Source: OJ L 333, 27.12.2022, pp. 164–198

Artikel 1 Innehåll och tillämpningsområde

Summary What does Article 1 of the CER directive say?

This is the foundational article of the Directive, establishing its core purpose and scope.

At its heart, the Directive aims to ensure that essential services underpinning vital societal functions and economic activities are provided without disruption across the internal market.

It achieves this by placing obligations on Member States to identify and support critical entities, and on those critical entities themselves to enhance their resilience.

The article also sets out a significant number of carve-outs and boundaries, making clear where the Directive does and does not apply — notably excluding matters already covered by the NIS2 Directive (EU) 2022/2555, while requiring the two frameworks to be implemented in a coordinated manner given the overlap between physical security and cybersecurity.

Important points:

Member States are required to identify critical entities, support them in meeting their obligations, and ensure coordinated implementation alongside Directive (EU) 2022/2555.
The Directive does not apply to public administration entities operating in areas of national security, public security, defence, or law enforcement, and Member States may extend similar exclusions to specific critical entities in those areas.
Where sector-specific Union legal acts impose equivalent resilience requirements on critical entities, the corresponding provisions of this Directive, including supervision and enforcement, shall not apply.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. I detta direktiv
  1. fastställs skyldigheter för medlemsstaterna att vidta särskilda åtgärder som syftar till att säkerställa att tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet inom tillämpningsområdet för artikel 114 i EUF-fördraget tillhandahålls på ett obehindrat sätt på den inre marknaden, särskilt skyldigheter för att identifiera kritiska entiteter samt för att stödja kritiska entiteter i uppfyllandet av de skyldigheter som åläggs dem,
  2. fastställs skyldigheter för kritiska entiteter som syftar till att stärka deras motståndskraft och förmåga att tillhandahålla tjänster som avses i led a på den inre marknaden,
  3. fastställs regler
    om tillsyn av kritiska entiteter,
    om efterlevnadskontroll,
    för identifiering av kritiska entiteter av särskild europeisk betydelse samt om rådgivande uppdrag för att bedöma de åtgärder som sådana entiteter har infört för att uppfylla sina skyldigheter enligt kapitel III,
  4. inrättas gemensamma förfaranden för samarbete och rapportering om tillämpningen av detta direktiv,
  5. fastställs åtgärder i syfte att uppnå en hög grad av motståndskraft för kritiska entiteter, för att säkerställa tillhandahållande av samhällsviktiga tjänster i unionen och förbättra den inre marknadens funktionssätt.
1. Detta direktiv ska inte vara tillämpligt på frågor som omfattas av direktiv (EU) 2022/2555, utan att detta påverkar tillämpningen av artikel 8 i det här direktivet. Med beaktande av förhållandet mellan kritiska entiteters fysiska säkerhet och cybersäkerhet ska medlemsstaterna säkerställa att det här direktivet och direktiv (EU) 2022/2555 genomförs på ett samordnat sätt.
1. Om det enligt bestämmelser i sektorsspecifika unionsrättsakter krävs att kritiska entiteter ska vidta åtgärder för att stärka sin motståndskraft och om de kraven erkänns av medlemsstaterna som åtminstone likvärdiga med de motsvarande skyldigheter som fastställs i detta direktiv, ska de berörda bestämmelserna i detta direktiv, inbegripet de bestämmelser om tillsyn och efterlevnadskontroll som fastställs i kapitel VI, inte vara tillämpliga.
1. Utan att det påverkar tillämpningen av artikel 346 i EUF-fördraget ska information som är konfidentiell enligt unionsregler eller nationella regler, såsom regler om affärshemligheter, utbytas med kommissionen och andra relevanta myndigheter i enlighet med detta direktiv endast när sådant utbyte är nödvändigt för att tillämpa detta direktiv. Den information som utbyts ska begränsas till vad som är relevant och proportionerligt för ändamålet med utbytet. Vid informationsutbytet ska informationens konfidentialitet och kritiska entiteters säkerhetsintressen och kommersiella intressen bevaras samtidigt som medlemsstaternas säkerhet respekteras.
1. Detta direktiv påverkar inte medlemsstaternas ansvar att skydda den nationella säkerheten och försvaret eller deras befogenhet att skydda andra väsentliga statliga funktioner, inbegripet att säkerställa statens territoriella integritet och upprätthålla lag och ordning.
1. Detta direktiv är inte tillämpligt på offentliga förvaltningsentiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott.
1. Medlemsstaterna får besluta att artikel 11 och kapitlen III, IV och VI, helt eller delvis, inte är tillämpliga på särskilda kritiska entiteter som bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott, eller som uteslutande tillhandahåller tjänster till de offentliga förvaltningsentiteter som avses i punkt 6 i den här artikeln.
1. De skyldigheter som fastställs i detta direktiv får inte medföra tillhandahållande av information vars utlämnande skulle strida mot väsentliga intressen i fråga om medlemsstaternas nationella säkerhet, allmänna säkerhet eller försvar.
1. Detta direktiv påverkar inte tillämpningen av unionsrätt om skydd av personuppgifter, i synnerhet Europaparlamentets och rådets förordning (EU) 2016/679(²⁸) och Europaparlamentets och rådets direktiv 2002/58/EG(²⁹).

