CER prioritně řeší tři důležité aspekty. Prvním z nich je zvyšování odolnosti subjektů vůči různým hrozbám, včetně kybernetických útoků, přírodních katastrof a teroristických aktivit. Druhým je ochrana uživatelů digitálních služeb, možnost zvýšení jejich důvěry a minimalizace jejich vystavení nelegálnímu, škodlivému nebo manipulativnímu obsahu. V neposlední řadě jde o transparentnost a dohled, přičemž CER stanovuje konkrétní požadavky na dohled nad poskytovateli digitálních služeb a snaží se zajistit, aby kritické subjekty byly transparentní ohledně svých postupů a aktivně spolupracovaly s regulačními orgány.

V souvislosti s těmito cíli budou členské státy EU muset vypracovat a zavést národní strategii pro zvýšení odolnosti kritických subjektů, dle níž budou následně jednotlivé subjekty, na něž bude strategie aplikovatelná, povinny provádět hodnocení rizik nejméně jednou za čtyři roky – budou zodpovědní za identifikaci rizik, která mohou významně narušit poskytování jejich služeb, přijetí vhodných opatření k zajištění vyšší úrovně vlastní odolnosti a zároveň za reportování událostí narušujících jejich odolnost směrem k příslušným orgánům.

CER je vedle nařízení o digitální provozní odolnosti (DORA) a směrnice NIS2 dalším legislativním nástrojem, na který je třeba se řádně připravit. Jelikož se jedná o směrnici, její platnost automaticky neznamená konkrétní aplikovatelnost na jednotlivé subjekty. To je až na členských státech EU, které jsou povinny znění směrnice transponovat do lokální legislativy a určit konkrétní vymahatelná pravidla. V České republice se jedná o novelu zákona o kritické infrastruktuře.

Celkově je CER jakýsi návod ve formě doporučení a opatření s cílem dosáhnou vysoké úrovně odolnosti všech identifikovaných kritických subjektů v zájmu zajištění poskytování základních služeb v EU a zlepšení fungování vnitřního trhu. Do ledna 2026 musí každý členský stát EU vypracovat strategii pro posílení odolnosti kritických subjektů. Následně, do července 2026, mají členské státy povinnost sestavit seznam kritických subjektů. Posledním krokem je podání zprávy o souladu s požadavky směrnice Evropské komisi, a to nejpozději do července 2027.

Jak NIS2, tak DORA sdílejí několik společných cílů s CER, zejména pokud jde o zvyšování odolnosti a zlepšování bezpečnosti kritických sektorů.

Zatímco NIS2 i CER pokrývají stejná odvětví, hlavním zaměřením NIS2 je posílení kybernetické bezpečnosti síťových a informačních systémů, přičemž klade důraz na národní strategie kybernetické bezpečnosti, hodnocení rizik, reakci na incidenty a ochranu digitálních infrastruktur. NIS2 se zároveň soustředí na řízení kybernetických rizik a poskytuje podrobnější ustanovení týkající se informační bezpečnosti, včetně šifrování, správy zranitelností a krizových rámců pro kybernetickou bezpečnost.

Na rozdíl od NIS2 a CER je DORA přímo aplikovatelné nařízení zaměřené konkrétně na bankovnictví, infrastrukturu finančních trhů a digitální infrastrukturu. DORA se shoduje s CER v cíli zvýšit odolnost, zejména v kontextu kontinuity podnikání, nicméně vyžaduje konkrétní opatření pro hlášení incidentů, řízení rizik třetích stran a testování digitální operační odolnosti.

Náš tým zkušených odborníků je připraven poskytnout komplexní soubor služeb pokrývajících široké spektrum vašich potřeb, od základní gap analýzy přes strategické poradenství až po implementační kroky