Source: OJ L 333, 27.12.2022, pp. 164–198Current language: SV
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 6 Identifiering av kritiska entiteter
Summary What does Article 6 of the CER directive say?
This is a central procedural article that establishes how Member States must identify critical entities within their territory.
It is the engine of the entire directive, as the identification process it sets out is what triggers the obligations placed on entities under the rest of the act.
Member States must apply a defined set of cumulative criteria — drawing on their risk assessments and national strategies — to determine which entities qualify as critical, compile a formal list, and notify those entities accordingly.
The article also establishes a link to the cybersecurity framework by requiring national competent authorities to share the list of identified critical entities with their counterparts under Directive (EU) 2022/2555.
The list is not static; Member States must review and update it at least every four years.
Important points:
- Member States are required to identify and formally notify critical entities by 17 July 2026, with Chapter III obligations applying to those entities 10 months after notification.
- Three cumulative criteria must all be met for an entity to be identified as critical: it provides an essential service, it operates on the territory of that Member State, and a disruption would have significant effects on essential service provision.
- Member States are required to review the list of critical entities at least every four years, and competent authorities must notify their counterparts under Directive (EU) 2022/2555 of all identified critical entities within one month of identification.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Senast den 17 juli 2026 ska medlemsstaterna identifiera de kritiska entiteterna för de sektorer och undersektorer som anges i bilagan.
När en medlemsstat identifierar kritiska entiteter enligt punkt 1 ska den ta hänsyn till resultatet av sin riskbedömning samt sin strategi och tillämpa samtliga följande kriterier:
Entiteten tillhandahåller en eller flera samhällsviktiga tjänster.
Entiteten bedriver verksamhet, och dess kritiska infrastruktur är belägen, på denna medlemsstats territorium.
En incident skulle få betydande störande effekter, enligt vad som fastställs i enlighet med artikel 7.1, för entitetens tillhandahållande av en eller flera samhällsviktiga tjänster eller för tillhandahållandet av andra samhällsviktiga tjänster i de sektorer som anges i bilagan och som är beroende av den eller de samhällsviktiga tjänsterna.
Varje medlemsstat ska upprätta en förteckning över de kritiska entiteter som har identifierats enligt punkt 2 och säkerställa att dessa kritiska entiteter underrättas om att de har identifierats som kritiska entiteter inom en månad från identifieringen. Medlemsstaterna ska informera dessa kritiska entiteter om deras skyldigheter enligt kapitlen III och IV och om det datum från och med vilket dessa skyldigheter är tillämpliga på dem, utan att detta påverkar tillämpningen av artikel 8. Medlemsstaterna ska informera kritiska entiteter i de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan om att de inte har några skyldigheter enligt kapitlen III och IV såvida inte nationella åtgärder föreskriver något annat.
För de berörda kritiska entiteterna ska kapitel III vara tillämpligt från och med tio månader efter dagen för den underrättelse som avses i första stycket i denna punkt.
Medlemsstaterna ska säkerställa att deras behöriga myndigheter enligt detta direktiv underrättar de behöriga myndigheterna enligt direktiv (EU) 2022/2555 om identiteten på de kritiska entiteter som de har identifierat enligt denna artikel inom en månad från den identifieringen. Denna underrättelse ska, i tillämpliga fall, innehålla information om att de berörda kritiska entiteterna är entiteter i de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan till det här direktivet och inte har några skyldigheter enligt kapitlen III och IV i det här direktivet.
Medlemsstaterna ska när så är nödvändigt och minst vart fjärde år se över och när så är lämpligt uppdatera förteckningen över identifierade kritiska entiteter som avses i punkt 3. Om dessa uppdateringar leder till att ytterligare kritiska entiteter identifieras ska punkterna 3 och 4 tillämpas på dessa ytterligare kritiska entiteter. Dessutom ska medlemsstaterna säkerställa att entiteter som inte längre identifieras som kritiska entiteter till följd av en sådan uppdatering i god tid underrättas om detta och om att de inte längre omfattas av skyldigheterna enligt kapitel III från och med dagen för mottagandet av denna underrättelse.
Kommissionen ska i samarbete med medlemsstaterna utarbeta rekommendationer och icke-bindande riktlinjer för att stödja medlemsstaterna i arbetet med att identifiera kritiska entiteter.
Relevant recitals
Skäl 8 Member States to identify critical entities
För att uppnå en hög grad av motståndskraft bör medlemsstaterna identifiera kritiska entiteter som kommer att omfattas av särskilda krav och tillsyn och som kommer att ges särskilt stöd och vägledning med avseende på alla relevanta risker.
Skäl 16 Consistent identification of critical entities
För att säkerställa att alla relevanta entiteter omfattas av kraven på motståndskraft i detta direktiv och för att minska skillnaderna i det avseendet är det viktigt att införa harmoniserade regler som möjliggör en enhetlig identifiering av kritiska entiteter i hela unionen och samtidigt ger medlemsstaterna möjlighet att på lämpligt sätt återge dessa entiteters roll och betydelse på nationell nivå. Varje medlemsstat bör vid tillämpning av de kriterier som fastställs i detta direktiv identifiera entiteter som tillhandahåller en eller flera samhällsviktiga tjänster och som bedriver verksamhet och har kritisk infrastruktur på dess territorium. En entitet bör anses bedriva verksamhet på territoriet i en medlemsstat där den utför verksamhet som är nödvändig för den eller de samhällsviktiga tjänsterna i fråga och där den entitetens kritiska infrastruktur, som används för att tillhandahålla tjänsten eller tjänsterna, är belägen. Om ingen entitet uppfyller dessa kriterier i en medlemsstat bör den medlemsstaten inte vara skyldig att identifiera en kritisk entitet i motsvarande sektor eller undersektor. För att skapa ändamålsenlighet, effektivitet, enhetlighet och rättssäkerhet bör det också fastställas lämpliga regler för att underrätta entiteter om att de har identifierats som kritiska entiteter.
Skäl 17 List of essential services
Medlemsstaterna bör, på ett sätt som uppfyller målen för detta direktiv, till kommissionen överlämna en förteckning över samhällsviktiga tjänster, antalet kritiska entiteter som har identifierats för varje sektor och undersektor som anges i bilagan och för den eller de samhällsviktiga tjänster som varje entitet tillhandahåller och, om sådana tillämpas, tröskelvärden. Det bör vara möjligt att presentera tröskelvärden som sådana eller i aggregerad form, vilket innebär att genomsnittliga uppgifter kan anges per geografiskt område, per år, per sektor, per undersektor eller på annat sätt, och att uppgifter om intervallet för tillhandahållna indikatorer kan ingå.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
risk
Definition
samhällsviktig tjänst
(En. essential service)
Definition
incident
Definition
motståndskraft
(En. resilience)
Definition
riskbedömning
(En. risk assessment)
Definition
kritisk entitet
(En. critical entity)
Definition
kritisk infrastruktur
(En. critical infrastructure)