CER- direktivet
CER‑direktivet antogs av EU 2022 och syftar till att stärka motståndskraften hos kritiska verksamhetsutövare på den inre marknaden. I Sverige ska direktivet införas genom en ny lag: Lagen om motståndskraft hos kritiska verksamhetsutövare, som förväntas träda i kraft under 2026.
Läs om CER-direktivet på mcf.se
-
- Transportstyrelsen är tillsynsmyndighet för transportsektorn.
-
- Myndigheten kommer att peka ut kritiska verksamhetsutövare inom luft, vatten, järnväg, väg och kollektivtrafik.
-
- Fokus ligger på företag med minst 50 anställda eller en omsättning över 10 miljoner euro.
-
- Företag som levererar samhällsviktiga tjänster i sex eller fler EU‑länder ska själva anmäla detta till tillsynsmyndigheten.
Företag som pekas ut får flera nya skyldigheter:
-
- Riskbedömning inom nio månader från utpekandet.
-
- Nödvändiga och proportionerliga åtgärder för att stärka motståndskraften.
-
- Incidentrapportering till tillsynsmyndigheten.
-
- Kontroll av personal i samhällskritiska befattningar, inklusive identitetskontroll och utdrag ur belastningsregistret.
Sanktionsavgifterna är kännbara: minst 5 000 kronor, och upp till 2 procent av global omsättning eller 10 miljoner euro – det högsta beloppet gäller.
-
- Ett företag som pekas ut omfattas automatiskt av Cybersäkerhetslagen.
-
- Säkerhetsskyddslagen har företräde framför både CER‑lagstiftningen och Cybersäkerhetslagen.
-
- Om endast delar av verksamheten omfattas av säkerhetsskydd kan övriga delar ändå omfattas av CER‑ och cybersäkerhetskrav