Source: OJ L 333, 27.12.2022, pp. 164–198Current language: SV
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 21 Tillsyn och efterlevnadskontroll
Summary What does Article 21 of the CER directive say?
This article establishes the supervisory and enforcement toolkit that competent authorities must have at their disposal to assess whether critical entities are meeting their obligations under the Directive.
It covers the full range of supervisory tools — from on-site inspections and audits to information-gathering powers and remediation orders — and sits closely alongside Article 22, which deals with penalties.
Notably, the article also has a clear cross-directive dimension, requiring competent authorities under this Directive to coordinate with their counterparts under Directive (EU) 2022/2555 (the NIS 2 Directive) whenever a compliance assessment is carried out, reflecting the broader effort to align physical and cybersecurity oversight.
All supervisory powers must be exercised subject to safeguards protecting the rights and legitimate interests of critical entities.
Important points:
- Competent authorities are required to have powers to conduct on-site inspections, order audits, request evidence of resilience measure implementation, and issue remediation orders where infringements are identified.
- Competent authorities must notify and cooperate with their NIS 2 counterparts whenever a compliance assessment is conducted, and can request those authorities to exercise their own supervisory powers.
- Member States must ensure all supervisory powers are exercised in an objective, transparent, and proportionate manner, with critical entities retaining the right to be heard, the right of defence, and the right to an effective remedy before an independent court.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
För att bedöma om de entiteter som medlemsstaterna har identifierat som kritiska entiteter enligt artikel 6.1 fullgör de skyldigheter som fastställs i detta direktiv ska medlemsstaterna säkerställa att de behöriga myndigheterna har befogenheter och medel för att
genomföra inspektioner på plats av den kritiska infrastruktur och de lokaler som den kritiska entiteten använder för att tillhandahålla sina samhällsviktiga tjänster och tillsyn på distans av de åtgärder som vidtagits av kritiska entiteter i enlighet med artikel 13,
utföra eller beställa revisioner av kritiska entiteter.
Medlemsstaterna ska säkerställa att de behöriga myndigheterna har befogenheter och medel för att, när så är nödvändigt för att fullgöra deras uppgifter enligt detta direktiv, kräva att entiteter enligt direktiv (EU) 2022/2555 som medlemsstaterna har identifierat som kritiska entiteter enligt det här direktivet inom en rimlig tidsfrist, som fastställs av dessa myndigheter, lämnar
den information som är nödvändig för att bedöma om de åtgärder som entiteterna har vidtagit för att säkerställa sin motståndskraft uppfyller kraven i artikel 13,
bevis på att de åtgärderna faktiskt har genomförts, inklusive resultatet av en revision som har utförts av en oberoende och kvalificerad revisor som har valts av entiteten och som har utförts på entitetens bekostnad.
När de behöriga myndigheterna begär denna information ska de ange syftet med kravet och specificera vilken information som krävs.
Utan att det påverkar möjligheten att ålägga sanktioner i enlighet med artikel 22 får de behöriga myndigheterna, efter de tillsynsåtgärder som avses i punkt 1 i den här artikeln eller den bedömning av information som avses i punkt 2 i den här artikeln, beordra de berörda kritiska entiteterna att vidta de åtgärder som är nödvändiga och proportionella för att avhjälpa konstaterade överträdelser av detta direktiv, inom en rimlig tidsfrist som fastställs av de myndigheterna, och att lämna information om de åtgärder som har vidtagits till de myndigheterna. Sådana förelägganden ska framför allt ta hänsyn till hur allvarlig överträdelsen är.
Medlemsstaterna ska säkerställa att de befogenheter som anges i punkterna 1, 2 och 3 endast kan utövas om de omfattas av lämpliga skyddsåtgärder. Sådana skyddsåtgärder ska särskilt garantera att befogenheterna utövas på ett objektivt, öppet och proportionerligt sätt och att de berörda kritiska entiteternas rättigheter och legitima intressen, såsom skyddet av handels- och affärshemligheter, skyddas på vederbörligt sätt, däribland rätten att höras, rätten till försvar och rätten till rättslig prövning inför en oberoende domstol.
