Direktiv om kritiske enheters motstandsdyktighet
EØS-notat offentliggjort 25.10.2023
Tidligere
- Europaparlaments- og rådsdirektiv publisert i EU-tidende 27.12.2022
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 25.10.2023)
Sammendrag av innhold
Bakgrunn og formål
Direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet) skal erstatte direktiv 2008/114/EF om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet). CER-direktivet er en del av en større pakke av tiltak, hvor også direktiv (EU) 2022/2555 om tiltak for et høyt felles sikkerhetsnivå for digital sikkerhet i Unionen (NIS2-direktivet) inngår.
Bakgrunnen for CER-direktivet er blant annet Europakommisjonens evaluering fra 2019 av EPCIP-direktivet. Direktivets begrensede virkeområde (energisektoren og transportsektoren), ulik praktisering av direktivet i medlemslandene (for eksempel vurderes sammenlignbare virksomheter som kritiske i noen medlemsland, men ikke i andre) og utviklingen i risikobildet, ble pekt på som viktige grunner til at dagens ramme for beskyttelse av kritisk infrastruktur ikke er tilstrekkelig for å takle utfordringene som virksomheter med kritisk samfunnsfunksjon står overfor.
Formålet med CER-direktivet er å sikre leveransen av tjenester i det indre marked, som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter, og å styrke motstandskraften til enheter som tilbyr slike tjenester. Direktivet gjenspeiler prioriteringene i Europakommisjonens strategi for EUs sikkerhetsunion, hvor det oppfordres til en endret tilnærming til motstandsdyktighet i kritiske samfunnsfunksjoner, som bedre gjenspeiler nåværende og forventet fremtidig trussel- og risikobilde. Direktivet har tett tilknytning til andre EU-initiativer innen klimatilpasning, sivilbeskyttelse, cybersikkerhet og regler om finansielle tjenester, og er særlig avstemt med NIS2-direktivet, som skal sikre et felles cybersikkerhetsnivå i EU.
Medlemslandene skal sikre en koordinert gjennomføring av CER-direktivet og NIS2-direktivet. Etter direktivene skal nødvendige nasjonale regelverksendringer være på plass innen 17. oktober 2024, og tre i kraft dagen etter.
CER-direktivet innebærer store endringer i forhold til EPCIP-direktivet, både m.h.t. virkeområdet og forpliktelser for medlemslandene og kritiske enheter. Mens EPCIP-direktivet kun omfatter sektorene energi og transport, vil CER-direktivet også gjelde følgende sektorer: bankvesen, finansmarkedsinfrastruktur, helse, drikkevann, avløpsvann, digital infrastruktur, deler av offentlig forvaltning, det ytre rom ("space") og matforsyning.
CER-direktivet pålegger medlemslandene å utarbeide en strategi for hvordan de skal styrke kritiske enheters motstandskraft. I tillegg skal de utarbeide en oversikt over samfunnskritiske tjenester og gjennomføre regelmessige risikovurderinger. På bakgrunn av risikovurderinger skal medlemslandene identifisere kritiske enheter i spesifikke sektorer og undersektorer. Dette skal blant annet gjøres ved hjelp av felles EU-kriterier. Kritiske enheter pålegges på sin side å gjennomføre en rekke tiltak. Myndighetene i medlemslandene skal føre tilsyn med gjennomføringen av disse tiltakene.
Virkeområde
CER-direktivet fastsetter:
- at medlemslandene skal treffe tiltak for å sikre levering av tjenester som er vesentlige for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter
- plikter for kritiske enheter for å øke deres motstandsdyktighet og forbedre deres evne til å levere tjenester i det indre marked
- regler for tilsyn med kritiske enheter og håndhevelse av bestemmelser i direktivet
- regler for identifisering av kritiske enheter av særlig europeisk betydning og rådgivning overfor disse
- prosedyrer for samarbeid og rapportering.
