Två steg: sektor först, sedan utpekning

Att avgöra om CER gäller dig sker i två steg. Först: tillhör verksamheten en av de elva sektorerna och tillhandahåller den en samhällsviktig tjänst? Sedan: pekas entiteten ut som kritisk av medlemsstaten? Båda måste vara uppfyllda för att de fulla CER-skyldigheterna ska aktiveras.

Det skiljer CER från NIS2. Under NIS2 omfattas en entitet i regel automatiskt om den når en viss storlek inom en relevant sektor (size-cap-regeln). Under CER görs i stället en aktiv utpekning av varje kritisk entitet, baserad på en nationell riskbedömning. Du blir alltså inte kritisk entitet bara genom att passera en omsättningsgräns; medlemsstaten fattar ett beslut.

De elva CER-sektorerna

CER-bilagan listar elva sektorer med tillhörande typer av entiteter. Sektorerna speglar i hög grad NIS2:s sektorer, vilket är avsiktligt, eftersom direktiven antogs som ett par.

SektorExempel på entiteter
EnergiEl, fjärrvärme och fjärrkyla, olja, gas, vätgas
TransportLuft-, järnvägs-, sjö- och vägtransport
BankverksamhetKreditinstitut enligt unionsrätten
FinansmarknadsinfrastrukturHandelsplatser, centrala motparter
Hälso- och sjukvårdVårdgivare, laboratorier, vissa läkemedelsaktörer
DricksvattenLeverantörer av dricksvatten för mänsklig konsumtion
AvloppsvattenInsamling, bortledning och rening av avloppsvatten
Digital infrastrukturIXP, DNS, molntjänster, datacenter
Offentlig förvaltningVissa statliga myndigheter enligt nationell utpekning
RymdenDrift av markbaserad infrastruktur för rymdtjänster
LivsmedelProduktion, bearbetning och distribution i större skala
Avloppsvatten och offentlig förvaltning lades till i CER och NIS2 jämfört med de äldre regelverken. Livsmedel avser produktion, bearbetning och distribution i större skala, inte enskilda butiker eller mindre producenter.

Vad är en samhällsviktig tjänst?

Nyckelbegreppet i CER är samhällsviktig tjänst. Det är en tjänst som är avgörande för att upprätthålla kritiska samhällsfunktioner, ekonomisk verksamhet, folkhälsa, säkerhet eller miljö. En entitet kan bara pekas ut som kritisk om den tillhandahåller en sådan tjänst.

Medlemsstaten upprättar en förteckning över samhällsviktiga tjänster inom de elva sektorerna. Förteckningen blir referenspunkten för den nationella riskbedömningen och för vilka entiteter som kan komma i fråga för utpekning. Det är därför själva tjänsten, inte enbart bolagsformen eller branschkoden, som styr.

  • Avgörande för samhällsfunktioner. Tjänsten upprätthåller funktioner som samhället är beroende av.
  • Effekt vid störning. En störning skulle få betydande negativa konsekvenser för funktion, ekonomi, hälsa, säkerhet eller miljö.
  • Beroenden. Tjänster med många nedströmsberoenden väger tyngre i bedömningen.

Storlekskriterier och tröskelvärden

CER innehåller inte en enda generell storleksgräns på samma sätt som NIS2:s size-cap. I stället väger medlemsstaten in flera faktorer i den nationella riskbedömningen när den avgör vilka entiteter som är kritiska. Storlek och marknadsandel är en av dessa faktorer, men inte den enda.

  • Antal användare som är beroende av tjänsten. Ju fler som påverkas av en störning, desto större vikt.
  • Geografiskt område som påverkas. En tjänst med nationell eller regional räckvidd väger tyngre än lokal.
  • Beroenden mellan sektorer. En entitet vars störning slår mot andra sektorer värderas högre.
  • Effektens allvar och varaktighet. Hur djupt och hur länge en störning skulle slå mot samhällsviktiga funktioner.
  • Marknadsandel. Entitetens betydelse för leveransen av tjänsten inom sektorn.
Eftersom det inte finns en enkel size-cap kan även en medelstort bolag pekas ut, om dess tjänst är systemviktig och svår att ersätta. Omvänt kan ett stort bolag falla utanför om dess tjänst inte är samhällsviktig i CER:s mening.

