Source: OJ L 333, 27.12.2022, pp. 164–198Current language: SV
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 9 Behöriga myndigheter och gemensam kontaktpunkt
Summary What does Article 9 of the CER directive say?
This article establishes the national governance architecture that Member States must put in place to implement the Directive.
It requires each Member State to designate competent authorities responsible for applying and enforcing the rules, and to set up a single point of contact to serve as the national liaison for cross-border cooperation.
The article also links to the broader regulatory ecosystem by specifying that, for certain sectors, the default competent authorities should be those already designated under related instruments such as DORA and the NIS2 Directive, though Member States retain flexibility to designate different authorities under their national frameworks.
Cooperation obligations run in multiple directions: between competent authorities domestically, across Member States via the single points of contact, and with NIS2 competent authorities on both cyber and non-cyber risks affecting critical entities.
Important points:
- Member States are required to designate competent authorities and a single point of contact, and must notify the Commission of their identity within three months of designation.
- Single points of contact are required to submit summary reports to the Commission and the Critical Entities Resilience Group every two years, covering notifications received and actions taken.
- Competent authorities must cooperate and exchange information with NIS2 competent authorities on cybersecurity and non-cyber risks affecting critical entities.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Varje medlemsstat ska utse eller inrätta en eller flera behöriga myndigheter som ansvariga för den korrekta tillämpningen och, vid behov, efterlevnadskontrollen avseende reglerna i detta direktiv på nationell nivå.
När det gäller de kritiska entiteterna inom de sektorer som anges i punkterna 3 och 4 i tabellen i bilagan till detta direktiv ska de behöriga myndigheterna i princip vara de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554. När det gäller de kritiska entiteterna inom den sektor som anges i punkt 8 i tabellen i bilagan till detta direktiv ska de behöriga myndigheterna i princip vara de behöriga myndigheterna enligt direktiv (EU) 2022/2555. Medlemsstaterna får utse en annan behörig myndighet för de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan till det här direktivet i enlighet med befintliga nationella ramar.
Om medlemsstaterna utser eller inrättar mer än en behörig myndighet ska de tydligt fastställa uppgifterna för var och en av de berörda myndigheterna och säkerställa att de samarbetar effektivt för att fullgöra sina uppgifter enligt detta direktiv, inbegripet vad gäller utseendet av och verksamheten inom den gemensamma kontaktpunkt som avses i punkt 2.
Varje medlemsstat ska utse eller inrätta en gemensam kontaktpunkt, som ska ha en sambandsfunktion för att säkerställa gränsöverskridande samarbete med de gemensamma kontaktpunkterna i andra medlemsstater och den grupp för kritiska entiteters motståndskraft som avses i artikel 19 (gemensam kontaktpunkt). I förekommande fall ska en medlemsstat utse sin gemensamma kontaktpunkt inom en behörig myndighet. I förekommande fall får en medlemsstat föreskriva att dess gemensamma kontaktpunkt även ska ha en sambandsfunktion med kommissionen och säkerställa samarbete med tredjeländer.
De gemensamma kontaktpunkterna ska senast den 17 juli 2028, och därefter vartannat år, lämna en sammanfattande rapport till kommissionen och den grupp för kritiska entiteters motståndskraft som avses i artikel 19 om de anmälningar som de har mottagit, inklusive antalet anmälningar, de anmälda incidenternas art och vilka åtgärder som vidtagits i enlighet med artikel 15.3.
Kommissionen ska i samarbete med gruppen för kritiska entiteters motståndskraft utveckla en gemensam rapporteringsmall. De behöriga myndigheterna får på frivillig basis använda den gemensamma rapporteringsmallen för att lämna in de sammanfattande rapporter som avses i första stycket.
Varje medlemsstat ska säkerställa att dess behöriga myndighet och gemensamma kontaktpunkt har de befogenheter och tillräckliga ekonomiska, personella och tekniska resurser som krävs för att på ett effektivt och ändamålsenligt sätt fullgöra de uppgifter som de har ålagts.
