CER
CER (Critical Entities Resilience) — dyrektywa Parlamentu Europejskiego 2022/2557 o odporności podmiotów krytycznych. Wymusza identyfikację i ochronę infrastruktury krytycznej w 11 sektorach. Transpozycja do prawa polskiego — termin 17 października 2024.
Co to jest dyrektywa CER?
CER (Critical Entities Resilience Directive) — dyrektywa Parlamentu Europejskiego i Rady 2022/2557 z 14 grudnia 2022 r. o odporności podmiotów krytycznych. Weszła w życie 16 stycznia 2023, termin transpozycji do prawa krajowego upłynął 17 października 2024, identyfikacja podmiotów krytycznych do 17 lipca 2026.
CER zastępuje dyrektywę ECI (2008/114/WE) i rozszerza jej zakres z 2 na 11 sektorów, wprowadzając wielozagrożeniowe podejście (all-hazard approach) — ochrona nie tylko przed terroryzmem, ale też zagrożeniami naturalnymi, technicznymi, sabotażem, atakami hybrydowymi.
11 sektorów objętych CER (załącznik CER)
- Energia (elektryczność, ciepło, ropa, gaz, wodór)
- Transport (lotniczy, kolejowy, wodny, drogowy)
- Bankowość
- Infrastruktura rynków finansowych
- Zdrowie (szpitale, laboratoria, produkcja leków)
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa (IXP, DNS, TLD registries, data centers, cloud, CDN)
- Administracja publiczna
- Przestrzeń kosmiczna
- Żywność (produkcja, przetwórstwo, dystrybucja)
CER vs NIS2 — komplementarność
| Aspekt | NIS2 (2022/2555) | CER (2022/2557) |
|---|---|---|
| Fokus | Cyberbezpieczeństwo (sieci i systemy IT) | Odporność fizyczna i organizacyjna |
| Zagrożenia | Ataki cybernetyczne | All-hazard (fizyczne, naturalne, hybrydowe) |
| Sektory | 18 (Annex I + II) | 11 |
| Termin transpozycji | 17 października 2024 | 17 października 2024 |
| Status w Polsce | Ustawa KSC (nowelizacja) | Projekt ustawy o zarządzaniu kryzysowym |
Wiele podmiotów podlega obu reżimom — np. szpital z NIS2 (cyber) + CER (odporność fizyczna).
Obowiązki podmiotu krytycznego
1. Ocena ryzyka (art. 12)
Co 4 lata lub po istotnych zmianach — obejmuje:
- Zagrożenia naturalne (powodzie, trzęsienia, pożary)
- Ataki terrorystyczne, sabotaż, przestępczość zorganizowana
- Wypadki, awarie techniczne, katastrofy naturalne
- Sytuacje nadzwyczajne zdrowia publicznego (pandemie)
- Zagrożenia hybrydowe (dezinformacja, sabotaż cyber-fizyczny)
2. Środki odporności (art. 13)
Techniczne + organizacyjne:
- Zabezpieczenia fizyczne obiektów (kontrola dostępu, monitoring, ogrodzenia)
- Rezerwy zasobów krytycznych
- Plan ciągłości działania (BCP) i plan odtworzeniowy (DRP)
- Szkolenia personelu
- Współpraca z organami bezpieczeństwa
3. Zgłaszanie incydentów (art. 15)
- 24 godziny: wstępne zgłoszenie organowi nadzorczemu
- 72 godziny: pełne zgłoszenie z oceną wpływu
- 30 dni: raport końcowy
4. Sprawdzenia bezpieczeństwa pracowników (art. 14)
Obowiązkowe dla personelu z dostępem do obiektów wrażliwych lub informacji krytycznych.
5. Point of Contact
Wyznaczony łącznik ds. CER do komunikacji z organami nadzorczymi.