Hur medlemsstaterna pekar ut kritiska entiteter

Utpekningen följer en kedja som direktivet lägger fast. Medlemsstaten ansvarar för varje steg, men den utpekade entiteten har egna skyldigheter när beslutet väl är fattat.

  • Nationell resiliensstrategi. Medlemsstaten antar en strategi för kritiska entiteters motståndskraft.
  • Nationell riskbedömning. En bedömning av relevanta risker mot tillhandahållandet av samhällsviktiga tjänster, inklusive sektorsövergripande beroenden och beroenden mot andra medlemsstater.
  • Utpekning. Medlemsstaten identifierar konkreta kritiska entiteter inom varje sektor utifrån riskbedömningen och fastställda kriterier.
  • Besked till entiteten. Den utpekade entiteten underrättas och får en tidsfrist för att uppfylla skyldigheterna.
  • Skyldigheterna aktiveras. Egen riskbedömning, resiliensåtgärder, incidentrapportering och kontaktpunkt mot myndighet träder i kraft.

Entiteter av särskild europeisk betydelse

CER inför en särskild kategori: kritiska entiteter av särskild europeisk betydelse. Det är entiteter som tillhandahåller samhällsviktiga tjänster till eller i sex eller fler medlemsstater. För dessa kan kommissionen, på begäran, anordna rådgivande uppdrag för att bedöma de åtgärder entiteten vidtagit.

För de flesta svenska entiteter är detta inte den relevanta kategorin; det rör i praktiken ett mindre antal stora, gränsöverskridande aktörer. Men det illustrerar att CER har en gränsöverskridande dimension som speglar hur beroenden i dag sträcker sig över nationsgränser.

Skillnaden mot NIS2:s entitetsklasser

NIS2 delar in omfattade aktörer i väsentliga och viktiga entiteter, med olika tillsynsintensitet och i regel en automatisk size-cap-mekanik. CER arbetar i stället med aktiv utpekning av kritiska entiteter. Det är två olika sätt att fånga ungefär samma population av samhällsviktiga aktörer.

DimensionCERNIS2
Hur omfattning avgörsAktiv utpekning av medlemsstatenI regel automatiskt via size-cap
KlasserKritiska entiteterVäsentliga och viktiga entiteter
BedömningsgrundNationell riskbedömning av samhällsviktig tjänstSektor plus storlek (med undantag)
AktiveringNär entiteten underrättas om utpekningNär entiteten når tröskeln i relevant sektor
HotbildFysisk och operativ resiliensCybersäkerhet
I praktiken är en utpekad kritisk entitet under CER mycket ofta också väsentlig eller viktig under NIS2. Att kartlägga den ena statusen ger dig ett försprång på den andra. Se [CER och NIS2: så hänger de ihop](/cer/nis2-overlapp).

Så avgör du om CER kan gälla dig

Du kan göra en första bedömning själv, även innan en formell utpekning. Den ger dig tid att förbereda stommen i stället för att starta från noll när beskedet kommer.

  • Steg 1. Identifiera om din tjänst är en samhällsviktig tjänst i någon av de elva sektorerna.
  • Steg 2. Uppskatta effekten av en störning: antal påverkade, geografisk räckvidd, beroenden, varaktighet.
  • Steg 3. Jämför mot din NIS2-status. Är du väsentlig eller viktig under NIS2 är sannolikheten hög att CER också blir relevant.
  • Steg 4. Bygg stommen nu: riskregister, beroenderegister och kontinuitetsplan tjänar både CER och NIS2.