Relevant recitals

Skäl 2 Shift to horisontal rules on resilience

I rådets direktiv 2008/114/EG(⁴) föreskrivs ett förfarande för att klassificera infrastruktur i energi- och transportsektorerna som europeisk kritisk infrastruktur, vars driftstörning eller förstörelse skulle få betydande gränsöverskridande konsekvenser i minst två medlemsstater. Det direktivet är uteslutande inriktat på skyddet av sådan infrastruktur. Vid den utvärdering av direktiv 2008/114/EG som gjordes 2019 konstaterades dock att skyddsåtgärder som enbart gäller enskilda tillgångar inte är tillräckliga för att förhindra alla störningar från att uppstå, på grund av den alltmer sammankopplade och gränsöverskridande karaktären hos den verksamhet som bedrivs med kritisk infrastruktur. Därför är det nödvändigt att ändra ansatsen i riktning mot att säkerställa att risker redovisas bättre, att bättre definiera och skapa enhetlighet i rollen och uppgifterna för kritiska entiteter i egenskap av tillhandahållare av tjänster som är nödvändiga för att den inre marknaden ska kunna fungera, och att unionsregler antas för att stärka kritiska entiteters motståndskraft. Kritiska entiteter bör kunna öka sin förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från incidenter som kan störa tillhandahållandet av samhällsviktiga tjänster.

Skäl 3 Enhanced and harmonised rules

Samtidigt som ett antal åtgärder på unionsnivå, såsom det europeiska programmet för skydd av kritisk infrastruktur, och nationell nivå syftar till att stödja skyddet av kritisk infrastruktur i unionen bör mer göras för att de entiteter som driver sådan infrastruktur ska vara bättre rustade att hantera de risker för deras verksamhet som kan leda till störningar i tillhandahållandet av samhällsviktiga tjänster. Mer bör också göras för att bättre rusta sådana entiteter eftersom det finns en dynamisk hotbild, som inbegriper framväxande hybrid- och terroristhot, och ett ökande ömsesidigt beroende mellan infrastruktur och sektorer. Dessutom finns det en ökad fysisk risk på grund av naturkatastrofer och klimatförändringen, som leder till att extrema väderhändelser blir allt vanligare och mer omfattande och medför långsiktiga förändringar i genomsnittliga klimatförhållanden som kan minska kapaciteten, effektiviteten och livslängden för vissa typer av infrastruktur om det inte vidtas klimatanpassningsåtgärder. Den inre marknaden kännetecknas dessutom av fragmentering när det gäller identifiering av kritiska entiteter, eftersom relevanta sektorer och kategorier av entiteter inte erkänns på ett enhetligt sätt som kritiska i alla medlemsstater. Detta direktiv bör därför åstadkomma en solid harmoniseringsnivå när det gäller de sektorer och kategorier av entiteter som omfattas av dess tillämpningsområde.

