Přeskočit na hlavní obsah

Směrnice o odolnosti kritických subjektů CER – co přináší a jak se na ni připravit?

Kontaktujte nás
Žádost o vypracování nabídky

Minulý rok nabyla účinnosti nejen směrnice NIS2, ale též takzvaná směrnice CER. Critical Entities Resilience (CER) odkazuje k souboru směrnic a doporučení Evropské unie, jejichž cílem je snížit zranitelnost a posílit odolnost kritických subjektů před různými hrozbami. Směrnice č. 2022/2557 ze dne 14. prosince 2022 představuje aktualizaci a náhradu směrnice o evropské kritické infrastruktuře z roku 2008 (2008/114/ES), která se věnovala pouze vybraným odvětvím a obsahovala ustanovení týkající se výhradně určitých částí odolnosti. Pravidla z roku 2022 tak mají za cíl posílit odolnost kritických subjektů vůči široké škále hrozeb, včetně těch přírodního rázu, terorismu, hybridních anebo vnitřních hrozeb a sabotáže v řadě odvětvích.

 

Koho se CER týká?
 

Směrnice o odolnosti kritických subjektů definuje takzvané „kritické subjekty“, které jsou vnímány jako nezbytné pro udržení kontinuity společenského a hospodářského života. Za „kritický subjekt evropského významu“ se považuje entita, která poskytuje také fundamentální služby v šesti nebo více členských státech Evropské unie a spadá do některého z 11 specifikovaných sektorů, které jsou vnímány jako klíčové pro zachování důležitých společenských funkcí a ekonomických činností, veřejného zdraví a bezpečnosti nebo životního prostředí:

  • Energetika, včetně výroby, skladování a distribuce energie
  • Doprava (letecká, železniční, vodní, silniční, veřejná) a správa relevantní infrastruktury
  • Bankovnictví
  • Infrastruktura finančních trhů
  • Digitální infrastruktura
  • Veřejná správa
  • Výroba, zpracování a distribuce potravin
  • Zdraví
  • Pitná voda
  • Odpadní voda
  • Vesmír

Tyto kritické subjekty jsou vystaveny rizikům souvisejících nejen s přírodními katastrofami, ale také cíleným útokům, ať už ze strany hackerů nebo teroristických skupin, což zdůrazňuje potřebu jejich plošné ochrany a zvýšení odolnosti. V souladu se směrnicí budou tak členské státy povinny nejen identifikovat kritické subjekty, a to konkrétně do 17. července 2026, ale také je podporovat při plnění povinností ze směrnice vyplývající. 

Business Corporate Management Planning Team Concept; Shutterstock ID 397123759
Na co se CER zaměřuje?

 

Směrnice o odolnosti kritických subjektů prioritně řeší tři důležité aspekty. Prvním z nich je zvyšování odolnosti subjektů vůči různým hrozbám, včetně kybernetických útoků, přírodních katastrof a teroristických aktivit. Druhým je ochrana uživatelů digitálních služeb, možnost zvýšení jejich důvěry a minimalizace jejich vystavení nelegálnímu, škodlivému nebo manipulativnímu obsahu. V neposlední řadě jde o transparentnost a dohled, přičemž CER stanovuje konkrétní požadavky na dohled nad poskytovateli digitálních služeb a snaží se zajistit, aby kritické subjekty byly transparentní  ohledně jejich postupů a aktivně spolupracovaly s regulačními orgány.

V souvislosti s těmito cíli budou členské státy EU muset vypracovat a zavést národní strategii pro zvýšení odolnosti kritických subjektů, dle níž budou následně jednotlivé subjekty, na něž bude strategie aplikovatelná, povinny provádět hodnocení rizik nejméně jednou za čtyři roky – budou zodpovědní za identifikaci příslušných rizik, která mohou významně narušit poskytování jejich služeb, přijetí vhodných opatření k zajištění vyšší úrovně vlastní odolnosti a zároveň za reportování událostí narušující jejich odolnost směrem k příslušným orgánům.

 
Proč je CER důležitá?
 

Směrnice o odolnosti kritických subjektů je vedle nařízení DORA a směrnice NIS2 dalším legislativním nástrojem, na který je třeba se řádně připravit. Jelikož se jedná o směrnici, její platnost automaticky neznamená konkrétní aplikovatelnost na jednotlivé subjekty. To je až na členských státech, které jsou povinni znění směrnice transponovat do lokální legislativy a určit konkrétní vymahatelná pravidla.

Celkově se tak jedná o jakýsi návod ve formě doporučení a opatření s cílem dosáhnou vysoké úrovně odolnosti všech identifikovaných kritických subjektů v zájmu zajištění poskytování základních služeb v Evropské unii a zlepšení fungování vnitřního trhu. Následování takových vodítek, které evropské instituce ve směrnicích poskytují, je tedy zcela zásadní pro zvýšení bezpečnosti všech dotčených subjektů a jejich klientů, budování důvěry a odolného provozu, dodržování plošných pravidel a udržování dobré pověsti a konkurenceschopnosti.

Nedostatečná příprava a nedodržování některých ustanovení pak může vést k pokutám nebo zákazům činnosti. Konkrétní sankce nicméně vymezí až národní legislativy, které musí být dostupné do dvou let od vstupu směrnice v platnost.

S čím můžeme pomoci?

Náš tým zkušených odborníků je připraven poskytnout komplexní soubor služeb pokrývající široké spektrum vašich potřeb, od základní GAP analýzy, přes strategické poradenství, až po implementační kroky:

 Provádíme detailní analýzu rizik, která napomáhá identifikovat a zhodnotit potenciální hrozby, jimž jsou jednotlivé subjekty vystaveny a na které je třeba se proaktivně připravovat. Zhodnotíme pravděpodobnost výskytu různých rizik a jejich možný dopad. Na základě analýzy rizik následně asistujeme s určením priorit, což vám může umožnit efektivněji alokovat zdroje pro řešení jednotlivých problémů.

Pomáháme při přípravě a realizaci důkladné analýzy současného stavu vaší odolnosti vůči rizikům, identifikujeme nedostatky ve vašich stávajících opatřeních a navrhneme konkrétní kroky, jak je zlepšit.

Pomáháme s tvorbou politik a kontrolních rámců pro dodržování předpisů, pravidel a standardů. Zajišťujeme tak, že vaše postupy a procedury jsou v souladu s relevantními právními a bezpečnostními požadavky.

Nabízíme školení a workshopy pro váš personál, které zvyšují povědomí o rizicích a nutnosti zvyšování odolnosti vůči jednotlivým hrozbám. Poskytujeme praktické dovednosti pro reakci na krizové situace.

V Deloitte aktivně pomáháme s přípravou na dodržování veškerých relevantních pravidel, která z legislativy vyplývají, ať už se jedná o nařízení DORA, směrnici NIS2 a související Zákon o kybernetické bezpečnosti nebo právě směrnici CER. 

Kontaktujte nás

Jakub Höll

Director
+420 734 353 815

Martin Antoš

Manager