Regeringens implementeringsplan
Indflyvningstekst
Direktivet har til formål at øge kritiske enheders modstandsdygtighed, således at de er bedre i stand til at håndtere risiciene for deres drift, som kunne føre til forstyrrelse i leveringen af væsentlige tjenester. Enheder, der leverer væsentlige tjenester, herunder samfundsvigtige ydelser såsom elproduktion, og levering af drikkevand, og i øvrigt opfylder kriterierne i artikel 6 for at blive betragtet som kritiske enheder, skal således i medfør af direktivet styrke deres evne til at forebygge, reagere på, modstå, afbøde og komme på fode igen efter hændelser, der har potentiale til at forstyrre leveringen af væsentlige tjenester.
Direktivet bygger videre på og ophæver det nuværende direktiv om europæisk kritisk infrastruktur (ECI-direktivet, Rådets direktiv 2008/114/EF af 8. december 2008).
Konsekvenser for erhvervslivet
CER-direktivets anvendelsesområde:
Direktivet finder anvendelse for de kritiske enheder, som hver medlemsstat identificerer inden for bilagets 52 enhedskategorier fordelt på 11 sektorer.
CER-direktivet omfatter følgende sektorer:
• Energi
• Transport
• Bankvirksomhed
• Finansiel markedsinfrastruktur
• Sundhed
• Drikkevand
• Spildevand
• Digital infrastruktur
• Offentlig forvaltning
• Rummet
• Produktion, tilvirkning og distribution af fødevarer
Ved medlemsstaternes identifikation af kritiske enheder, anvender medlemsstaterne efter artikel 6 følgende kriterier (1) leverer enheden en eller flere væsentlige tjenester, (2) opererer enheden og er dens kritiske infrastruktur beliggende på medlemsstatens område, og (3) vil en hændelse have betydelig forstyrrende virkning på enhedens levering af en eller flere væsentlige tjenester eller på levering af andre væsentlige tjenester, som er afhængige af denne tjeneste.
Det fremgår af direktivets artikel 2, nr. 5, at væsentlige tjenester forstås som: En tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.
Medlemsstaterne opstiller senest den 17. juli 2026 en liste over identificerede kritiske enheder. De identificerede enheder underrettes senest en måned efter deres identificering. Listen ajourføres mindst hvert fjerde år, således at det sikres, at reglerne alene omfatter kritiske enheder (artikel 6, stk. 5). Det vil således kunne ændre sig over tid, hvilke og hvor mange virksomheder, som omfattes af reguleringen.
Kravene til de kritiske enheder:
Kritiske enheder skal udarbejde en risikovurdering, som vurderer alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester. Risikovurderingen skal revideres, når det er nødvendigt og mindst hvert fjerde år (artikel 12).
Det følger af direktivets artikel 13, at medlemsstaterne skal stille krav om gennemførelsen af konkrete modstandsdygtighedsforanstaltninger. Desuden stilles der krav om underretning om hændelser, der enten aktuelt eller potentielt forstyrrer leveringen af væsentlige tjenester (artikel 15). De identificerede kritiske enheder vil i medfør af direktivets artikel 17 skulle pålægges at orientere myndighederne, hvis de leverer væsentlige tjenester til eller i seks eller flere medlemsstater med henblik på at kunne identificere kritiske enheder af særlig europæisk betydning.
Kritiske enheder i sektorerne bankvæsen, finansiel markedsinfrastruktur og digital infrastruktur vil i medfør af direktivet ikke skulle omfattes af en række af direktivets krav. De vil således ikke skulle omfattes af kravet om at foretage risikovurderinger, overholdelse af konkrete modstandsdygtighedsforanstaltninger, og om at underrette myndigheder om konkrete hændelser, samt regler om tilsyn og sanktion (artikel 8). Dette skal ses i lyset af, at kritiske enheder inden for disse sektorer vil være omfattet af anden EU-regulering, der som minimum indeholder tilsvarende forpligtelser.
