CER-direktivet (EU 2022/2557) har som formål å sikre leveransen av tjenester i det indre marked som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter, og å styrke motstandsdyktigheten til enheter som tilbyr slike tjenester. CER-direktivet omfatter alle relevante risikoer som ulykker, naturhendelser, folkehelsekriser og ondsinnede villede handlinger, herunder terrorhandlinger. Trusler knyttet til digital sikkerhet skal håndteres i samsvar med NIS2-direktivet.
NIS2-direktivet har som formål å fastsette tiltak med sikte på å oppnå et høyt nivå av cybersikkerhet i hele EU for å forbedre det indre markeds funksjon. NIS2-direktivet bygger videre på direktiv (EU) 2016/1148, som i Norge er gjennomført i digitalsikkerhetsloven.
Til sammen skal CER- og NIS2-direktivene bidra til økt motstandsdyktighet for virksomheter og deres nettverk og informasjonssystemer mot enhver fare eller hendelse, uavhengig av om den er naturlig eller menneskeskapt, utilsiktet eller tilsiktet, så som ved tyveri, brann, flom, telekomfeil eller strømbrudd, uautorisert fysisk tilgang til, skade på eller inngrep i data eller informasjonssystemer.
Det fremgår av direktivene at myndighetene skal utarbeide nasjonale strategier for cybersikkerhet og for å styrke samfunnskritiske virksomheters motstandsdyktighet, utarbeide risikovurderinger på nasjonalt nivå, identifisere samfunnskritiske virksomheter innen direktivenes sektorer og peke ut tilsynsmyndigheter som skal overvåke den nasjonale gjennomføringen av direktivene og peke ut nasjonale kontaktpunkter for CER-direktivet og NIS 2-direktivet.
Samfunnskritiske virksomheter blir gjennom direktivene pålagt å gjennomføre hensiktsmessige og forholdsmessige sikkerhetstiltak, basert på risikovurderinger. Samfunnskritiske virksomheter skal også varsle om betydelige hendelser.
Direktivene gjelder innen en rekke samfunnssektorer, som energi, transport, bank og finans, helse, drikkevann, digital infrastruktur og offentlig sektor.
Direktivene skal gjelde i EU-landene fra oktober 2024. Det er Justis- og beredskapsdepartementet som har hovedansvaret for gjennomføringen av direktivene i Norge. Direktoratet for samfunnssikkerhet og beredskap (DBS) og Nasjonal sikkerhetsmyndighet (NSM) bistår departementet i dette gjennomføringsarbeidet, og ventes også å få sentrale roller i forbindelse med flere av oppgavene som direktivene stiller til myndighetene. Mer informasjon om direktivene finnes på regjeringens nettsider.