Direktivet gjelder ikke forhold som er dekket av NIS2-direktivet. Bestemmelsene i direktivet gjelder heller ikke der det i EU-sektorregelverk stilles tilsvarende krav til kritiske enheters motstandsdyktighet. Medlemslandenes ansvar for å sikre nasjonal sikkerhet og forsvar eller deres myndighet til å sikre andre vesentlige statlige funksjoner, berøres ikke av direktivet. Direktivet gjelder ikke offentlig administrasjon innen forsvar, nasjonal sikkerhet, offentlig sikkerhet eller rettshåndhevelse.
Nasjonale rammer for kritiske enheters motstandsdyktighet
Medlemslandene skal vedta en nasjonal strategi for å styrke kritiske enheters motstandsdyktighet. Strategien skal blant annet angi strategiske mål og prioriteringer, et rammeverk for hvordan myndighetene skal gå frem for å nå mål og prioriteringer, beskrive tiltak som er nødvendige for å styrke motstandskraften til kritiske enheter, inkludert en nasjonal risikovurdering, mv. Strategien skal oppdateres jevnlig og minst hvert fjerde år.
Medlemslandene skal gjennomføre risikovurderinger for å identifisere kritiske enheter. Europakommisjonen vil ved delegert rettsakt utarbeide en liste over vesentlige tjenester innen de elleve sektorene, som medlemslandene skal bruke når de gjennomfører risikovurderinger. I risikovurderingen skal det redegjøres for alle relevante risikoer som ulykker, naturhendelser, folkehelsekriser og ondsinnede villede handlinger, herunder terrorhandlinger (all hazards). Trusler knyttet til digital sikkerhet (cyber risks) skal håndteres i samsvar med NIS2-direktivet.
Videre skal medlemslandene identifisere og lage en oversikt (liste) over kritiske enheter under de 11 sektorene og informere de kritiske enhetene om at de er identifisert og hvilke plikter dette innebærer. Identifikasjonen skal baseres på nevnte risikovurderinger og en rekke kriterier, herunder om en hendelse vil ha betydelige forstyrrende virkning for leveringen av en tjeneste. Europakommisjonen skal sammen med medlemslandene utarbeide anbefalinger og retningslinjer som skal hjelpe medlemslandene til å identifisere kritiske enheter.
Medlemslandene skal peke ut kompetent(e) myndighet(er) som vil ha ansvar for den nasjonale gjennomføringen av direktivet. Hvert land skal også utpeke et nasjonalt “single point of contact” for å sikre samarbeid med tilsvarende kontaktpunkt i de andre landene og Europakommisjonens arbeidsgruppe (Critical Entities Resilience Group). Kontaktpunktet skal årlig rapportere til Europakommisjonen om uønskede hendelser som i vesentlig grad har forstyrret eller kan forstyrre leveranser fra virksomheten. Kompetent myndighet skal samarbeide med kompetent myndighet utpekt under NIS2-direktivet. Medlemslandene skal også konsultere hverandre når det gjelder kritiske enheter som bruker kritisk infrastruktur som er fysisk tilkoblet mellom to eller flere land eller er del av bedriftsstruktur som er koblet til kritiske enheter i andre land.
Motstandsdyktigheten til kritiske enheter
Kritiske enheter skal gjøre risikovurderinger på grunnlag av blant annet den nasjonale risikovurderingen. I vurderingen skal enheten redegjøre for risiko som kan føre til forstyrrelser i leveringen av vesentlige tjenester. Det skal også redegjøres for andre sektorers avhengighet av tjenesten og hvilke følger en forstyrrelse i en eller flere av disse sektorene kan ha på tjenesten som leveres av den kritiske enheten.
