Site Search

Loading Results

Ettevõtete toimepidevuse tugevdamine

CER-direktiiv: Mida see ettevõtte jaoks tähendab?

Mis on CER-direktiiv? (Elutähtsa teenuse osutajate toimepidevuse suurendamise direktiiv)

CER-direktiiv on Euroopa Liidu (EL) direktiiv, mis on vastu võetud üha sagedamini ähvardavate kriisidega toime tulemiseks.  Selle eesmärk on tugevdada elutähtsa teenuse osutajate (ETO-de) toimepidevust ohuolukordade ja õnnetuste tingimustes, sealhulgas näiteks looduskatastroofid, terrorism, küberrünnakud ja sabotaaž. 

EL liikmesriigid kasutavad elutähtsa teenuse osutajate määratlemiseks riskipõhist lähenemist: need on ühiskonna toimimiseks kõige vajalikumad organisatsioonid järgnevas üheteistkümnes sektoris: 

CER-direktiiviga hõlmatud sektorid, tööstusharud

Need organisatsioonid on kohustatud viima läbi elutähtsate teenuste osutamise ohuhinnanguid ning kohaldama asjakohaseid toimepidevusmeetmeid. Meetmete hulka kuuluvad toimepidevusplaanid ja kindlaksmääratud protsessid juhtumitest teavitamiseks. 

Igas liikmesriigis on kindlaksmääratud institutsioonid, kes vastutavad direktiivi korrektse kohaldamise eest ning kellel on ühtlasi õigus määrata karistusmeetmeid direktiivi eiramise eest. Eestis on selleks institutsiooniks Riigikantselei.

Miks on CER-direktiiv oluline? 

  • Toimepidevus on tulnud, et jääda. CER-direktiiv on uusim iteratsioon seadusandlikust lükkest toimepidevuse suurendamise suunal ELis ja mujal. Viimase aja regulatsioonid (nt NIS 2 direktiiv) on olnud suuresti ajendatud küberohust. CER-direktiivis nenditakse, et seisame silmitsi ka muude võimalike ohtudega ja need ohud on eriilmelisemad, sagedasemad ja keerukamad kui kunagi varem. See paneb ettevõtetele, tööstusele ja ühiskonnale kohustuse arendada kriisidele reageerimise ja kohanemisvõimet.
  • Sektoriteülene laienemine. Sektoriülesus on veel üks tegur, mis eristab seda direktiivi teistest hiljutistest määrustest (nt digitaalse töökindluse seadus (DORA)). Kui finants- ja digisektorid on tõenäoliselt juba eelnevate direktiivide tõttu loonud eeldused regulatiivsetest tähtaegadest kinni pidamiseks, siis teistel sektoritel selline eeltöö pigem puudub. Direktiiv ei kehtesta ka piiranguid mõjutatud organisatsioonide suurusele ja tunnistab, et meetmed võivad mõjutada naaberliikmesriike ja kolmandaid riike.
  • Pingeline ajagraafik. Direktiiv kehtestab laialdased riski- ja toimepidevusnõuded. Kuigi elutähtsa teenuse osutajad (ETO-d) võidakse määrata alles 2026. aasta juuliks, on neil siis aega vaid kümme kuud, et tõendada vastavust. Kui olete tõenäoliselt ETO, on vajalik koheselt alustada planeerimisega.
  • Võimalus strateegiliseks lähenemiseks. Direktiiv annab ETO-dele võimaluse läheneda toimepidevusele strateegiliselt, mis mitte ainult ei toimi ettevõtte väärtuse kindlustajana, vaid loob ka konkurentsieelise, tuvastades tõhusaimad tööprotsessid ja luues võimaluse tõrgete ära kasutamiseks. Läbiproovitud ja testitud toimepidevusmetoodika toimib kriitilise toena, kuna direktiiv toob toimepidevusvaldkonda hulgaliselt uusi sektoreid, kus sellist eeltööd ei ole varem tehtud.

Millal hakatakse CER-direktiivi jõustama?

2020. aasta novembris võtsid Euroopa Parlament ja Euroopa Liidu Nõukogu vastu CER-direktiivi, mis seejärel jõustus jaanuaris 2023. Järgnevatel kuudel ja aastatel on mitmeid olulisi kuupäevi, mida organisatsioonid peavad silmas pidama :

Liikmesriigid võtavad CER-direktiivi üle siseriiklikku õigusesse. Eestis muudetakse CER-direktiivi ülevõtmiseks hädaolukorra seadust (HOS).