Skäl 4 All-hazards approach

Vissa sektorer inom ekonomin, exempelvis energi- och transportsektorerna, är redan reglerade genom sektorsspecifika unionsrättsakter, men dessa rättsakter innehåller bestämmelser som endast rör vissa aspekter av motståndskraften hos entiteter som är verksamma inom de sektorerna. För att på ett heltäckande sätt hantera motståndskraften hos de entiteter som är kritiska för att den inre marknaden ska fungera väl inrättas genom detta direktiv en övergripande ram för att hantera kritiska entiteters motståndskraft med hänsyn till alla faror, oberoende av om det är naturliga faror eller faror orsakade av människan, olyckshändelser eller avsiktligt framkallade faror.

Skäl 5 Scope of critical infrastructure

Det ökande ömsesidiga beroendet mellan infrastruktur och sektorer är ett resultat av ett alltmer gränsöverskridande och ömsesidigt beroende nätverk av tillhandahållande av tjänster som använder viktig infrastruktur i hela unionen inom sektorerna för energi, transporter, bankverksamhet, dricksvatten, avloppsvatten, produktion, bearbetning och distribution av livsmedel, hälso- och sjukvård, rymden, finansmarknadsinfrastruktur och digital infrastruktur samt vissa aspekter av sektorn för offentlig förvaltning. Rymdsektorn omfattas av tillämpningsområdet för detta direktiv när det gäller tillhandahållandet av vissa tjänster som är beroende av markbaserad infrastruktur som ägs, förvaltas och drivs av medlemsstater eller privata parter; infrastruktur som ägs, förvaltas eller drivs av unionen eller för unionens räkning inom ramen för dess rymdprogram omfattas därför inte av tillämpningsområdet för detta direktiv.

När det gäller energisektorn och särskilt metoderna för produktion och överföring av el (avseende elförsörjning) kan det i produktionen av el, när så anses lämpligt, ingå kärnkraftsanläggningars delar för överföring av el, men inte de specifikt kärnkraftsrelaterade delar som omfattas av fördrag och unionsrätt, inbegripet relevanta unionsrättsakter avseende kärnkraft. Processen för identifiering av kritiska entiteter inom livsmedelssektorn bör på lämpligt sätt återspegla den inre marknadens karaktär inom den sektorn och de omfattande unionsreglerna i fråga om allmänna principer och krav för livsmedelslagstiftning och livsmedelssäkerhet. För att säkerställa en proportionerlig ansats och för att på lämpligt sätt återspegla dessa entiteters roll och betydelse på nationell nivå, bör kritiska entiteter därför endast identifieras bland livsmedelsföretag, oavsett om de är vinstdrivande eller inte och oavsett om de är offentliga eller privata, som uteslutande bedriver logistikverksamhet och grossisthandel samt storskalig industriell produktion och bearbetning med en betydande marknadsandel på nationell nivå. Detta ömsesidiga beroende innebär att alla störningar av samhällsviktiga tjänster, även sådana som till en början är begränsade till en entitet eller en sektor, kan få dominoeffekter i vidare bemärkelse, vilket kan leda till långtgående och långvariga negativa konsekvenser för tillhandahållandet av tjänster på hela den inre marknaden. Större kriser såsom covid-19-pandemin har visat hur sårbara våra alltmer av varandra beroende samhällen är för risker med låg sannolikhet och stora konsekvenser.

Skäl 6 Level playing field in the EU

De entiteter som deltar i tillhandahållandet av samhällsviktiga tjänster omfattas i allt högre grad av olika krav som införs enligt nationell rätt. Vissa medlemsstater ställer mindre hårda säkerhetskrav på dessa entiteter, vilket inte bara leder till olika grad av motståndskraft utan också riskerar att ge negativa effekter för upprätthållandet av viktiga samhällsfunktioner eller central ekonomisk verksamhet i unionen och skapar hinder för den inre marknadens funktion. Investerare och företag kan förlita sig på och ha förtroende för kritiska entiteter som är motståndskraftiga, och tillförlitlighet och förtroende är hörnstenar i en välfungerande inre marknad. Likartade typer av entiteter betraktas som kritiska i vissa medlemsstater men inte i andra, och de som identifieras som kritiska omfattas av olika krav i olika medlemsstater. Detta leder till en ytterligare och onödig administrativ börda för företag som bedriver gränsöverskridande verksamhet, särskilt för företag med verksamhet i medlemsstater som ställer hårdare krav. En unionsram skulle därför också leda till likvärdiga förutsättningar för kritiska entiteter i hela unionen.