Kritiske enheter skal iverksette tekniske, sikkerhetsmessige og organisatoriske tiltak for å sikre egen motstandsdyktighet. Tiltak skal bidra til at enheten kan forebygge hendelser, for eksempel gjennom fysisk sikring, håndtere hendelser gjennom å iverksette beredskaps- og kontinuitetsplaner, og gjenopprette tjenesteproduksjon etter en uønsket hendelse. Beredskaps- og kontinuitetsplaner ("resilience plan") skal beskrive tiltak. Kritiske enheter skal utpeke en “liaison officer” som skal være virksomhetens kontaktpunkt mot myndighetene. Europakommisjonen er gitt myndighet til å vedta delegerte rettsakter og gjennomføringsrettsakter som kan presisere hva tiltakene i artikkel 11 innebærer.
Kritiske enheter skal innen fastsatte frister og prosedyrer rapportere til myndighetene om hendelser som i vesentlig grad forstyrrer eller kan forstyrre leveranser av vesentlige tjenester. Om hendelsen har grenseoverskridende virkning, skal informasjonen gis videre til andre berørte medlemsland.
Kritiske enheter av særlig europeisk betydning
En kritisk enhet skal bli ansett som en kritisk enhet av særlig europeisk betydning dersom den 1) leverer samme eller lignende vesentlige tjenester til eller i seks eller flere medlemsland og 2) er utpekt som en kritisk enhet av særlig europeisk betydning etter konsultasjoner mellom Europakommisjonen, den kompetente myndigheten som identifiserte den kritiske enheten og andre berørte medlemsland. Europakommisjonen har opplyst at togselskaper kan være et eksempel på en kritisk enhet av særlig europeisk betydning.
Enheter av særlig europeisk betydning kan bli underlagt en “advisory mission” av Europakommisjonen for å vurdere om tiltak som slike enheter har gjennomført oppfyller kravene (risikovurderinger, mv.) På bakgrunn av dette kan Europakommisjonen rapportere om en slik virksomhet oppfyller forpliktelsene, samt anbefale ytterligere tiltak.
Det opprettes en ekspertgruppe for kritiske enheters motstandsdyktighet med representanter fra medlemslandene. Ekspertgruppen skal bistå Europakommisjonen med å legge til rette for landenes gjennomføring av direktivet.
Medlemslandene skal sikre at de kompetente myndighetene har myndighet og virkemidler til å gjennomføre og håndheve direktivet. Dette innebærer blant annet å kunne gjennomføre inspeksjoner og tilsyn med kritiske enheter. Medlemslandene skal også vedta sanksjonsbestemmelser ("penalties") for overtredelser av nasjonale gjennomføringsregler. Bestemmelsene skal meldes til Europakommisjonen.
Merknader
Hjemmel i EU-traktaten
CER-direktivet er fremmet med hjemmel i Lisboa-traktaten artikkel 114 (tiltak for tilnærming av medlemslandenes lover og forskrifter som gjelder det indre markeds opprettelse og virkemåte). EPCIP-direktivet er hjemlet i EF-traktaten artikkel 308 (som tilsvarer artikkel 352 i Lisboa-traktaten). Bakgrunnen for endringen av rettsgrunnlaget er direktivets formål, virkeområde og innhold og behovet for harmoniserte regler for virksomheter som leverer tjenester som er vesentlige for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter i det indre marked.
Rettslige konsekvenser
Gjennomføring av CER-direktivet vil ha rettslige konsekvenser.
EPCIP-direktivet er gjennomført i lov 25. juni nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven) kapittel VI A "Beskyttelse av europeisk kritisk infrastruktur".
CER-direktivet pålegger kritiske enheter flere nye plikter, endrer lovregulerte definisjoner mv. Justis- og beredskapsdepartementets foreløpige vurdering er at sivilbeskyttelseslovens begrensede virkeområde mv. taler for at CER-direktivet ikke bør gjennomføres i denne loven. I arbeidet med gjennomføring av CER-direktivet i norsk rett må forholdet til sikkerhetsloven vurderes nærmere og det bør vurderes om det er mest hensiktsmessig å gjennomføre CER-direktivet i en ny egen lov om kritiske enheters motstandsdyktighet. Det må vurderes om direktivet også vil kreve endringer i andre ulike sektorregelverk.