Medlemsstaterna ska säkerställa att när en behörig myndighet enligt detta direktiv bedömer efterlevnaden hos en kritisk entitet enligt denna artikel ska den behöriga myndigheten informera de behöriga myndigheterna i de berörda medlemsstaterna enligt direktiv (EU) 2022/2555. I detta syfte ska medlemsstaterna säkerställa att de behöriga myndigheterna enligt det här direktivet kan begära att de behöriga myndigheterna enligt direktiv (EU) 2022/2555 ska utöva sina tillsyns- och efterlevnadskontrollbefogenheter med avseende på en entitet enligt det direktivet som har identifierats som en kritisk entitet enligt det här direktivet. För det ändamålet ska medlemsstaterna säkerställa att de behöriga myndigheterna enligt det här direktivet samarbetar och utbyter information med de behöriga myndigheterna enligt direktiv (EU) 2022/2555.
Relevant recitals
Skäl 12 Confidentiality
För att inte äventyra nationell säkerhet eller kritiska entiteters säkerhetsintressen och kommersiella intressen bör tillgången till samt utbytet och hanteringen av känslig information ske med försiktighet och med särskild hänsyn till de transmissionskanaler och den lagringskapacitet som används.
Skäl 24 Relation to requirements and competent authorities under the NIS 2 directive
De behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 bör samarbeta och utbyta information i fråga om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska entiteter samt i fråga om relevanta åtgärder som vidtas de behöriga myndigheterna enligt det här direktivet och de behöriga myndigheterna enligt direktiv (EU) 2022/2555. Det är viktigt att medlemsstaterna säkerställer att kraven i det här direktivet och i direktiv (EU) 2022/2555 genomförs på ett kompletterande sätt och att kritiska entiteter inte utsätts för en administrativ börda som går utöver vad som är nödvändigt för att uppnå målen i det här direktivet och i det direktivet.
Skäl 27 Relation to overlapping EU or national law in supervision
Om det enligt bestämmelser i unionsrätten eller nationell rätt krävs att kritiska entiteter ska bedöma risker som är relevanta för tillämpningen av detta direktiv och vidta åtgärder för att säkerställa sin motståndskraft, bör dessa krav beaktas på lämpligt sätt vid tillsynen av de kritiska entiteternas efterlevnad av detta direktiv.
Skäl 40 Powers of the competent authorities
Medlemsstaterna bör säkerställa att deras behöriga myndigheter har vissa särskilda befogenheter att tillämpa och kontrollera efterlevnaden av detta direktiv på ett korrekt sätt med avseende på kritiska entiteter, när dessa entiteter omfattas av deras jurisdiktion i enlighet med vad som fastställs i detta direktiv. Dessa befogenheter bör särskilt omfatta befogenhet att utföra inspektioner och revisioner, befogenhet att utöva tillsyn, befogenhet att kräva att kritiska entiteter ska lämna information och bevis som rör de åtgärder de har vidtagit för att uppfylla sina skyldigheter och, vid behov, befogenhet att utfärda förelägganden om att avhjälpa konstaterade överträdelser. När medlemsstaterna utfärdar sådana förelägganden bör de inte kräva åtgärder som går utöver vad som är nödvändigt och proportionerligt för att säkerställa att den berörda kritiska entiteten uppfyller skyldigheterna, med beaktande av, i synnerhet, överträdelsens allvarlighetsgrad och den berörda kritiska entitetens ekonomiska kapacitet. Mer generellt bör dessa befogenheter åtföljas av lämpliga och effektiva skyddsåtgärder som ska fastställas i nationell rätt i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna. När de behöriga myndigheterna enligt detta direktiv bedömer om en kritisk entitet uppfyller sina skyldigheter enligt detta direktiv bör de kunna begära att de behöriga myndigheterna enligt direktiv (EU) 2022/2555 utövar sina tillsyns- och efterlevnadskontrollbefogenheter med avseende på en entitet enligt det direktivet som har identifierats som en kritisk entitet enligt det här direktivet. De behöriga myndigheterna enligt det här direktivet och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 bör samarbeta och utbyta information för detta ändamål.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
risk
Definition
samhällsviktig tjänst
(En. essential service)
Definition
incident
Definition
motståndskraft
(En. resilience)
Definition
kritisk entitet
(En. critical entity)