Art. 4 Strategi för kritiska entiteters motståndskraft | CER directive | CER

1. Efter ett samråd som, i den mån det är praktiskt möjligt, ska vara öppet för berörda parter ska varje medlemsstat senast den 17 januari 2026 anta en strategi för att stärka kritiska entiteters motståndskraften kritisk entitets förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident. (strategin). Strategin ska innehålla strategiska mål och policyåtgärder, som bygger på relevanta befintliga nationella och sektorsspecifika strategier, planer eller liknande dokument, för att uppnå och upprätthålla en hög grad av motståndskraften kritisk entitets förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident. hos kritiska entiteter, och ska åtminstone omfatta de sektorer som anges i bilagan.
1. Varje strategi ska innehålla åtminstone följande delar:
  1. Strategiska mål och prioriteringar för att stärka kritiska entiteters övergripande motståndskraften kritisk entitets förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident., med beaktande av gränsöverskridande och sektorsöverskridande beroenden och ömsesidiga beroenden.
  2. En styrningsram för att uppnå de strategiska målen och prioriteringarna, inklusive en beskrivning av rollerna och ansvarsområdena för de olika myndigheter, kritiska entiteter och andra parter som deltar i genomförandet av strategin.
  3. En beskrivning av de åtgärder som är nödvändiga för att stärka kritiska entiteters övergripande motståndskraften kritisk entitets förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till och återhämta sig från en incident., inklusive en beskrivning av den riskbedömningden övergripande processen för att fastställa arten och omfattningen av en risk genom att identifiera och analysera potentiella relevanta hot, sårbarheter och faror som skulle kunna leda till en incident och genom att utvärdera den potentiella förlusten eller störningen i samband med tillhandahållandet av en samhällsviktig tjänst till följd av den incidenten. som avses i artikel 5.
  4. En beskrivning av den process genom vilken kritiska entiteter identifieras.
  5. En beskrivning av processen till stöd för kritiska entiteter i enlighet med detta kapitel, inbegripet åtgärder för att förbättra samarbetet mellan, å ena sidan den offentliga sektorn och, å andra sidan, den privata sektorn och offentliga och privata entiteter.
  6. En förteckning över de viktigaste myndigheter och berörda parter som inte är kritiska entiteter men som deltar i genomförandet av strategin.
  7. En policyram för samordning mellan de behöriga myndigheterna enligt detta direktiv och de behöriga myndigheterna enligt direktiv (EU) 2022/2555 för att dela information om cybersäkerhetsrisker, cyberhot och cyberincidenter och icke-cyberrelaterade risker, hot och incidenter och utföra tillsynsuppgifter.
  8. En beskrivning av de åtgärder som redan har införts för att underlätta genomförandet av skyldigheter enligt kapitel III i detta direktiv för små och medelstora företag i den mening som avses i bilagan till kommissionens rekommendation 2003/361/EG(³¹)Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36). som medlemsstaten i fråga har identifierat som kritiska entiteter.
2. Efter ett samråd som, i den mån det är praktiskt möjligt, är öppet för berörda parter ska medlemsstaterna uppdatera sina strategier minst vart fjärde år.
1. Medlemsstaterna ska meddela kommissionen sina strategier och betydande uppdateringar av dem inom tre månader efter det att de har antagits.