Konstitusjonelle forhold
Ettersom gjennomføring av direktivet etter departementets vurdering nødvendiggjør lovendring, må Stortinget gi sitt samtykke til innlemmelse av rettsakten i EØS-avtalen, jf. Grunnloven § 26 andre ledd.
EPCIP-direktivet ble etter Stortingets samtykke innlemmet i EØS-avtalen i 2012, jf. Prop. 130 S (2011–2012).
Økonomiske og administrative konsekvenser
CER-direktivet vurderes å ha økonomiske og administrative konsekvenser for norske myndigheter og næringslivet. På dette stadiet er det imidlertid vanskelig å angi konsekvensene i detalj. Det er også usikkert hvor mange virksomheter i Norge som eventuelt vil bli identifisert som kritiske enheter og som dermed vil underlegges kravene i direktivet. Det samme gjelder omfanget av virksomheter som vil kunne anses som av "særlig europeisk betydning". En mer detaljert vurdering av økonomiske og administrative konsekvenser må således utredes nærmere. De administrative og økonomiske kostnadene for norske myndigheter vil være relatert til utvikling av nasjonale strategier, gjennomføring av risikovurderinger og identifisering av kritiske enheter, samt tilsyn og håndhevelse av bestemmelser i direktivet. Imidlertid vil myndighetene kunne trekke veksler på eksisterende retningslinjer og prosedyrer tilknyttet arbeidet med kritiske samfunnsfunksjoner og nasjonale trussel- og risikovurderinger, og dermed begrense kostnadene.
Instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen) setter krav til at departementene skal ha risiko- og sårbarhetsanalyser som dekker de områdene de har ansvar for på samfunnssikkerhetsfeltet, og spesielt de kritiske samfunnsfunksjonene som de har et hovedansvar for. Videre omtaler instruksen flere overordnede nasjonale planleggingsgrunnlag som myndighetene skal ta utgangspunkt i, i arbeidet med risiko- og sårbarhetsanalyser. Disse omfatter Analyse av krisescenarier, oversikt over kritiske samfunnsfunksjoner og strategiske dokumenter om risiko, trusler og sårbarhet fra Politiets sikkerhetstjeneste, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet. Oversikt over kritiske samfunnsfunksjoner (“Samfunnets kritiske funksjoner" (DSB 2016)) dekker i stor grad virkeområdet til direktivet. Arbeidet med å identifisere grunnleggende nasjonale funksjoner etter sikkerhetsloven og kravene til deres risikoanalyser, har også verdi i arbeidet med direktivet.
Innen den enkelte sektor er det også krav til virksomheter om risikostyring for å sikre kontinuitet i samfunnsviktige tjenester. Viktige forutsetninger for å kunne følge opp bestemmelser i direktivet er, med noen tilpasninger, således allerede på plass. De økonomiske og administrative konsekvensene vil trolig knytte seg til enkeltbestemmelser i direktivet, særlig hva gjelder eventuell rapportering og endrede tilsynsordninger.
For næringslivet vil kostnader gjelde virksomheter som vil bli omfattet av bestemmelser i direktivet. Kostnader vil være knyttet til gjennomføring av risikovurderinger og iverksetting av tiltak for å forebygge og håndtere hendelser, som tekniske barrierer og beredskaps- og kontinuitetsplaner. Planverk vil måtte presenteres og leveres til myndighetene minst hvert fjerde år som en del av myndighetenes tilsynsplikt. Kostnader vil også være knyttet til at kritiske virksomheter vil være underlagt varslingsplikter, blant annet når det gjelder sikkerhetshendelser. I tillegg vil virksomheter av særlig europeisk betydning være underlagt særskilte plikter.
