Dyrektywa CER – unijne wzmocnienie ochrony infrastruktury krytycznej

14 grudnia 2022 roku w Unii Europejskiej wraz z dyrektywą NIS 2 (w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii) przyjęta została dyrektywa CER (w sprawie odporności podmiotów krytycznych). Ma ona na celu zwiększenie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym. Poniżej znajdują się podstawowe informacje na temat dyrektywy, natomiast szczegółowe opracowanie dostępne jest w formacie pdf pod tekstem.

Podstawowe informacje

 • Dyrektywa CER ma na celu zwiększenie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym.
 • Wraz z dyrektywą NIS 2 tworzą one komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.
 • Dyrektywa CER reguluje przede wszystkim obowiązki państw członkowskich poprzez ustanowienie krajowych ram dotyczących odporności podmiotów krytycznych.
 • W załączniku do dyrektywy wymieniono jedenaście sektorów, w ramach których będą wyznaczane podmioty krytyczne.
 • W stosunku do wcześniejszych uregulowań dotyczących infrastruktury krytycznej zmienił się sposób i mechanizm identyfikowania podmiotów krytycznych. Wprowadzono trzy kryteria, które muszą być spełnione przez podmiot łącznie, a dodatkowo bierze się pod uwagę strategię państwa w zakresie odporności podmiotów krytycznych i ocenę ryzyka państwa członkowskiego.
 • Uznanie za podmiot krytyczny następuje w drodze decyzji państwa członkowskiego.
 • W CER znalazły się również obowiązki dla podmiotów krytycznych. Muszą one wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
 • Dyrektywa wprowadza również możliwość sprawdzania przeszłości osób, które pełnią newralgiczne role w podmiocie krytycznym lub na jego rzecz, lub posiadają dostęp do jego budynków i terenów.
 • W dyrektywie znajduje się szczególna kategoria podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
 • Organy właściwe na podstawie dyrektywy CER otrzymały możliwość skorzystania z dwóch rodzajów środków nadzoru: przeprowadzania kontroli oraz przeprowadzania lub zlecania audytów. Wyposażone zostały również w środki egzekwowania przepisów.
 • Dyrektywa przewiduje możliwość stosowania sankcji wobec podmiotów krytycznych, które naruszają obowiązki, ale ich rodzaj pozostawiono w gestii państw członkowskich.
TAGI Analizy, Dyrektywy, Prawo, Strategia, Unia Europejska,