CER är ett direktiv från EU inom området digital motståndskraft, där kritiska entiteter får ett större ansvar att skydda sig mot händelser i IT system som ger negativa konsekvenser för samhället. CER (2022/2557) omsätts i lokal lagstiftning i samtliga EUs medlemsstater.
CER direktivet reglerar även krav kring fysisk säkerhet och personalsäkerhet inklusive krav på utbildning av berörd personal I säkerhetsfrågor. Kraven omfattar även bakgrundskontroller för personal.
Varje medlemsstat skall besluta om de sanktioner som gäller vid brott mot kraven i CER, där direktivet tydligt pekar på att sanktioner skall vara i sådan proportion att de är avskräckande.
Den lokala lagstiftningen för CER-direktivet skall vara på plats senast 17 oktober 2024 och börja gälla senast 18 oktober 2024.
Till skillnad från NIS2-direktivet (2022/2555) är det statens ansvar att bedöma om en entitet faller under kraven i CER och därmed informera entiteten om denna bedömning. Den första initiala bedömningen av vilka entiteter som faller under CER skall vara genomförd senast 17 juli 2026.
Senast en månad efter att en entitet har bedömts vara föremål för CER-direktivet skall denna informeras om detta, informationen skall även innehålla vilka krav som ställs på entieten.
Efter detta skall löpande identifiering av kritiska entiteter genomföras samt minst vart fjärde år, om en entitet inte längre bedöms som kritisk skall denna få information om detta.
För en komplett lista av entiteter som berörs av CER se vår bilaga, det är utifrån dessa kategorier av entiteter som medlemsstaterna bedömer om en entitet är föremål för kraven i CER-direktivet.
Inom nio månader från att information har delgetts en entitet skall en fullständig riskbedömning ha genomförts som beaktar alla de risker, fysiska som logiska, som finns gentemot de funktioner som anses vara föremål för CER-direktivets krav.
Utifrån entitetens riskanalys och vid behov statens riskanalys skall åtgärder genomföras för att hantera de risker som inte bedöms vara acceptabla.
Cegals konsulter inom informations- och cybersäkerhet har erfarenhet att etablera ledningssystem för informationssäkerhet för regelefterlevnad både för NIS och andra regulatoriska regelverk.
Dessutom kan Cegals Cyber Security-experter guida och navigera dig genom detta komplexa tekniska område. Vi kan hjälpa dig att ligga steget före när det gäller att säkra din IT-infrastruktur med djupgående kunskaper om operativ teknik (OT), molninfrastruktur och plattformar, hybridlösningar och multi cloud-infrastruktur. Våra dedikerade leveransområden erbjuder ett brett utbud av säkerhetslösningar för att skydda och övervaka kritiska funktioner och säkerställa kontinuitet i verksamheten.