Varje medlemsstat ska säkerställa att dess behöriga myndighet när så är lämpligt och i enlighet med unionsrätten och nationell rätt samråder och samarbetar med andra relevanta nationella myndigheter, inbegripet de som ansvarar för civilskydd, brottsbekämpning och skydd av personuppgifter, samt med kritiska entiteter och relevanta berörda parter.
Varje medlemsstat ska säkerställa att dess behöriga myndighet enligt detta direktiv samarbetar och utbyter information med de behöriga myndigheterna enligt direktiv 2022/2555 om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska entiteter, inbegripet avseende relevanta åtgärder som har vidtagits av dess behöriga myndigheter och de behöriga myndigheterna enligt direktiv (EU) 2022/2555.
Inom tre månader från det att den behöriga myndigheten och den gemensamma kontaktpunkten har utsetts eller inrättats ska varje medlemsstat underrätta kommissionen om deras identitet och deras uppgifter och ansvarsområden enligt detta direktiv, deras kontaktuppgifter samt alla senare ändringar av dessa. Om medlemsstaterna har beslutat att utse en annan myndighet än de behöriga myndigheter som avses i punkt 1 andra stycket som behöriga myndigheter med avseende på de kritiska entiteterna i de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan ska de underrätta kommissionen om detta. Varje medlemsstat ska offentliggöra identiteten på dess behöriga myndighet och gemensamma kontaktpunkt.
Kommissionen ska offentliggöra en förteckning över de gemensamma kontaktpunkterna.
Relevant recitals
Skäl 22 Designation of competent authorities
Medlemsstaterna bör utse eller inrätta myndigheter som är behöriga att övervaka tillämpningen av och vid behov kontrollera efterlevnaden av reglerna i detta direktiv och säkerställa att dessa myndigheter har tillräckliga befogenheter och resurser. Med tanke på skillnaderna i nationella styrningsstrukturer och för att skydda redan befintliga sektoriella arrangemang eller unionens tillsyns- och regleringsorgan samt för att undvika dubbelarbete bör medlemsstaterna kunna utse eller inrätta mer än en behörig myndighet. Om en medlemsstat utser eller inrättar mer än en behörig myndighet bör den tydligt avgränsa de berörda myndigheternas respektive uppgifter och säkerställa att de samarbetar smidigt och effektivt. Alla behöriga myndigheter bör också samarbeta mer generellt med andra relevanta myndigheter, på både unionsnivå och nationell nivå.
Skäl 23 Single point of contact for cross-border coordination
För att underlätta gränsöverskridande samarbete och kommunikation och för att göra det möjligt att genomföra detta direktiv på ett effektivt sätt bör varje medlemsstat, utan att det påverkar tillämpningen av kraven i sektorsspecifika unionsrättsakter, utse en gemensam kontaktpunkt med ansvar för samordningen av frågor angående kritiska entiteters motståndskraft och gränsöverskridande samarbete på unionsnivå (gemensam kontaktpunkt), i förekommande fall inom en behörig myndighet. Varje gemensam kontaktpunkt bör även vid behov samarbeta och samordna kommunikationen med sin medlemsstats behöriga myndigheter, andra medlemsstaters gemensamma kontaktpunkter och gruppen för kritiska entiteters motståndskraft.
Skäl 24 Relation to requirements and competent authorities under the NIS 2 directive
De behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 bör samarbeta och utbyta information i fråga om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter som påverkar kritiska entiteter samt i fråga om relevanta åtgärder som vidtas de behöriga myndigheterna enligt det här direktivet och de behöriga myndigheterna enligt direktiv (EU) 2022/2555. Det är viktigt att medlemsstaterna säkerställer att kraven i det här direktivet och i direktiv (EU) 2022/2555 genomförs på ett kompletterande sätt och att kritiska entiteter inte utsätts för en administrativ börda som går utöver vad som är nödvändigt för att uppnå målen i det här direktivet och i det direktivet.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
risk
Definition
samhällsviktig tjänst
(En. essential service)
Definition
incident
Definition
motståndskraft
(En. resilience)
Definition
kritisk entitet
(En. critical entity)