Forslaget til direktiv om kritiske enheters motstandsdyktighet ble lagt fram av Europakommisjonen 16. desember 2020. Det skal erstatte dagens direktiv om beskyttelse av europeisk kritisk infrastruktur (2008/114). Forslaget ble lagt fram som en del av en større pakke av tiltak, hvor også et forslag til nytt cybersikkerhetsdirektiv inngår (se EU/EØS-nytt 21. januar i år). Samlet skal tiltakene bedre motstandskraften både i den fysiske og digitale infrastrukturen, hos offentlig og private sektor og i EU som helhet.

Kommisjonens forslag innebærer en betydelig utvidelse sammenlignet med 2008-direktivet. Mens 2008-direktivet kun omfattet energi og transport, omfatter forslaget til nytt direktiv også følgende sektorer: bankvesen, finansmarked, helse, drikkevann, avløpsvann, digital infrastruktur, offentlig forvaltning og rommet (space). 2008-direktivet omfattet kun infrastruktur (innenfor energi og transport) som hadde betydelige grenseoverskridende virkninger.

I forslaget til nytt direktiv pålegges medlemslandenes å utarbeide en strategi for hvordan de skal styrke kritiske enheters motstandskraft. I tillegg skal de utarbeide en oversikt over samfunnskritiske tjenester og gjennomføre regelmessige risikovurderinger. Medlemslandene skal identifisere kritiske enheter i spesifikke sektorer og undersektorer, ut fra felles EU-kriterier.

Ansvarlige i de kritiske enhetene skal underrettes, og de skal pålegges oppgaver knyttet til risikovurdering og gjennomføring av passende og forholdsmessige tiltak. De skal også rapportere til myndighetene om betydelige forstyrrelser og avbrudd.

I forslaget gis det også regler for tilsyn og håndheving knyttet til kritiske enheter som anses å være av «særlig europeisk betydning». Det er enheter som leverer viktige tjenester til eller i mer enn en tredjedel av medlemslandene. Disse enhetene vil bli underlagt et utvidet tilsyn, hvor blant annet Kommisjonen kan be om å få utlevert risikovurderinger og planer for gjennomføring av tiltak. Kommisjonen kan også gjennomføre rådgivningsbesøk (advisory missions) for å vurdere tiltakene. På bakgrunn av dette kan Kommisjonen rapportere om hvorvidt enhetene oppfyller forpliktelsene, samt anbefale ytterligere tiltak.

Forslaget ble diskutert på det uformelle møtet mellom EUs innenriksministre 12. mars. På forhånd hadde det portugisiske formannskapet lagt fram et diskusjonsnotat hvor det stilles en rekke spørsmål til medlemslandene. Det vises til at fokuset i lovgivningen nå er flyttet fra beskyttelse av kritisk infrastruktur til at man ser på motstandskraften til kritiske enheter, og at erfaringer fra dagens covid-19-pandemi kan være viktige for kommende kriser: «This is an area where the European Union can bring added value, although always balanced with each State's primary responsibility for internal security».

Ifølge pressemeldingen var EU-landene generelt enige om at det er nødvendig å utvide direktivet til å omfatte flere sektorer. En rekke medlemsland mente at det er viktig å utvide anvendelsesområdet fra beskyttelse av infrastruktur til motstandskraft hos kritiske enheter, herunder gjenoppretningskapasitet og forretningskontinuitet. Mange av landene understreket at behovet for å fastsette minimumsregler på EU-nivå skal veies opp mot medlemslandenes primære ansvar for den nasjonale sikkerheten. Noen av landene mente det er behov for å finne den rette balansen mellom en felles tilnærming og en viss fleksibilitet, som tar hensyn til nasjonale forskjeller.

Den svenske og danske regjeringen har begge utarbeidet notater som er sendt henholdsvis Riksdagen og Folketinget i forkant av møtet mellom EUs innenriksministre. Den danske regjeringen mener det er positivt at det legges opp til en risikobasert tilnærming, hvor medlemslandene ut fra nasjonale strategier og risikovurderinger kan utpeke de enhetene som vurderes som kritiske. Regjeringen vil arbeide for at regelverket ikke medfører uforholdsmessige økonomiske byrder for offentlige og private aktører. Den svenske regjeringen (se punkt 9) vil blant annet legge vekt på at direktivet ikke skal hindre medlemslandene i å vedta tiltak som de anser som nødvendige for å beskytte den nasjonale sikkerheten. Regjeringen er positiv til den tverrsektorielle tilnærmingen i direktivet.

Forslaget til direktiv om kritiske enheters motstandsdyktighet er ikke merket som EØS-relevant av Europakommisjonen. Dagens direktiv fra 2008 er tatt inn i EØS-avtalens protokoll 31 (om samarbeid på særlige områder utenfor de fire friheter). Ifølge regjeringens EØS-notat ønsket Norge at 2008-direktivet skulle tas inn i EØS-avtalen på ordinær måte (EØS-avtalens vedlegg), og viste til direktivets betydning for markedsaktørene, noe som kunne bli enda tydeligere ved senere utvidelser av direktivets anvendelsesområde. Videre vises det til at det er i Norges interesse å være nært knyttet til det europeiske samarbeidet om vern av kritisk infrastruktur. Island og Liechtenstein ønsket at direktivet skulle inntas i protokoll 31. Norge sluttet seg til denne løsningen, men med en presisering om at EØS-avtalens regler om ensartethet og overvåkning gjøres gjeldende. Den norske sikkerhetsloven, som tråde i kraft i 2019, pålegger departementene å utpeke virksomheter som har «grunnleggende nasjonal funksjoner».