Skäl 7 Comprehensive and future-proof minimum rules

Det är nödvändigt att införa harmoniserade minimiregler för att säkerställa tillhandahållandet av samhällsviktiga tjänster på den inre marknaden, stärka kritiska entiteters motståndskraft samt förbättra det gränsöverskridande samarbetet mellan behöriga myndigheter. Det är viktigt att dessa regler är framtidssäkrade när det gäller utformning och genomförande, samtidigt som utrymme ges för den flexibilitet som krävs. Det är också mycket viktigt att förbättra kritiska entiteters förmåga att tillhandahålla samhällsviktiga tjänster med avseende på en rad olika risker.

Skäl 8 Member States to identify critical entities

För att uppnå en hög grad av motståndskraft bör medlemsstaterna identifiera kritiska entiteter som kommer att omfattas av särskilda krav och tillsyn och som kommer att ges särskilt stöd och vägledning med avseende på alla relevanta risker.

Skäl 9 Relation to the NIS 2 directive

Med tanke på hur viktig cybersäkerhet är för kritiska entiteters motståndskraft och för att skapa enhetlighet bör man, när så är möjligt, säkerställa samstämmighet mellan detta direktiv och Europaparlamentets och rådets direktiv (EU) 2022/2555(⁵). Med tanke på den högre frekvensen av och de särskilda egenskaperna hos cyberrisker införs det genom direktiv (EU) 2022/2555 heltäckande krav på en stor uppsättning entiteter för att säkerställa deras cybersäkerhet. Eftersom cybersäkerhet hanteras i tillräcklig grad genom (EU) 2022/2555 bör de frågor som omfattas av det direktivet uteslutas från tillämpningsområdet för det här direktivet, utan att det påverkar tillämpningen av den särskilda ordningen för entiteter inom sektorn för digital infrastruktur.

Skäl 10 Relation to overlapping sector-specific EU acts

Om det enligt bestämmelser i sektorsspecifika unionsrättsakter krävs att kritiska entiteter ska vidta åtgärder för att stärka sin motståndskraft, och om dessa krav av medlemsstaterna erkänns vara minst likvärdiga med motsvarande skyldigheter enligt det här direktivet, bör de relevanta bestämmelserna i det här direktivet inte vara tillämpliga, för att undvika dubbelarbete och onödig börda. I sådant fall bör de relevanta bestämmelserna i de unionsrättsakterna tillämpas. Om de relevanta bestämmelserna i det här direktivet inte är tillämpliga bör inte heller bestämmelserna om tillsyn och kontroll av efterlevnad i det här direktivet vara tillämpliga.

Skäl 11 Applicability for Member States' authorities

Detta direktiv påverkar inte medlemsstaternas och deras myndigheters befogenheter i fråga om administrativ självständighet eller deras ansvar att skydda den nationella säkerheten och försvaret eller deras befogenhet att skydda andra väsentliga statliga funktioner, särskilt ifråga om allmän säkerhet, territoriell integritet och upprätthållande av lag och ordning. Undantaget för offentliga förvaltningsentiteter från tillämpningsområdet för detta direktiv bör tillämpas på entiteter vars verksamhet till övervägande del bedrivs på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott. Offentliga förvaltningsentiteter vars verksamhet endast marginellt hänför sig till dessa områden bör dock omfattas av detta direktivs tillämpningsområde. Vid tillämpningen av detta direktiv anses entiteter med tillsynsbefogenheter inte bedriva verksamhet på brottsbekämpningsområdet, och de är därför inte undantagna från detta direktivs tillämpningsområde på den grunden. Offentliga förvaltningsentiteter som inrättats gemensamt med ett tredjeland i enlighet med ett internationellt avtal är undantagna från detta direktivs tillämpningsområde. Detta direktiv är inte tillämpligt på medlemsstaternas diplomatiska och konsulära beskickningar i tredjeländer.

