Uz Direktivu NIS2, donesena je i CER Direktiva – Direktiva o otpornosti kritičnih subjekata (Directive on Critical Entities Resilience).
CER Direktiva zamjenjuje Europsku direktivu o kritičnoj infrastrukturi iz 2008. godine. Nova pravila će ojačati otpornost kritične infrastrukture na niz prijetnji, uključujući prirodne opasnosti, terorističke napade, prijetnje iznutra ili sabotažu.
NIS2 i CER direktive jačaju temelje fizičke (offline) i digitalne (online) sigurnosti čime se osigurava otporno gospodarstvo i društvo svake članice pojedinačno, ali i kompletne EU.
Cilj:
Cilj CER Direktive je uklanjanje slabih točaka i jačanje otpornosti kritičnih subjekata.
Kritični su subjekti oni koji pružaju osnovne usluge koje su ključne za održavanje važnih društvenih funkcija, gospodarskih aktivnosti, javnog zdravlja i sigurnosti te okoliša.
Od država članica očekuje se da utvrde kriterije za identifikaciju kritičnih subjekata te da razviju smjernice i metodologiju za jačanje otpornosti, organiziraju vježbe za testiranje otpornosti . Morat će imati nacionalnu strategiju za jačanje otpornosti kritičnih subjekata, provoditi procjenu rizika najmanje svake četiri godine i utvrditi kritične subjekte koji pružaju ključne usluge.
Kritični subjekti moraju identificirati relevantne rizike koji mogu značajno poremetiti pružanje osnovnih usluga, poduzeti odgovarajuće mjere kako bi osigurali njihovu otpornost i obavijestiti nadležna tijela o incidentima.
Incidenti prema CER direktivi:
- hibridni napadi,
- prirodne katastrofe,
- terorističke prijetnje
- izvanredna stanja u području javnog zdravlja,
Kritični subjekti ih moraju spriječiti , nositi se s njima, pružiti zaštitu i oporaviti se od njih.
CER direktiva definira fizičku sigurnost kao sljedeće:
• Fizička sigurnost obuhvaća sve mjere koje se poduzimaju kako bi se spriječio ili ograničio neovlašteni fizički pristup informacijskim sustavima, podacima i prostorijama u kojima se oni nalaze.
• Fizička sigurnost uključuje primjenu odgovarajućih tehničkih i organizacijskih rješenja, kao što su brave, alarmi, kamere, zaštitna vrata i prozori, kontrola pristupa, osiguranje, nadzor i edukacija osoblja.
• Fizička sigurnost mora biti usklađena s razinom rizika i vrijednosti podataka koji se štite, te s drugim aspektima informacijske sigurnosti, kao što su kriptografija, autentikacija, autorizacija i revizija.
• Fizička sigurnost mora biti redovito provjeravana i ažurirana kako bi se osigurala njena učinkovitost i usklađenost s promjenama u okruženju, tehnologiji i zakonodavstvu.
Tko su obveznici:
- Energetika
- Promet
- Bankarstvo
- Infrastrukture financijskih tržišta
- Zdravstvo
- Pitka voda
- Otpadne vode
- Digitalna infrastruktura
- Javna uprava
- Hrana
- Svemir
Određene središnje javne uprave također će biti obuhvaćene nekim odredbama direktive.
Kritični subjekt od posebnog europskog značaja
Kritični subjekt od posebnog europskog značaja je subjekt koji pruža ključnu uslugu za šest ili više država članica EU-a. Države članice mogu zatražiti od Komisije da organizira savjetodavnu misiju ili sama Komisija, u dogovoru s dotičnom državom članicom, može predložiti procjenu mjera koje je dotični subjekt uveo kako bi ispunio obveze koje proizlaze iz direktive.
Primjeri takvih subjekata su velike banke, velike energetske tvrtke, velike telekomunikacijske tvrtke, velike zračne luke…
Direktiva je stupila na snagu 8. prosinca 2022. godine, a države članice imaju rok od 21 mjesec od stupanja na snagu da odredbe prenesu u nacionalno pravo tj. do 18.10.2024. godine.