Europakommisjonen forventer at hovedsakelig større selskaper og relativt få mindre selskaper vil bli påvirket av direktivet, men dette vil avhenge av egenarten til den enkelte sektor og virksomhet. I enkelte sektorer vil mindre virksomheter som tilbyr spesifikke, svært tekniske eller spesialiserte tjenester kunne bli utpekt som kritiske enheter.
Det er grunn til å anta at mange virksomheter allerede har sterke insentiver for å sikre en høy motstandsdyktighet, ikke minst for å opprettholde egen konkurransedyktighet, eller så vil de være underlagt krav i nasjonal lovgivning og/eller i EU-lovgivning. Eksisterende planverk og systemer for risikostyring i den enkelte virksomhet vil være med på å redusere eventuelle kostnader når det gjelder oppfølging av forpliktelser i direktivet.
Sakkyndige instansers merknader
CER-direktivet blir behandlet i Spesialutvalget for samfunnssikkerhet.
Vurdering
Justis- og beredskapsdepartementet er generelt positiv til CER-direktivet og dets formål om å øke kritiske enheters motstandsdyktighet. Utvidelsen av virkeområdet, klarere og harmoniserte krav til virksomhetene og nye bestemmelser om tilsyn antas å styrke disse enhetenes risikobevissthet og beredskapsplanlegging i EØS.
Utviklingen i trussel- og risikobildet siden 2008, da EPCIP-direktivet trådte i kraft, har medført at direktivet ikke er tilpasset dagens situasjon. CER-direktivet tar hensyn til utviklingen og dreier oppmerksomheten fra infrastruktur og enkeltobjekter til tjenester og leveranser, et såkalt funksjonsperspektiv. Dette er i tråd med den norske tilnærmingen, som blant annet kommer til uttrykk i samfunnssikkerhetsinstruksen og sikkerhetsloven. Utvidelsen til flere samfunnssektorer er også i tråd med den norske tilnærmingen. Direktivets virkeområde samsvarer bedre med de sektorene flere land allerede har definert kritiske samfunnsfunksjoner innenfor.
Departementet anser det som viktig at Norge gis adgang til å delta i samarbeidet som videreføres fra gjeldende direktiv, blant annet ekspertgruppen for kritiske enheters motstandsdyktighet.
Etter departementets vurdering er det derfor i Norges interesse å delta videre i det europeiske samarbeidet om motstandsdyktighet i kritiske samfunnsfunksjoner. Dette vil også være viktig opp mot det nordiske arbeidet på området.
CER-direktivet er fremmet med hjemmel i Lisboa-traktaten artikkel 114 og formålet med direktivet er å sikre leveransen av tjenester i det indre marked som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter og å styrke motstandskraften til enheter som tilbyr slike tjenester. Direktivet er en videreføring av EPCIP-direktivet som er gjennomført i norsk rett. Det ble i 2009 foretatt en grundig utredning av EPCIP-direktivets EØS-relevans. De ni nye samfunnssektorene som foreslås omfattet av direktivet er allerede regulert i EØS-avtalen og med noen unntak er alle rettsakter som det henvises til i direktivet tatt inn i eller på vei inn i EØS-avtalen. Direktivet må også ses i sammenheng med andre etablerte EØS-tiltak og -samarbeid for å bedre beskyttelsen av kritiske samfunnsfunksjoner, som for eksempel regelverkene om cybersikkerhet, forsyningssikkerhet, transportsikkerhet og EUs ordning for sivil beredskap.
Det må utredes nærmere hvor i EØS-avtalen direktivet skal inntas. EPCIP-direktivet ble inntatt i Protokoll 31.
Departementets foreløpige vurdering er at direktivet er EØS-relevant og akseptabelt for Norges del.
Status
CER-direktivet ble publisert i Official Journal of the European Union 14. desember 2022.
CER-direktivet blir fulgt opp i EFTAs arbeidsgruppe for sivilbeskyttelse.