De siste årene har vi sett hvordan både ekstremvær, strømbrudd, cyberangrep og geopolitisk uro setter samfunnskritiske tjenester under press. EU svarer på dette med nye regelverk som skal styrke beredskap og motstandsdyktighet i virksomheter som samfunnet er avhengig av. Ett av disse er CER-direktivet (Critical Entities Resilience).
- Selv om direktivet ennå ikke er innført i norsk lov, peker det tydelig ut retningen for hva som kommer – og hva myndigheter og samarbeidspartnere vil forvente av virksomheter i årene fremover, forklarer Helene Birkeland, Head of Consulting i Netsecurity.
CER vil, sammen med NIS2, stille tydeligere krav til hvordan virksomheter må jobbe med sikkerhet og beredskap – både digitalt og fysisk. Mens NIS2 har hovedfokus på cybersikkerhet, handler CER om helhetlig robusthet: å sikre at kritiske tjenester fungerer, uansett hvilken hendelse som rammer.
– CER-direktivet tydeliggjør viktigheten av å se sikkerhet og beredskap i sammenheng. Det handler ikke bare om teknologi, men om mennesker, prosesser og samhandling på tvers av sektorer, sier Birkeland.
Les også Förbered din verksamhet för NIS2
CER-direktivet legger opp til at virksomheter som leverer kritiske tjenester må arbeide mer systematisk med sikkerhet og beredskap. Det innebærer blant annet at det skal gjennomføres jevnlige risiko- og sårbarhetsvurderinger, og at virksomhetene må ha etablerte planer for både beredskap og kontinuitet, som også testes i praksis.
Direktivet stiller krav til tekniske og organisatoriske tiltak for å forebygge og håndtere hendelser, og til rapportering av alvorlige hendelser innen fastsatte tidsfrister. I tillegg skal dette dokumenteres på en måte som gjør det mulig å etterprøve og revidere tiltakene.
Direktivet retter seg mot virksomheter som leverer tjenester samfunnet ikke kan klare seg uten. Det gjelder blant annet virksomheter innen energi, transport, helse, vann og avløp, digital infrastruktur, offentlig forvaltning og finans. Felles for disse sektorene er at et avbrudd kan få store konsekvenser for både innbyggere, næringsliv og nasjonal sikkerhet.
Les også Nasjonal sikkerhetsplan for digital infrastruktur
CER bygger dermed videre på eksisterende regelverk og sikkerhetslovgivning, men favner bredere ved å stille felles krav til motstandsdyktighet på tvers av bransjer. For mange norske virksomheter betyr dette at de må se på sikkerhet og beredskap i en større sammenheng enn tidligere.
Å starte nå handler ikke bare om å være i forkant av nye krav – men om å bygge en virksomhet som tåler mer. De som kommer tidlig i gang, får bedre oversikt over risiko, mer effektiv beredskap og lavere kostnader når kravene først trer i kraft.
Mange virksomheter dekker allerede deler av kravene gjennom ISO 27001 eller sektorregelverk. Men CER løfter kravene videre med sterkere fokus på helhetlig robusthet og samarbeid på tvers av sektorer. Dette gir virksomheter en mulighet til å bygge videre på eksisterende tiltak, og samtidig bruke direktivet som en driver for å styrke både sikkerhet og driftssikkerhet.
– CER-direktivet viser at robusthet må ses helhetlig – både digitalt og operasjonelt. De virksomhetene som begynner arbeidet nå, får bedre oversikt og står sterkere når kravene trer i kraft, forklarer Helene Birkeland.
I Netsecurity jobber vi tett med virksomheter som ønsker å stå sterkere i møte med nye krav og trusler. Vi hjelper med å identifisere gap, etablere styringssystemer og bygge robuste strukturer som dekker både NIS2, sikkerhetsloven og kommende direktiver som CER.
Ta kontakt med oss hvis du vil vite hvordan din virksomhet kan forberede seg på CER-direktivet, og hvordan vi kan hjelpe deg på veien.