Notifikationspligt (CER)

Under CER-direktivet har kritiske enheder pligt til at underrette de kompetente myndigheder om hændelser, der i væsentlig grad forstyrrer eller kan forstyrre leveringen af væsentlige tjenester. Underretningen skal ske "uden unødigt ophold" og inden for de frister, der er fastsat i national implementeringslovgivning.

Tilbage til ordbog

Hvad er notifikationspligten under CER?

Artikel 15 i CER-direktivet fastslår, at kritiske enheder har pligt til at notificere de kompetente myndigheder om hændelser, der "i væsentlig grad" forstyrrer eller kan forstyrre leveringen af væsentlige tjenester, herunder hændelser der skyldes cyberhændelser.

Formålet med notifikationspligten er at give myndighederne et tidligt overblik over situationen, muliggøre koordinering af støtte og bistand, og forebygge spredning af konsekvenserne til andre kritiske enheder og infrastrukturer.

Hvornår skal der notificeres?

En hændelse skal notificeres, når den "i væsentlig grad" forstyrrer leveringen af væsentlige tjenester. CER-direktivet angiver, at følgende faktorer skal tages i betragtning ved vurderingen af, om en forstyrrelse er væsentlig:

Antallet af berørte brugere af tjenesten
Varighed af forstyrrelsen
Geografisk udbredelse af forstyrrelsen
Omfanget af den faktiske skade på levering af tjenester
Omfanget af konsekvenser for andre sektorer og andre enheder

Fristen fastlægges nationalt: CER-direktivet siger "uden unødigt ophold", men overlader til de nationale myndigheder at fastsætte præcise tidsfrister i implementeringslovgivningen. Mange lande forventes at fastsætte frister på linje med NIS2 (24 timer for tidlig advarsel, 72 timer for detaljeret rapport).

Sammenligning med NIS2

Notifikationspligten under CER og hændelsesrapporteringen under NIS2 dækker delvist overlappende situationer, men fokuserer på forskelligt:

CER: Fokuserer på forstyrrelser af den fysiske levering af tjenester – uanset årsag (naturhændelser, angreb, tekniske fejl mv.).
NIS2: Fokuserer på cybersikkerhedshændelser der rammer net- og informationssystemer.

En organisation, der er underlagt begge regelsæt, kan i visse tilfælde skulle rapportere en hændelse til to forskellige myndigheder, selv om myndighederne koordinerer med hinanden.

Sådan forbereder du dig på notifikationspligten

Organisationer bør tage en proaktiv tilgang til hændelsesnotifikation:

Etabler klare procedurer: Definer interne eskaleringsveje og ansvar, så hændelser identificeres og rapporteres inden for de krævede tidsfrister.
Definer væsentlighedstærskler: Fastlæg interne kriterier for, hvornår en hændelse opfylder væsentlighedstærsklen, baseret på faktorerne i CER-direktivet.
Koordiner med NIS2-forpligtelser: Hvis organisationen er underlagt både CER og NIS2, bør hændelsesrapporteringsprocesserne koordineres for at undgå dobbeltarbejde og samtidig sikre, at begge forpligtelser opfyldes.
Test processen: Gennemfør regelmæssige øvelser, der inkluderer notifikationsprocessen – ikke kun den tekniske respons.

Ofte stillede spørgsmål om notifikationspligt (cer)

Hvad er notifikationspligten under CER-direktivet?

CER-direktivet kræver, at kritiske enheder underretter de kompetente myndigheder om hændelser, der i væsentlig grad forstyrrer eller kan forstyrre leveringen af væsentlige tjenester. Det gælder hændelser forårsaget af cyberangreb, naturhændelser og tekniske fejl.

Hvad er fristen for notifikation under CER?

CER-direktivet siger "uden unødigt ophold", men overlader de præcise frister til den nationale implementeringslovgivning. De fleste lande forventes at fastsætte frister svarende til NIS2's model (24 timer for tidlig advarsel, 72 timer for detaljeret rapport).

Skal man notificere myndighederne under CER, selv om hændelsen er forårsaget af et cyberangreb?

Ja. CER-direktivet dækker alle hændelser, der forstyrrer leveringen af væsentlige tjenester, uanset om årsagen er et cyberangreb, en naturhændelse eller en menneskeskabt forstyrrelse. Et cyberangreb der forstyrrer en kritisk enheds tjenester, kan udløse notifikationspligt under både CER og NIS2.

Hvilke faktorer afgør, om en hændelse er væsentlig?

CER-direktivet lister flere faktorer: antallet af berørte brugere, varigheden af forstyrrelsen, det geografiske område der er berørt, omfanget af den faktiske skade på tjenestelevering og omfanget af konsekvenser for andre sektorer og enheder.

Hvordan adskiller CER-notifikation sig fra NIS2-hændelsesrapportering?

CER-notifikation fokuserer på forstyrrelser af den fysiske levering af væsentlige tjenester, uanset årsag. NIS2-hændelsesrapportering fokuserer specifikt på cybersikkerhedshændelser, der påvirker net- og informationssystemer. En organisation underlagt begge regelsæt kan skulle rapportere samme hændelse til to forskellige myndigheder.