NSR deltok på innspillsmøte om CER-direktivet

Direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet) har som mål å øke robustheten i virksomheter som leverer samfunnskritiske tjenester. Direktivet stiller krav til nasjonale myndigheter om å identifisere kritiske enheter og etablere risikostyringssystemer. Utpekte virksomheter pålegges å gjennomføre risikoanalyser, beskytte mot fysiske og digitale trusler og rapportere alvorlige hendelser.

NSR har vurdert både positive og negative konsekvenser for næringslivet, og fremførte disse for justisministeren. Her er en kort oppsummering av våre innspill:

Positive konsekvenser

1. Økt fokus på robusthet og beredskap

Direktivet forplikter kritiske virksomheter til å gjennomføre helhetlige risikovurderinger og iverksette tiltak for å håndtere både naturlige, teknologiske og menneskeskapte trusler. Dette vil kunne forbedre sikkerhetskulturen og øke den organisatoriske motstandsdyktigheten. Ved å systematisere beredskapsarbeidet må ledelsen ta stilling til trusler som tidligere har vært underprioritert.

2. Harmonisering og forutsigbarhet i regelverk

En felles europeisk ramme for beskyttelse av kritisk infrastruktur vil bidra til mer ensartet regulering på tvers av landegrenser. For virksomheter med aktivitet i flere EØS-land gir dette bedre forutsigbarhet og mindre administrativ kompleksitet. Samtidig muliggjør det samarbeid på tvers av sektorer og land, med erfaringsdeling, felles standarder og øvelser.

3. Økt tillit og bedre markedsposisjon

Etterlevelse av direktivets krav kan gi et konkurransefortrinn. Kunder, partnere og myndigheter vil i økende grad etterspørre dokumentert motstandsdyktighet og kontinuitetsevne. Det kan også redusere risikoen for omdømmekriser. For virksomheter i kritiske sektorer kan god risikostyring være en faktor som skiller dem fra konkurrentene. Regelverket for offentilge anskaffelser kan endres og brukes til å stimulere til en sikkerhets- og beredskapsøkonomi.

Negative konsekvenser

1. Økte kostnader og administrativ byrde

Innføring av krav til risikostyring, hendelsesrapportering, fysisk sikring og regelmessig revisjon vil påføre mange virksomheter betydelige kostnader – både i investeringer og løpende drift. For små og mellomstore aktører kan dette bli en barriere for fortsatt virksomhet i kritiske sektorer. Utfordringen for myndighetene blir å sikre at implementeringen er proporsjonal og skalerbar.

2. Regelverkskompleksitet og fortolkningstvil

Direktivet stiller overordnede krav, og mye overlates til nasjonal implementering og tolkning. Uten klare retningslinjer kan virksomheter bli usikre på hva som faktisk kreves. Dette kan føre til både over- og underimplementering, svekket rettssikkerhet og ulik praksis mellom sektorer.

3. Risiko for overregulering og innovasjonshemming

Dersom direktivet praktiseres rigid, kan det føre til unødvendig byråkrati og redusert innovasjonstakt, særlig innen teknologikrevende sektorer. Virksomheter må kunne tilpasse seg raskt skiftende trusselbilde og teknologiske muligheter. Regelverket må derfor utformes med tilstrekkelig fleksibilitet og rom for risikobasert tilpasning.

Andre konsekvenser

1. Konkurransevridning og nasjonal variasjon

Direktivet åpner for nasjonale tilpasninger, og ulik praksis i identifisering og oppfølging av kritiske enheter kan føre til konkurransevridning innen EØS. Virksomheter i enkelte land kan pålegges strengere krav enn sine konkurrenter i andre markeder, noe som gir en skjev konkurransesituasjon.

2. Økt avhengighet av underleverandører

For å møte kravene i direktivet vil mange virksomheter måtte inngå avtaler med spesialiserte leverandører av sikkerhets- og beredskapstjenester. Dette kan føre til økt kompleksitet og nye avhengigheter, inkludert risiko knyttet til leverandørens kapasitet og sikkerhetsnivå. Leverandørkjeder må derfor vurderes som en del av den helhetlige risikoen.

3. Behov for tillitsbasert informasjonsdeling

Direktivet forutsetter rapportering og deling av informasjon om sårbarheter og hendelser mellom virksomheter og myndigheter. Dette reiser spørsmål om håndtering av sensitiv informasjon, konfidensialitet og tillit. For at dette skal fungere, må det etableres klare prosedyrer for informasjonsdeling, inkludert beskyttelse av konkurransesensitivt og personidentifiserbart materiale.

Videre oppfølging

NSR er svært fornøyd med at departementet inviterer representanter fra næringslivet til et slikt innspillsmøte som en del av forberedelsene med direktivarbeidet. Vi vil følge opp dette arbeidet videre, og inviterer samtidig våre medlemmer til å dele sine synspunkter med oss.