Multicert

Bezpłatna wycena

Regulacje UE · w 2h, bez zobowiązań

Wyceń →
Regulacje UE

Dyrektywa CER 2024 — kogo obejmuje, obowiązki, kary i ISO 22301 jako fundament

Dyrektywa CER (UE 2022/2557) obowiązuje od 18 października 2024. 11 sektorów, kary do dziesiątek mln zł, ocena ryzyka co 4 lata. ISO 22301 + ISO 27001 = zgodność z CER + NIS2.

Zespół Multicert 6 min czytania
ZM

Zespół Multicert

Redakcja Multicert · Akredytowana jednostka certyfikująca

Critical Entities Resilience Directive (UE 2022/2557) — w skrócie CER — zastąpiła dyrektywę 2008/114/EC dotyczącą ochrony infrastruktury krytycznej. Termin transpozycji minął 17 października 2024 r., dyrektywa obowiązuje od 18 października 2024 r. Polska transponuje ją w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa i ochronie infrastruktury krytycznej.

Co się zmieniło względem starej dyrektywy

Stara dyrektywa 2008/114/EC koncentrowała się na dwóch sektorach (energia i transport) i traktowała ochronę głównie fizycznie. CER rozszerza zakres do 11 sektorów i wprowadza paradygmat odporności — zdolność do przetrwania, adaptacji i odzyskania po szerokim wachlarzu zagrożeń. Komisja Europejska opisuje ramy nowej dyrektywy na stronie poświęconej odporności infrastruktury krytycznej na poziomie UE.

11 sektorów objętych CER:

  1. Energia — elektryczność, ciepłownictwo, ropa, gaz, wodór
  2. Transport — lotniczy, kolejowy, wodny, drogowy
  3. Bankowość — instytucje kredytowe
  4. Infrastruktura rynków finansowych — operatorzy systemów obrotu, CCP
  5. Zdrowie — szpitale, laboratoria referencyjne, producenci leków
  6. Woda pitna — dostawcy i dystrybutorzy
  7. Ścieki — operatorzy sieci kanalizacyjnej
  8. Infrastruktura cyfrowa — IXP, DNS, TLD, centra danych, chmura
  9. Administracja publiczna — organy szczebla centralnego
  10. Kosmos — operatorzy infrastruktury naziemnej
  11. Produkcja, przetwórstwo i dystrybucja żywności

CER vs NIS2 — co wybrać dla mojej firmy

WymiarCER (UE 2022/2557)NIS2 (UE 2022/2555)
Typ zagrożeńFizyczne, hybrydowe, naturalneCybernetyczne
Sektory11 krytycznych18 (kluczowe + ważne)
Termin obowiązywania18.10.202418.10.2024
Norma referencyjnaISO 22301 (BCM)ISO/IEC 27001 (ISMS)
Kluczowy obowiązekBCP/DRP, ciągłość usługZarządzanie ryzykiem cyber, raportowanie incydentów
Powiadomienie o incydencie24 h od wykrycia24 h (wczesne ostrzeżenie), 72 h (raport)
KaryDo dziesiątek mln zł (państwa członkowskie)Do 10 mln € lub 2% obrotu

Główne obowiązki podmiotów krytycznych

Art. 12 — ocena ryzyka: co najmniej raz na 4 lata, identyfikująca zagrożenia naturalne, antropogeniczne, hybrydowe, terror, sabotaż, awarie, ataki na łańcuch dostaw.

Art. 13 — środki techniczne i organizacyjne:

  • Plany zapobiegania, przygotowania i odpowiedzi na incydenty
  • Środki ochrony fizycznej (granica obiektu, kontrola dostępu, monitoring)
  • Środki ochrony cyber (zintegrowane z NIS2)
  • Plany ciągłości działania (BCP) i odtwarzania (DRP)
  • Plan zarządzania kryzysowego
  • Procedury weryfikacji personelu (sprawdzenie przeszłości)

Art. 15 — powiadamianie o incydentach: w ciągu 24 godzin od wykrycia, raport końcowy w ciągu 1 miesiąca.

ISO 22301 jako fundament zgodności z CER

Wymóg art. 13 — „środki zapewniające ciągłość świadczenia usług niezbędnych” — najlepiej spełnia się poprzez wdrożenie systemu zarządzania ciągłością działania zgodnego z ISO 22301:2019. Norma wymaga:

  • BIA (analiza wpływu na działalność) — identyfikacja procesów krytycznych
  • RA (ocena ryzyka) — analiza zagrożeń i podatności
  • BCP (plany ciągłości działania) — plany ciągłości
  • DRP (plany odtwarzania po awarii) — plany odtwarzania
  • Procedury reagowania na incydent i komunikacji kryzysowej
  • Regularne testy planów (ćwiczenia sztabowe, symulacje, pełne przełączenie awaryjne)

Certyfikat ISO 22301 to udokumentowany, audytowany dowód spełnienia wymagań odporności — oczekiwany przez krajowe organy nadzorcze podczas inspekcji CER.

Sankcje za nieprzestrzeganie

CER pozostawia sankcje państwom członkowskim, ale wymaga, by były „skuteczne, proporcjonalne i odstraszające”. Polska ustawa transponująca przewiduje kary administracyjne do kilkudziesięciu milionów złotych dla największych podmiotów oraz odpowiedzialność osób zarządzających. W Polsce zadania planistyczne i programowe w zakresie ochrony infrastruktury krytycznej koordynuje Rządowe Centrum Bezpieczeństwa.

Szczegóły procesu: certyfikacja ISO 22301.

Powiązane artykuły:

Najczęstsze pytania

Czym jest dyrektywa CER? +
Critical Entities Resilience Directive (UE 2022/2557). Zastąpiła dyrektywę 2008/114/WE. Obowiązuje od 18 października 2024 roku.
Kogo obejmuje dyrektywa CER? +
11 sektorów: energetyka, transport, bankowość, finanse, ochrona zdrowia, woda, ścieki, infrastruktura cyfrowa, administracja, sektor kosmiczny, żywność.
Jakie są główne obowiązki podmiotów krytycznych? +
Ocena ryzyka co 4 lata, środki techniczne i organizacyjne, powiadamianie o incydentach w ciągu 24 godzin, BCM oraz weryfikacja personelu.
W jaki sposób ISO 22301 wspiera zgodność z CER? +
ISO 22301 stanowi najlepiej uznawany standard spełniający wymagania art. 13 CER (ciągłość świadczenia usług niezbędnych).
Czy CER łączy się z NIS2? +
Tak — CER chroni przed zagrożeniami fizycznymi, NIS2 przed cybernetycznymi. Standardowa odpowiedź: ISO 22301 + ISO 27001.

Autor artykułu

ZM

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 2 października 2025
Zadzwoń Bezpłatna wycena