Source: OJ L 333, 27.12.2022, pp. 164–198Current language: SV
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 14 Bakgrundskontroller
Summary What does Article 14 of the CER directive say?
This article establishes the framework for background checks on personnel connected to critical entities, sitting alongside the broader resilience obligations set out in Article 13.
It gives Member States the responsibility to define the conditions under which critical entities may request background checks, covering people in sensitive roles, those with access to premises or control systems, and candidates being considered for such positions.
The article sets clear boundaries on how these checks must be conducted, requiring them to be proportionate, strictly limited to what is necessary, and processed in line with EU data protection law.
It also mandates a minimum standard for what a background check must include, and requires Member States to use the European Criminal Records Information System to obtain criminal record information from other Member States.
Important points:
- Member States are required to define the conditions under which critical entities may submit background check requests, which must be duly reasoned and take into account the Member State risk assessment.
- Background checks must be proportionate, strictly limited to what is necessary, and carried out solely to evaluate a potential security risk to the critical entity concerned.
- Member States must use the European Criminal Records Information System when obtaining criminal record information from other Member States, with central authorities required to respond within 10 working days.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Medlemsstaterna ska ange de villkor enligt vilka en kritisk entitet, i vederbörligen motiverade fall och med beaktande av medlemsstatens riskbedömning, får ansöka om bakgrundskontroller av personer som
innehar känsliga roller i eller till förmån för den kritiska entiteten, särskilt när det gäller den kritiska entitetens motståndskraft,
är bemyndigade att direkt eller på distans få tillgång till den kritiska entitetens lokaler eller dess informations- eller kontrollsystem, inbegripet när det gäller den kritiska entitetens säkerhet,
övervägs för rekrytering till tjänster som omfattas av de kriterier som anges i led a eller b.
De ansökningar som avses i punkt 1 i denna artikel ska bedömas inom en rimlig tidsram och hanteras i enlighet med nationell rätt och nationella förfaranden samt relevant och tillämplig unionsrätt, inbegripet förordning (EU) 2016/679 och Europaparlamentets och rådets direktiv (EU) 2016/680(37). Bakgrundskontroller ska vara proportionella och strikt begränsade till vad som är nödvändigt. De ska utföras enbart i syfte att utvärdera en potentiell säkerhetsrisk för den berörda kritiska entiteten.
En bakgrundskontroll enligt punkt 1 ska åtminstone
bekräfta identiteten på den person som är föremål för bakgrundskontrollen,
kontrollera uppgifter ur kriminalregistret för den personen avseende brott som är relevanta för en viss tjänst.
När de utför bakgrundskontroller ska medlemsstaterna använda det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister i enlighet med de förfaranden som fastställs i rambeslut 2009/315/RIF och, i förekommande och tillämpliga fall, förordning (EU) 2019/816 för att inhämta uppgifter ur kriminalregister som innehas av andra medlemsstater. De centralmyndigheter som avses i artikel 3.1 i rambeslut 2009/315/RIF och i artikel 3.5 i förordning (EU) 2019/816 ska besvara begäranden om sådana uppgifter inom tio arbetsdagar från och med den dag då begäran togs emot i enlighet med artikel 8.1 i rambeslut 2009/315/RIF.
Relevant recitals
Skäl 32 Background checks to mitigate insider threats
Risken för att anställda vid kritiska entiteter eller deras uppdragstagare till exempel missbrukar sina åtkomsträttigheter inom den kritiska entitetens organisation för skadliga ändamål är ett växande problem. Medlemsstaterna bör därför ange på vilka villkor kritiska entiteter, i vederbörligen motiverade fall och med beaktande av medlemsstaternas riskbedömningar, får ansöka om bakgrundskontroll av personer som ingår i specifika personalkategorier. Det bör säkerställas att de berörda myndigheterna bedömer sådana ansökningar inom en rimlig tidsram och behandlar dem i enlighet med nationell rätt och nationella förfaranden samt relevant och tillämplig unionsrätt, inbegripet om skydd av personuppgifter. För att bekräfta identiteten på en person som är föremål för en bakgrundskontroll är det lämpligt att medlemsstaterna kräver ett identitetsbevis, såsom pass, nationellt identitetskort eller digitala identifieringsformer, i enlighet med tillämplig rätt.
Bakgrundskontroller bör omfatta en kontroll av den berörda personen i kriminalregister. Medlemsstaterna bör använda det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister i enlighet med de förfaranden som fastställs i rådets rambeslut 2009/315/RIF(19) och, i förekommande och tillämpliga fall, Europaparlamentets och rådets förordning (EU) 2019/816(20) för att inhämta information ur kriminalregister som innehas av andra medlemsstater. Medlemsstaterna kan också, i förekommande och tillämpliga fall, utnyttja andra generationen av Schengens informationssystem (SIS II), som inrättats genom Europaparlamentets och rådets förordning (EU) 2018/1862(21), underrättelser och annan tillgänglig objektiv information som kan vara nödvändig för att avgöra om den berörda personen är lämplig för att arbeta i den befattning för vilken den kritiska entiteten har begärt en bakgrundskontroll.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
risk
Definition
samhällsviktig tjänst
(En. essential service)
Definition
incident
Definition
motståndskraft
(En. resilience)
Definition
riskbedömning
(En. risk assessment)
Definition
kritisk entitet
(En. critical entity)
Footnote 19
Footnote 37
Footnote 20
Footnote 21