Vissa kritiska entiteter bedriver verksamhet på områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott, eller tillhandahåller tjänster uteslutande till offentliga förvaltningsentiteter som till övervägande del bedriver verksamhet på de områdena. Med tanke på medlemsstaternas ansvar att skydda den nationella säkerheten och försvaret bör medlemsstaterna kunna besluta att skyldigheterna för kritiska entiteter enligt detta direktiv helt eller delvis inte ska gälla dessa kritiska entiteter om de tjänster de tillhandahåller eller den verksamhet de bedriver till övervägande del har anknytning till områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet utredning, upptäckt och lagföring av brott. Kritiska entiteter vars tjänster eller verksamhet endast marginellt hänför sig till dessa områden bör fortfarande omfattas av detta direktivs tillämpningsområde. Ingen medlemsstat bör vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säkerhet. Unionsregler eller nationella regler till skydd för säkerhetsskyddsklassificerade uppgifter och sekretessavtal är relevanta i detta sammanhang.

Skäl 21 Exemptions for financial entities under the DORA regulation

I unionsrätten om finansiella tjänster införs heltäckande krav på att finansiella entiteter ska hantera alla risker de ställs inför, inklusive operativa risker, och säkerställa driftskontinuitet. Denna rätt inbegriper Europaparlamentets och rådets förordningar (EU) nr 648/2012(⁸), (EU) nr 575/2013(⁹) och (EU) nr 600/2014(¹⁰) samt Europaparlamentets och rådets direktiv 2013/36/EU(¹¹) och 2014/65/EU(¹²). Denna rättsliga ram kompletteras av Europaparlamentets och rådets förordning (EU) 2022/2554(¹³), där det fastställs krav som är tillämpliga på finansiella entiteter i fråga om riskhantering inom informations- och kommunikationsteknik (IKT), däribland beträffande skyddet av fysisk IKT-infrastruktur. Eftersom de entiteternas motståndskraft därför omfattas på ett heltäckande sätt bör artikel 11 och kapitlen III, IV och VI i det här direktivet inte vara tillämpliga på dessa entiteter, för att undvika dubbelarbete och en onödig administrativ börda.

Med tanke på hur viktiga de tjänster som tillhandahålls av entiteter i finanssektorn är för kritiska entiteter som tillhör alla andra sektorer, bör medlemsstaterna dock, med utgångspunkt i de kriterier och enligt det förfarande som föreskrivs i det här direktivet, identifiera entiteter i finanssektorn som kritiska entiteter. Följaktligen bör strategierna, medlemsstaternas riskbedömningar och de stödåtgärder som anges i kapitel II i det här direktivet vara tillämpliga. Medlemsstaterna bör ha rätt att anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.

Skäl 31 Requirements regarding aviation, maritime and railway transport

I Europaparlamentets och rådets förordningar (EG) nr 725/2004(¹⁴) och (EG) nr 300/2008(¹⁵) samt Europaparlamentets och rådets direktiv 2005/65/EG(¹⁶) fastställs krav som är tillämpliga på entiteter inom luftfarts- och sjöfartssektorerna för att förebygga incidenter till följd av olagliga handlingar och för att stå emot och begränsa konsekvenserna av sådana incidenter. De åtgärder som krävs enligt det här direktivet är bredare i fråga om de risker som behandlas och de åtgärder som ska vidtas, men kritiska entiteter inom dessa sektorer bör i sin plan för motståndskraft eller motsvarande dokument återge de åtgärder som har vidtagits enligt dessa andra unionsrättsakter. Kritiska entiteter ska också ta hänsyn till Europaparlamentets och rådets direktiv 2008/96/EG(¹⁷), där det införs en nätövergripande vägsäkerhetsbedömning för att kartlägga riskerna för olyckor och en riktad vägsäkerhetsinspektion för att, på grundval av inspektioner på plats av befintliga vägar eller vägsträckor, identifiera farliga förhållanden, brister och problem som ökar risken för olyckor och personskador. Säkerställande av de kritiska entiteternas skydd och motståndskraft är av yttersta vikt för järnvägssektorn, och när de kritiska entiteterna genomför åtgärder för motståndskraft i enlighet med det här direktivet uppmuntras de att hänvisa till icke-bindande riktlinjer och dokument över god praxis som har utarbetats inom ramen för sektorsbaserade arbetsflöden, exempelvis EU:s plattform för tågresenärers säkerhet som inrättats genom kommissionens beslut 2018/C 232/03(¹⁸).

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.