De CER-richtlijn is gestructureerd om een alomvattend kader te bieden voor het vergroten van de veerkracht van kritieke entiteiten binnen de EU. De richtlijn bestaat uit verschillende hoofdstukken waarin de doelstellingen van de richtlijn, het toepassingsgebied, specifieke verplichtingen voor lidstaten en kritieke entiteiten en mechanismen voor samenwerking en handhaving worden beschreven. De structuur omvat:

Structuur en hoofdstukken

1. De CER-richtlijn is gestructureerd om een alomvattend kader te bieden voor het vergroten van de veerkracht van kritieke entiteiten binnen de EU. De richtlijn bestaat uit verschillende hoofdstukken waarin de doelstellingen van de richtlijn, het toepassingsgebied, specifieke verplichtingen voor lidstaten en kritieke entiteiten en de mechanismen voor samenwerking en handhaving worden beschreven.
2. Algemene bepalingen en doelstellingen: Dit deel definieert de doelstellingen van de richtlijn, waaronder het versterken van de weerbaarheid van kritieke entiteiten tegen verschillende risico's, waaronder natuurrampen, terrorisme en cyberaanvallen. Het stelt ook het toepassingsgebied van de richtlijn vast en identificeert de sectoren en soorten entiteiten die eronder vallen.
3. Verplichtingen voor lidstaten: De richtlijn bepaalt dat elke EU-lidstaat verantwoordelijk is voor het identificeren van kritieke entiteiten binnen zijn rechtsgebied. De lidstaten moeten ervoor zorgen dat deze entiteiten robuuste veerkrachtmaatregelen implementeren. Dit deel beschrijft ook de nationale kaders die de lidstaten moeten opstellen, met inbegrip van de aanwijzing van bevoegde autoriteiten en het opstellen van nationale strategieën voor de bescherming van kritieke infrastructuur.
4. Verplichtingen voor kritieke entiteiten: Kritische entiteiten die door lidstaten zijn geïdentificeerd, moeten voldoen aan specifieke vereisten onder de CER-richtlijn. Deze omvatten het uitvoeren van risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) beoordelingen, het implementeren van beveiligingsmaatregelen en het melden van incidenten die hun activiteiten kunnen beïnvloeden. De richtlijn benadrukt ook het belang van resilience planning en paraatheid en vereist dat entiteiten resilience plannen ontwikkelen en onderhouden.
5. Samenwerking en informatie-uitwisseling: De richtlijn bevordert de samenwerking tussen lidstaten en kritieke entiteiten. Zij schetst mechanismen voor het delen van informatie, zowel op nationaal als op EU-niveau, om de collectieve veerkracht te vergroten. Dit deel introduceert ook de rol van de Europese Commissie bij het faciliteren van samenwerking en het waarborgen van consistentie bij de implementatie van de richtlijn in de hele EU.
6. Toezicht en handhaving: De CER-richtlijn bevat bepalingen voor het toezicht op kritieke entiteiten en de handhaving van de naleving. De lidstaten moeten toezicht- en handhavingsmechanismen instellen om ervoor te zorgen dat kritieke entiteiten zich aan de eisen van de richtlijn houden. In dit hoofdstuk worden ook de sancties voor niet-naleving beschreven.
7. Slotbepalingen: Dit hoofdstuk bevat overgangsmaatregelen, tijdschema's voor de tenuitvoerlegging en bepalingen voor de herziening en wijziging van de richtlijn.
8. Belangrijkste onderdelen van de CER-richtlijn

Belangrijkste onderdelen van de CER-richtlijn

• Toepassingsgebied en definities: Definieert de kritieke sectoren die worden bestreken, zoals energie, transport, gezondheid, financiën en digitale infrastructuur.
• Vereisten voor risicobeheer en veerkracht: Specificeert dat kritieke entiteiten regelmatig risicobeoordelingen moeten uitvoeren en maatregelen moeten implementeren om de veerkracht te garanderen.
• IncidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) Rapportage en reactie: Schetst de vereisten voor kritieke entiteiten om incidenten te melden en de activiteiten tijdens verstoringen in stand te houden.
• Nationale strategieën en bevoegde autoriteiten: Geeft lidstaten de opdracht om nationale strategieën te ontwikkelen en autoriteiten aan te wijzen die verantwoordelijk zijn voor het toezicht op de implementatie van de richtlijn.
• Samenwerking en coördinatie: Stimuleert grensoverschrijdende samenwerking en informatie-uitwisseling om de algemene veerkracht van kritieke infrastructuur in de hele EU te vergroten.

De CER-richtlijn is een belangrijke stap voorwaarts in de inspanningen van de EU om kritieke infrastructuur te beschermen tegen een breed scala aan dreigingen. Door duidelijke verplichtingen voor zowel lidstaten als kritieke entiteiten vast te stellen, beoogt de richtlijn een veerkrachtigere en veiligere omgeving in de hele Unie te creëren.