Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Parallellt med NIS2-direktivet och regeringens utredning om kommuners utökade möjligheter för registerkontroll, kommer CER-direktivet (Directive on the resilience of critical entities) att bli ett viktigt verktyg i säkerhetsarbetet på arbetsmarknaden, men har hittills hamnat lite i skymundan.
CER-direktivet ställer krav på åtgärder för att stärka motståndskraften i samhällsviktig verksamhet inom både den privats och offentliga sektorn. Det kompletterar NIS2-direktivet, som fokuserar på cybersäkerhet, genom att adressera fysiska och organisatoriska risker snarare än digitala hot. I regeringens utredning om genomförande av NIS2- och CER-direktiven ägnas ett eget kapitel åt kontroll av anställda.
Enligt utredningen ska kontroll av anställda inom samhällsviktig verksamhet utformas för att minimera ingrepp i den personliga integriteten, samtidigt som syftet med registerkontrollen uppnås, genom att:
- Den person som kontrollen avser ska vara skyldig att styrka sin identitet.
- Kontroll av personens utdrag från belastningsregistret.
Möjligheter att kontrollera befintlig personal
Även regeringens utredning om kommuners utökade möjligheter för registerkontroll betonar just vikten av styrkt identitet:
“Det kan heller inte nog understrykas att en registerkontroll inte kan ersätta god personkännedom och att en registerkontroll inte har något värde om den sökandes identitet inte är klarlagd.”
En annan viktig aspekt av CER-direktivet är att det ger möjligheter att kontrollera befintlig personal. En förnyad registerkontroll ska göras senast inom två år från den senaste registerkontrollen. Endast personer som har genomgått dessa löpande kontroller och bedömts som lämpliga får anställas i roller och funktioner som medför fysisk eller logisk tillgång till en kritisk verksamhetsutövares samhällsviktiga tjänst.
Inkluderar deltagande som kan påverka samhällsviktiga tjänster
Detta inkluderar både anställda och uppdragstagare, såsom konsulter och underleverantörer, vars deltagande kan påverka den samhällsviktiga tjänsten. Det kan röra sig om personer som ges tillträde till lokaler där tjänsten bedrivs eller får åtkomst till system som kan påverka tjänsten. Detta innefattar både kritisk infrastruktur och själva tjänsten.
Berörda samhällsviktiga tjänster inkluderar:
- Energi
- Transporter
- Bankverksamhet
- Finansmarkandsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Avlopp
- Digital infrastruktur
- Offentlig förvaltning
- Rymd
CER-direktivet trädde i kraft för alla EU-länder den 18 oktober 2024 och föreslås börja gälla i Sverige från 1 augusti 2025.