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
- Organy właściwe na podstawie dyrektywy CER otrzymały możliwość skorzystania z dwóch rodzajów środków nadzoru: przeprowadzania kontroli oraz przeprowadzania lub zlecania audytów. Wyposażone zostały również w środki egzekwowania przepisów.
- Dyrektywa przewiduje możliwość stosowania sankcji wobec podmiotów krytycznych, które naruszają obowiązki, ale ich rodzaj pozostawiono w gestii państw członkowskich.