Source: OJ L 333, 27.12.2022, pp. 164–198

Artikel 8 Kritiska entiteter inom sektorerna för bankverksamhet, finansmarknadsinfrastruktur och digital infrastruktur

Summary What does Article 8 of the CER directive say?

Article 8 functions as a carve-out provision, establishing that certain critical entities are exempt from key obligations that apply to critical entities more broadly under this Directive.

Specifically, critical entities identified in the banking, financial market infrastructure, and digital infrastructure sectors (points 3, 4 and 8 of the Annex) are excluded from the cross-border consultation requirements of Article 11 and from the resilience obligations, incident notification rules, and supervision and enforcement provisions found in Chapters III, IV and VI.

This exemption exists because those sectors are already subject to equivalent obligations under other Union legal acts, notably DORA and NIS2.

Member States retain the ability to go further under national law, provided they stay within the bounds of applicable Union law.

Important points:

Member States are required to ensure that critical entities in the banking, financial market infrastructure, and digital infrastructure sectors are not subject to Article 11 or Chapters III, IV and VI of this Directive.
This article acts as an exception to the general obligations placed on critical entities throughout the Directive, reflecting that these sectors are governed by sector-specific Union rules.
Member States may adopt or maintain national provisions to achieve a higher level of resilience for these entities, as long as those provisions are consistent with applicable Union law.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Medlemsstaterna ska säkerställa att artikel 11 och kapitlen III, IV och VI inte är tillämpliga på kritiska entiteter som de har identifierat inom de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan. Medlemsstaterna får anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.

Relevant recitals

Skäl 20 All-hazards approach of the NIS 2 directive

Enligt direktiv (EU) 2022/2555 ska entiteter som tillhör sektorn för digital infrastruktur, vilka kan identifieras som kritiska entiteter enligt det här direktivet, vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem samt för att underrätta om betydande incidenter och cyberhot. Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung tillämpas i direktiv (EU) 2022/2555 en allriskansats som omfattar motståndskraften hos nätverks- och informationssystem och dessa systems fysiska komponenter och miljö.

Eftersom de krav som fastställs i direktiv (EU) 2022/2555 i det avseendet minst är likvärdiga med motsvarande skyldigheter enligt det här direktivet, bör de skyldigheter som fastställs i artikel 11 och kapitlen III, IV och VI i detta direktiv inte vara tillämpliga på entiteter som tillhör sektorn för digital infrastruktur, för att undvika dubbelarbete och en onödig administrativ börda. Med tanke på hur viktiga de tjänster som tillhandahålls av entiteter inom sektorn för digital infrastruktur är för kritiska entiteter som tillhör alla andra sektorer, bör medlemsstaterna dock, med utgångspunkt i de kriterier och enligt det förfarande som föreskrivs i det här direktivet, identifiera entiteter som tillhör sektorn för digital infrastruktur som kritiska entiteter. Följaktligen bör strategierna, medlemsstaternas riskbedömningar och de stödåtgärder som anges i kapitel II i det här direktivet vara tillämpliga. Medlemsstaterna bör ha rätt att anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.

Skäl 21 Exemptions for financial entities under the DORA regulation

I unionsrätten om finansiella tjänster införs heltäckande krav på att finansiella entiteter ska hantera alla risker de ställs inför, inklusive operativa risker, och säkerställa driftskontinuitet. Denna rätt inbegriper Europaparlamentets och rådets förordningar (EU) nr 648/2012(⁸), (EU) nr 575/2013(⁹) och (EU) nr 600/2014(¹⁰) samt Europaparlamentets och rådets direktiv 2013/36/EU(¹¹) och 2014/65/EU(¹²). Denna rättsliga ram kompletteras av Europaparlamentets och rådets förordning (EU) 2022/2554(¹³), där det fastställs krav som är tillämpliga på finansiella entiteter i fråga om riskhantering inom informations- och kommunikationsteknik (IKT), däribland beträffande skyddet av fysisk IKT-infrastruktur. Eftersom de entiteternas motståndskraft därför omfattas på ett heltäckande sätt bör artikel 11 och kapitlen III, IV och VI i det här direktivet inte vara tillämpliga på dessa entiteter, för att undvika dubbelarbete och en onödig administrativ börda.

Med tanke på hur viktiga de tjänster som tillhandahålls av entiteter i finanssektorn är för kritiska entiteter som tillhör alla andra sektorer, bör medlemsstaterna dock, med utgångspunkt i de kriterier och enligt det förfarande som föreskrivs i det här direktivet, identifiera entiteter i finanssektorn som kritiska entiteter. Följaktligen bör strategierna, medlemsstaternas riskbedömningar och de stödåtgärder som anges i kapitel II i det här direktivet vara tillämpliga. Medlemsstaterna bör ha rätt att anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.