Dyrektywa CER – unijne wzmocnienie ochrony infrastruktury krytycznej

1 rok temu

14 grudnia 2022 roku w Unii Europejskiej wraz z dyrektywą NIS 2 (w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii) przyjęta została dyrektywa NIS 2 (w sprawie odporności podmiotów krytycznych). Ma ona na celu zwiększenie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym. Poniżej znajdują się podstawowe informacje na temat dyrektywy, natomiast szczegółowe opracowanie dostępne jest w formacie pdf pod tekstem.

Podstawowe informacje

  • Dyrektywa CER ma na celu zwiększenie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym.
  • Wraz z dyrektywą NIS 2 tworzą one komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.
  • Dyrektywa CER reguluje przede wszystkim obowiązki państw członkowskich poprzez ustanowienie krajowych ram dotyczących odporności podmiotów krytycznych.
  • W załączniku do dyrektywy wymieniono jedenaście sektorów, w ramach których będą wyznaczane podmioty krytyczne.
  • W stosunku do wcześniejszych uregulowań dotyczących infrastruktury krytycznej zmienił się sposób i mechanizm identyfikowania podmiotów krytycznych. Wprowadzono trzy kryteria, które muszą być spełnione przez podmiot łącznie, a dodatkowo bierze się pod uwagę strategię państwa w zakresie odporności podmiotów krytycznych i ocenę ryzyka państwa członkowskiego.
  • Uznanie za podmiot krytyczny następuje w drodze decyzji państwa członkowskiego.
  • W CER znalazły się również obowiązki dla podmiotów krytycznych. Muszą one wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
  • Dyrektywa wprowadza również możliwość sprawdzania przeszłości osób, które pełnią newralgiczne role w podmiocie krytycznym lub na jego rzecz, lub posiadają dostęp do jego budynków i terenów.
  • W dyrektywie znajduje się szczególna kategoria podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
  • Organy adekwatne na podstawie dyrektywy CER otrzymały możliwość skorzystania z dwóch rodzajów środków nadzoru: przeprowadzania kontroli oraz przeprowadzania lub zlecania audytów. Wyposażone zostały również w środki egzekwowania przepisów.
  • Dyrektywa przewiduje możliwość stosowania sankcji wobec podmiotów krytycznych, które naruszają obowiązki, ale ich rodzaj pozostawiono w gestii państw członkowskich.
Dyrektywa-CER-opracowanie-pelne-1Pobierz
Idź do oryginalnego materiału