Source: OJ L 333, 27.12.2022, pp. 164–198Current language: SV
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 12 Riskbedömning av kritiska entiteter
Utan hinder av den tidsfrist som anges i artikel 6.3 andra stycket ska medlemsstaterna säkerställa att kritiska entiteter gör en riskbedömning inom nio månader från mottagandet av den underrättelse som avses i artikel 6.3 och därefter när det är nödvändigt och minst vart fjärde år, på grundval av medlemsstaternas riskbedömningar och andra relevanta informationskällor, för att bedöma alla relevanta risker som kan störa tillhandahållandet av deras samhällsviktiga tjänster (riskbedömning av kritiska entiteter).
Riskbedömningar av kritiska entiteter ska innehålla en redogörelse för alla relevanta risker för naturolyckor och risker orsakade av människan som skulle kunna leda till en incident, inbegripet risker av sektorsövergripande eller gränsöverskridande slag, olyckor, naturkatastrofer, hot mot folkhälsan och hybridhot samt andra antagonistiska hot, inklusive terroristbrott enligt direktiv (EU) 2017/541. En riskbedömning av kritiska entiteter ska beakta den grad till vilken andra sektorer som anges i bilagan är beroende av den samhällsviktiga tjänst som tillhandahålls av den kritiska entiteten och den grad till vilken den kritiska entiteten är beroende av samhällsviktiga tjänster som tillhandahålls av andra entiteter i sådana andra sektorer, inbegripet i angränsande medlemsstater och tredjeländer i förekommande fall.
Om en kritisk entitet, i enlighet med skyldigheter som föreskrivs i andra rättsakter, har gjort andra riskbedömningar eller utarbetat dokument som är relevanta för dess riskbedömning av kritiska entiteter får den använda dessa bedömningar och dokument för att uppfylla kraven i denna artikel. När den behöriga myndigheten utövar sina tillsynsfunktioner får den slå fast att en befintlig riskbedömning som gjorts av en kritisk entitet och som omfattar de risker och den beroendegrad som avses i första stycket i denna punkt helt eller delvis uppfyller skyldigheterna enligt denna artikel.
Relevant recitals
Skäl 20 All-hazards approach of the NIS 2 directive
Enligt direktiv (EU) 2022/2555 ska entiteter som tillhör sektorn för digital infrastruktur, vilka kan identifieras som kritiska entiteter enligt det här direktivet, vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem samt för att underrätta om betydande incidenter och cyberhot. Eftersom hot mot säkerheten i nätverks- och informationssystem kan ha olika ursprung tillämpas i direktiv (EU) 2022/2555 en allriskansats som omfattar motståndskraften hos nätverks- och informationssystem och dessa systems fysiska komponenter och miljö.
Eftersom de krav som fastställs i direktiv (EU) 2022/2555 i det avseendet minst är likvärdiga med motsvarande skyldigheter enligt det här direktivet, bör de skyldigheter som fastställs i artikel 11 och kapitlen III, IV och VI i detta direktiv inte vara tillämpliga på entiteter som tillhör sektorn för digital infrastruktur, för att undvika dubbelarbete och en onödig administrativ börda. Med tanke på hur viktiga de tjänster som tillhandahålls av entiteter inom sektorn för digital infrastruktur är för kritiska entiteter som tillhör alla andra sektorer, bör medlemsstaterna dock, med utgångspunkt i de kriterier och enligt det förfarande som föreskrivs i det här direktivet, identifiera entiteter som tillhör sektorn för digital infrastruktur som kritiska entiteter. Följaktligen bör strategierna, medlemsstaternas riskbedömningar och de stödåtgärder som anges i kapitel II i det här direktivet vara tillämpliga. Medlemsstaterna bör ha rätt att anta eller behålla bestämmelser i nationell rätt för att uppnå en högre grad av motståndskraft för dessa kritiska entiteter, förutsatt att dessa bestämmelser är förenliga med tillämplig unionsrätt.
Skäl 28 Use of existing risk assessments
Kritiska entiteter bör ha en heltäckande bild av de relevanta risker som de är utsatta för och en skyldighet att analysera de riskerna. För det ändamålet bör de göra riskbedömningar när det är nödvändigt med hänsyn till deras specifika omständigheter och utvecklingen av riskerna, och under alla omständigheter vart fjärde år, för att bedöma alla relevanta risker som kan störa tillhandahållandet av deras samhällsviktiga tjänster (riskbedömning av kritiska entiteter). Om kritiska entiteter, i enlighet med skyldigheter som föreskrivs i andra rättsakter, har gjort andra riskbedömningar eller utarbetat dokument som är relevanta för riskbedömningen av kritiska entiteter bör de kunna använda dessa bedömningar och dokument för att uppfylla kraven i detta direktiv avseende riskbedömning av kritiska entiteter. En behörig myndighet bör kunna slå fast att en befintlig riskbedömning som gjorts av en kritisk entitet och som omfattar relevanta risker och den relevanta beroendegraden helt eller delvis uppfyller de skyldigheter som fastställs i detta direktiv.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.