CER w Polsce — status
- Transpozycja: projekt ustawy o zarządzaniu kryzysowym (zamiast osobnej ustawy)
- Organ nadzorczy: Rządowe Centrum Bezpieczeństwa (RCB) + organy sektorowe
- Identyfikacja podmiotów: do 17 lipca 2026 r. (wcześniej ECI — około 150 obiektów)
- Rejestr podmiotów krytycznych — niepubliczny, prowadzony przez RCB
Sankcje
Art. 22 CER: kary skuteczne, proporcjonalne i odstraszające. W polskim projekcie:
- Kary administracyjne do 20 mln zł lub 2% rocznego obrotu (wyższa wartość)
- Sankcje osobiste wobec zarządu (w tym czasowy zakaz funkcji)
- Nadzór korygujący (obowiązek wdrożenia rekomendacji)
Sprawdź nasze usługi
Najczęściej zadawane pytania
+ Co to jest dyrektywa CER?
CER (Critical Entities Resilience Directive) — dyrektywa Parlamentu Europejskiego i Rady 2022/2557 z 14 grudnia 2022 r. o odporności podmiotów krytycznych. Zastępuje dyrektywę ECI (2008/114/WE) i wymusza na państwach członkowskich identyfikację i ochronę infrastruktury krytycznej w 11 sektorach (energia, transport, bankowość, zdrowie, woda, cyfrowa, administracja publiczna, kosmos, produkcja, żywność, ścieki). Weszła w życie 16 stycznia 2023, termin transpozycji do prawa krajowego — 17 października 2024.
+ Kogo dotyczy CER?
CER dotyczy podmiotów świadczących usługi niezbędne dla utrzymania krytycznych funkcji społecznych lub gospodarczych. Państwa członkowskie do 17 lipca 2026 r. identyfikują podmioty krytyczne w 11 sektorach — decydują m.in.: liczba użytkowników, udział w rynku, transgraniczny wpływ, konsekwencje zakłócenia. W Polsce rejestr prowadzi minister właściwy ds. wewnętrznych (Rządowe Centrum Bezpieczeństwa).
+ Jaka jest różnica między CER a NIS2?
NIS2 (dyrektywa 2022/2555) dotyczy cyberbezpieczeństwa — zabezpieczenia sieci i systemów informatycznych. CER (dyrektywa 2022/2557) dotyczy odporności fizycznej i organizacyjnej podmiotów krytycznych — ochrona przed zagrożeniami naturalnymi, sabotażem, atakami hybrydowymi, pandemiami. Oba akty są komplementarne: podmioty krytyczne z sektorów NIS2 zazwyczaj podlegają obu reżimom. Pakiet stanowi Critical Entities Resilience Package wraz z NIS2 i dyrektywą DORA.
+ Jakie obowiązki nakłada CER?
Kluczowe obowiązki podmiotów krytycznych (art. 11-14 CER): (1) ocena ryzyka co 4 lata obejmująca zagrożenia naturalne, techniczne, socjotechniczne, hybrydowe, (2) środki techniczne i organizacyjne zapewniające odporność, (3) plan ciągłości działania i plan odtworzeniowy (BCP/DRP), (4) zgłaszanie incydentów o istotnym wpływie organowi nadzorczemu bez zbędnej zwłoki (24h wstępne, 72h pełne), (5) sprawdzenia bezpieczeństwa pracowników mających dostęp do obiektów wrażliwych, (6) wyznaczenie łącznika ds. CER (point of contact).
+ Jakie kary przewiduje CER?
Art. 22 CER wymaga, aby kary były skuteczne, proporcjonalne i odstraszające — wysokość określa każde państwo członkowskie w transpozycji. W projekcie polskiej ustawy o zarządzaniu kryzysowym kary administracyjne mogą sięgać 20 mln zł lub 2% rocznego obrotu (wyższa wartość). Dodatkowo możliwe są sankcje indywidualne wobec członków zarządu (w tym czasowy zakaz pełnienia funkcji).