CER er et EU-direktiv inden for digital modstandsdygtighed, hvor kritiske enheder får et større ansvar for at beskytte sig mod hændelser i IT-systemer, der kan have negative konsekvenser for samfundet. CER (2022/2557) implementeres i lokal lovgivning i alle EU-medlemsstater.
CER-direktivet regulerer også krav til fysisk sikkerhed og personalesikkerhed, herunder krav til uddannelse af berørt personale i sikkerhedsforhold. Kravene omfatter også baggrundstjek af personale.
Hvert medlemsland skal tage stilling til, hvilke sanktioner der gælder i tilfælde af overtrædelse af kravene i CER, hvor direktivet klart angiver, at sanktioner skal være i et sådant forhold, at de er afskrækkende.
Den lokale lovgivning for CER-direktivet skal være på plads senest den 17. oktober 2024 og træde i kraft senest den 18. oktober 2024.
I modsætning til NIS2-direktivet (2022/2555) er det statens ansvar at vurdere, om en enhed falder under kravene i CER og dermed at informere enheden om denne vurdering. Den første indledende vurdering af, hvilke enheder der falder ind under CER, skal være afsluttet senest den 17. juli 2026.
Senest en måned efter, at en virksomhed er vurderet til at være omfattet af CER-direktivet, skal den oplyses herom. Informationen skal også indeholde, hvilke krav der stilles til virksomheden.
Ifølge CER-direktivet skal hvert enkelt medlemsland foretage en risikovurdering mindst hvert fjerde år og identificere de kritiske enheder, der leverer væsentlige tjenester. Hvis en enhed ikke længere anses for at være kritisk, skal den informeres om dette
For en fuldstændig liste over enheder, der er omfattet af CER, se vores bilag >
Det er ud fra disse kategorier af enheder, at medlemsstaterne vurderer, om en enhed er omfattet af kravene i CER-direktivet.
Inden for ni måneder efter, at oplysningerne er givet til en enhed, skal der være foretaget en fuldstændig risikovurdering, der tager højde for alle de fysiske og logiske risici, der eksisterer i forhold til de funktioner, der anses for at være underlagt kravene i CER-direktivet.
På baggrund af virksomhedens risikoanalyse og i givet fald statens risikoanalyse skal der iværksættes tiltag til at håndtere de risici, der ikke vurderes til at være acceptable.
Cegals konsulenter inden for informations- og cybersikkerhed har erfaring med at etablere styringssystemer til informationssikkerhed til regulatorisk overholdelse både for NIS og andre regulatoriske rammer.
Desuden kan Cegals eksperter inden for cybersikkerhed guide og navigere dig gennem dette komplekse tekniske område. Vi kan hjælpe dig med at være et skridt foran, når det kommer til at sikre din IT-infrastruktur med dybdegående viden om driftsteknik (OT), cloud-infrastruktur og platforme, hybridløsninger og multi-cloud-infrastruktur. Vores dedikerede leveringsområder tilbyder et bredt udvalg af sikkerhedsløsninger til at beskytte og overvåge kritiske funktioner og sikre kontinuitet i virksomheden. Læs om Business Continuity Plan (BCP) her