EU och arbetet med att stärka motståndskraften i samhällsviktig verksamhet

Enligt CER-direktivet ska medlemsstaterna säkerställa förmågan hos samhällsviktig verksamhet att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Detta ska gälla oavsett om störningen eller avbrottet har föranletts av till exempel naturolyckor, terroristattacker, pandemier eller andra allvarliga händelser.

Direktivet omfattar vissa samhällsviktiga verksamheter inom följande sektorer:

• Energiförsörjning
• Finansiella tjänster
• Hälsa, vård och omsorg
• Livsmedelsförsörjning och dricksvatten
• Transport

Dessutom vissa delar av:

• Offentlig förvaltning
• Industri
• Forskning

CER-direktivet

Vad är ett EU-direktiv?

Ett direktiv är en typ av bindande rättsakt som kan antas av Europeiska unionens institutioner. Ett direktiv är bindande för unionens medlemsstater med avseende på det resultat som de ska uppnå, men överlåter åt de nationella myndigheterna att bestämma tillvägagångssättet för genomförandet.

Vad är CER-direktivet?

CER-direktivet (Directive on the resilience of critical entities) ställer krav på åtgärder för att stärka motståndskraften i viss samhällsviktig verksamhet. Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.

Dessa verksamheter bedrivs både av privat och offentlig sektor.
EU:s ministerråd har därmed beslutat ett nytt direktiv för att effektivt skydda EU-invånare genom att minska sårbarheter när det gäller den samhällsviktiga verksamheten vilket är avgörande för samhällets och ekonomins funktion.

I Sverige kommer en statlig offentlig utredning (SOU) att tillsättas för att omsätta EU-direktivet i svensk lagstiftning. Direktivet är ett s.k. minimidirektiv vilket ger medlemsstaterna möjlighet att lägga till sektorer och Viktiga samhällsfunktioner i den nationella regleringen. CER- och NIS-direktiven kompletterar varandra då NIS-direktivet reglerar det systematiska informationssäkerhetsarbetet även i samhällsviktig verksamhet som identifieras under CER-direktivet.

Vad omfattar förslaget?

1. Varje medlemsstat ska ta fram en nationell strategi för att öka motståndskraften hos samhällsviktig verksamhet. Strategin ska innehålla mål och prioriteringar. Den ska även inkludera ett ramverk inklusive en beskrivning av roller och ansvar för de olika myndigheterna som deltar i genomförandet av strategin. Vidare ska en beskrivning av de åtgärder som är nödvändiga för att stärka motståndskraften, inklusive en nationell riskbedömning och identifiering av samhällsviktig verksamhet, samt de åtgärder som vidtagits för att stödja de samhällsviktiga verksamheterna enligt direktivet.
2. Medlemsstaterna ska också göra en nationell riskbedömning och redovisa vilka typer av risker som har identifierats och resultatet av riskbedömningarna per sektor och undersektor i direktivet.
3. Tillhandahållare av samhällsviktig verksamhet ska identifieras för varje sektor och delsektor ska medlemsstaterna identifiera alla aktörer som bedriver samhällsviktig verksamhet. I identifiering ingår en bedömning av betydande konsekvenser vid ett bortfall av en samhällsviktig verksamhet utifrån bland annat antal användare som berörs, ekonomiska konsekvenser, geografiska konsekvenser och beroenden till andra samhällsviktiga verksamheter.
4. En eller flera behöriga myndigheter ska utses med ansvar att direktivet implementeras och med mandat att verkställa regleringen enligt direktivet. En behörig myndighet ska också pekas ut som nationell kontaktpunkt för arbetet gentemot EU KOM och andra medlemsländer.
5. Den utpekade samhällsviktiga verksamheten ska enligt direktivet säkerställa att lämpliga och proportionella tekniska, organisatoriska och säkerhetsmässiga åtgärder för att säkerställa sin motståndskraft har vidtagits. Exempel på detta är tillfredsställande fysiskt skydd, förmåga att återhämta sig efter incidenter och ändamålsenlig rutiner för personalsäkerhet.
6. Incidenter som har eller kan medföra betydande störning ska utan onödigt dröjsmål rapporteras till den behöriga myndigheten.
7. Samhällsviktig verksamhet som tillhandahåller tjänster till eller i minst sex medlemsstaterna ska kunna pekas ut som samhällsviktig verksamhet av europeisk betydelse och kan få särskilt stöd av kommissionen och följas upp på EU-nivå.
8. EU KOM ska ge stöd till medlemsstaterna och den samhällsviktiga verksamheten för att kunna uppfylla sina skyldigheter enligt direktivet.

9. En ny arbetsgrupp för motståndskraft i samhällsviktig verksamhet (CERG) har inrättats med syftet att stödja och underlätta strategiskt samarbete och informationsutbyte om frågor som rör direktivet. CERG ersätter dagens CIP-POC expertgrupp inom EPCIP programmet.

Hur påverkas samhällsviktiga verksamheter av CER-direktivet?

Implementeringen av CER direktivet håller på att beredas i Regeringskansliet, när lag, förordning och föreskrifter finns så börjar regleringen att gälla i Sverige. MSB kommer att kunna ge mer detaljerad information under hösten 2025.

MSB har redan idag ett omfattande stödmaterial för identifiering av samhällsviktig verksamhet samt åtgärder för att stärka motståndskraften genom kontinuitetshantering, informationssäkerhet, personalförsörjning samt utbildning och övning.