Art. 6 Identifiering av kritiska entiteter | CER directive | CER

1. Senast den 17 juli 2026 ska medlemsstaterna identifiera de kritiska entiteterna för de sektorer och undersektorer som anges i bilagan.
1. När en medlemsstat identifierar kritiska entiteter enligt punkt 1 ska den ta hänsyn till resultatet av sin riskbedömningden övergripande processen för att fastställa arten och omfattningen av en risk genom att identifiera och analysera potentiella relevanta hot, sårbarheter och faror som skulle kunna leda till en incident och genom att utvärdera den potentiella förlusten eller störningen i samband med tillhandahållandet av en samhällsviktig tjänst till följd av den incidenten. samt sin strategi och tillämpa samtliga följande kriterier:
  1. Entiteten tillhandahåller en eller flera samhällsviktiga tjänster.
  2. Entiteten bedriver verksamhet, och dess kritiska infrastruktur är belägen, på denna medlemsstats territorium.
  3. En incidentvarje händelse som kan medföra en betydande störning, eller som medför en störning, av tillhandahållandet av en samhällsviktig tjänst, inbegripet när den påverkar de nationella system som skyddar rättsstatens principer. skulle få betydande störande effekter, enligt vad som fastställs i enlighet med artikel 7.1, för entitetens tillhandahållande av en eller flera samhällsviktiga tjänster eller för tillhandahållandet av andra samhällsviktiga tjänster i de sektorer som anges i bilagan och som är beroende av den eller de samhällsviktiga tjänsterna.
1. Varje medlemsstat ska upprätta en förteckning över de kritiska entiteter som har identifierats enligt punkt 2 och säkerställa att dessa kritiska entiteter underrättas om att de har identifierats som kritiska entiteter inom en månad från identifieringen. Medlemsstaterna ska informera dessa kritiska entiteter om deras skyldigheter enligt kapitlen III och IV och om det datum från och med vilket dessa skyldigheter är tillämpliga på dem, utan att detta påverkar tillämpningen av artikel 8. Medlemsstaterna ska informera kritiska entiteter i de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan om att de inte har några skyldigheter enligt kapitlen III och IV såvida inte nationella åtgärder föreskriver något annat.
2. För de berörda kritiska entiteterna ska kapitel III vara tillämpligt från och med tio månader efter dagen för den underrättelse som avses i första stycket i denna punkt.
1. Medlemsstaterna ska säkerställa att deras behöriga myndigheter enligt detta direktiv underrättar de behöriga myndigheterna enligt direktiv (EU) 2022/2555 om identiteten på de kritiska entiteter som de har identifierat enligt denna artikel inom en månad från den identifieringen. Denna underrättelse ska, i tillämpliga fall, innehålla information om att de berörda kritiska entiteterna är entiteter i de sektorer som anges i punkterna 3, 4 och 8 i tabellen i bilagan till det här direktivet och inte har några skyldigheter enligt kapitlen III och IV i det här direktivet.
1. Medlemsstaterna ska när så är nödvändigt och minst vart fjärde år se över och när så är lämpligt uppdatera förteckningen över identifierade kritiska entiteter som avses i punkt 3. Om dessa uppdateringar leder till att ytterligare kritiska entiteter identifieras ska punkterna 3 och 4 tillämpas på dessa ytterligare kritiska entiteter. Dessutom ska medlemsstaterna säkerställa att entiteter som inte längre identifieras som kritiska entiteter till följd av en sådan uppdatering i god tid underrättas om detta och om att de inte längre omfattas av skyldigheterna enligt kapitel III från och med dagen för mottagandet av denna underrättelse.
1. Kommissionen ska i samarbete med medlemsstaterna utarbeta rekommendationer och icke-bindande riktlinjer för att stödja medlemsstaterna i arbetet med att identifiera kritiska entiteter.