Direktivet om kritiska entiteters motståndskraft (Critical Entities Resilience Directive, CER-direktivet), beslutades den 14 december 2022.
CER-direktivet syftar till att minska sårbarheter och stärka den fysiska motståndskraften hos samhällsviktig verksamhet (kritiska entiteter) inom EU för att säkerställa ett oavbrutet tillhandahållande av tjänster som är väsentliga för ekonomin och samhället som helhet samt öka motståndskraften hos den samhällsviktiga verksamhet som tillhandahåller dessa tjänster. Detta i sig innebär ett stärkt totalförsvar då såväl civilt försvar som militärt försvar är beroende av samhällsviktig verksamhet.
CER-direktivet målgrupp och åtgärder är i inte oväsentlig grad samordnade med motsvarande i NIS2-direktivet. Av skälen till CER-direktivet framgår det att medlemsstaterna bör, med tanke på hur viktig cybersäkerhet är för motståndskraften och för att skapa enhetlighet, när så är möjligt, säkerställa samstämmighet mellan CER-direktivet och NIS2-direktivet.
CER-direktivet anger att medlemsstaterna ska ta fram en nationell strategi för att säkerställa resiliensen inom samhällsviktig verksamhet. Det ställs även krav på nationella risk- och sårbarhetsanalyser. Tillhandahållare av samhällsviktig verksamhet ska göra riskbedömningar, vidta åtgärder för att stärka sin robusthet och resiliens och rapportera störningar och avbrott till nationella myndigheter. Dessutom införs en skyldighet för vissa verksamheter att göra bakgrundskontroller vid nyanställning och anlitande av konsulter. Vidare ska medlemsstaterna se till att tillhandahållare av samhällsviktig verksamhet vidtar lämpliga och proportionella åtgärder för att säkerställa sin motståndskraft. Exempel på detta är tillfredsställande fysiskt skydd, förmåga att återhämta sig efter incidenter och ändamålsenliga rutiner för personalsäkerhet.
Incidenter som har eller kan medföra betydande störning ska utan onödigt dröjsmål rapporteras till den behöriga myndigheten som pekats ut som nationell kontaktpunkt för arbetet gentemot EU-kommissionen och andra medlemsländer. Dessutom införs ett system för stresstester av enskilda organisationer och mellan medlemsstater.
CER-direktivet börjar tillämpas den 18 oktober 2024. Den 23 februari 2023 fattade regeringen beslut om att ge en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att CER-direktivet ska kunna genomföras. Uppdraget ska redovisas senast 23 februari 2024.