Afhængig af de kritiske enheders nuværende sikkerhedsniveau samt ændringer i trusselsbilledet, kan direktivet således få væsentlige økonomiske konsekvenser for enhederne (administrative konsekvenser over 4 mio. kr. og øvrige efterlevelsesomkostninger over 10 mio. kr.). Det nærmere indhold af foranstaltningerne vil blive fastlagt under hensyntagen til de særlige forhold, der måtte gøre sig gældende for de enkelte sektorer.
Metode til implementering
Implementeringen af direktivet vil kræve udarbejdelse af nye love og bekendtgørelser, ligesom det må forventes, at gældende danske regler, der implementerede ECI-direktivet, skal ændres eller ophæves.
Inddragelse af interessenter
Der er opmærksomhed på, at direktivet kan have væsentlige konsekvenser for erhvervslivet.
Det er forventningen, at der forud for den offentlige høring vil ske en passende inddragelse af erhvervslivet, eksempelvis ved præhøring af relevante erhvervs- og interesseorganisationer.
Undersøgelse af implementering i andre EU-lande
I medfør af direktivets artikel 19 nedsættes der en Gruppe for Kritiske Enheders Modstandsdygtighed (CERG), som består af repræsentanter for medlemsstaterne og Kommissionen.
CERG har bl.a. til opgave at udveksle bedste praksis ift. eksempelvis nationale strategier, medlemsstaternes identifikation af kritiske enheder og underretning om hændelser.
Danmark vil deltage aktivt i samarbejdsgruppen med henblik på gennem videndeling og koordination at bidrage til, at der i videst muligt omfang sker en ensartet implementering på tværs af medlemsstaterne, herunder ved fastsættelsen af modstandsdygtighedsforanstaltninger.
Særlige hensyn i dansk kontekst
Der er på nuværende tidspunkt ikke identificeret særlige hensyn i dansk kontekst, der skal tages højde for i forbindelse med implementeringen af CER-direktivet.
Anbefaling
Forummets bemærkninger til implementeringsplanen
Sammenfattende eller overordnede bemærkninger
Erhvervslivets EU- og Regelforum takker for den fremsendte implementeringsplan. Regelforum vil gerne, indledende, konstatere man er forstående over for nødvendigheden af at ændre tilgangen fra direktiv 2008/114/EF, som bl.a. har været gældende for kritisk infrastruktur på søfartsområdet, til en bredere sikring af kritiske enheders modstandsdygtighed.
Erhvervslivets EU- og Regelforum har derudover følgende anbefalinger og bemærkninger til de konkrete punkter i implementeringsplanen.
Konsekvenser for erhvervslivet
Regelforum anbefaler at der ikke, med CER-direktivet, indføres yderligere krav til foranstaltninger på søtransportsområdet og for havneterminaler, der medfører unødige administrative byrder eller udfordrer transportkædernes effektivitet, end de krav som allerede er fastlagt i forordning 725/2004. 725/2004 bygger på international lovgivning om Koden for sikring af skibe og havnefaciliteter, og Regelforum anbefaler at sikkerhedsniveau og regler i 725/2024 skal fastholdes for søtransporten. Dertil, så bør den nuværende praksis, hvor medlemsstater identificerer kritiske enheder baseret på en national risikovurdering fastholdes, da der kan være en forskel i medlemsstaternes risikovurdering.
Metode til implementering
Regelforum anbefaler at det, inden implementering, gøres tydeligt hvilke love og bekendtgørelser der forventes at implementere direktivet, samt hvilke danske regler man forventer at skulle ophæve eller ændre.
Inddragelse af interessenter
Regelforum bemærker at dets medlemmer gerne deltager i det efterfølgende implementeringsarbejde.
Undersøgelse af implementering i andre EU-lande
Regelforum anbefaler en aktiv dansk deltagelse omkring videndeling og koordination, for at bidrage til, at der i videst muligt omfang sker en ensartet implementering på tværs af medlemsstaterne, samtidig med at det erindres der kan være forskellige nationale risikovurderinger.