Lähtuvalt Eesti hädaolukorra seadusest tuleb riiklikel asutustel, kelle haldusalas on elutähtsate teenuste korraldamine, kehtestada või uuendada elutähtsate teenuste toimepidevuse nõuete määrused.

Liikmesriigid võtavad vastu strateegia kriitiliste üksuste toimepidevuse suurendamiseks.

Liikmesriigid määravad elutähtsa teenuse osutajad (ETO-d) ja teavitavad neid ühe kuu jooksul peale määramist.

NB! Riigikantselei on viimases hädaolukorra seaduses soovinud liikuda kiiremini kui CER ajaraam ette näeb! Lähtuvalt Eesti hädaolukorra seadusest  tuleb uued elutähtsa teenuse osutajaid välja selgitada ja ETOks määrata hiljemalt 2026. aasta 28. veebruariks.

 

ETO-d viivad läbi riskianalüüsi üheksa kuu jooksul pärast määramist ja tõendavad vastavust direktiivi nõuetele kümne kuu jooksul pärast määramist.

NB! Riigikantselei on viimases Hädaolukorra seaduses soovinud liikuda kiiremini kui CER ajaraam ette näeb! 

Kuna Eestis määratakse uued ETO-d eelduslikult juba 2026. aasta veebruari lõpuks, siis toimepidevuse riskianalüüsi ja plaani tähtaeg jääb 2026. aasta detsembrisse ja 2027. aasta jaanuari.

Tänasel elutähtsa teenuse osutajal tuleb koostada seaduse nõuetele vastav toimepidevuse riskianalüüs ja plaan 2026. aasta 31. detsembriks.

 

Euroopa Komisjon esitab parlamendile ja nõukogule aruande, milles hinnatakse direktiivi järgimist.

Mida tuleks teha praegu? 

Tehke kindlaks, kas teie organisatsiooni peetakse tõenäoliselt direktiivi kohaselt elutähtsa teenuse osutajaks teie sektori ja ohtude võimaliku mõju põhjal. (Euroopa Parlamendi ja nõukogu direktiiv (EL) [2022] ELT L 333/164, artikkel 6; artikkel 171)

Hädaolukorra seaduse muudatuse kohaselt on elutähtsad teenused järgmised: 
1) makseteenuse toimimine;
2) sularaharingluse toimimine;
3) krediiditehingute töötlemine;
4) kaugküttega varustamine (kõikides KOVides);
5) kohaliku tee sõidetavuse tagamine (kõikides KOVides); 
6) veega varustamine ja kanalisatsiooni toimimine (kõikides KOVides);
7) toiduga varustamine (toidu käitlemise ahelat vaadatakse tervikuna elutähtsana, alates tootmisest, lõpetades jaemüügiga);
8) tervishoiuteenuste toimimine (sh üldarstiabi);
9) elektriga varustamine;
10) maagaasiga varustamine (vähemalt 1000 tarbijat);
11) vedelkütusega varustamine;
12) riigitee sõidetavuse tagamine;
13) telefoniteenuse toimimine;
14) mobiiltelefoniteenuse toimimine;
15) andmesideteenuse toimimine;
16) lennuväljade toimimine;
17) aeronavigatsiooniteenuse toimimine
18) avaliku raudtee toimimine;
19) sadamate toimimine;
20) elektrooniline isikutuvastamine ja digitaalne allkirjastamine;
21) ravimitega varustamine (sh ravimite hulgimüügi tegevusloaga ettevõtted ja üldapteegid, kes täpsemalt määratakse määrusega).

Tutvuge nõuetega, sealhulgas riskihinnangute, toimepidevusplaanide, intsidentidest teavitamise ja leevendusmeetmetega.

  • Määratlege ja hinnake oma riske: viige läbi põhjalik hindamine, et mõista oma kokkupuudet tõenäoliste riskidega, tõenäolisi mõjusid ja seda, kuidas see on kooskõlas teie riskitaluvusega. (Artikkel 122)
  • Vaadake üle oma tööprotsessid riskide ja toimepidevuse osas: kaaluge oma juhtimisstruktuuride ühtlustamist, et jälgida integreeritud andmepõhist töömudelit – sellist, mis suudab arendada teie ettevõtte toimepidevust vastavalt teid mõjutavatele konkreetsetele riskidele. Uurige, kuidas saate rakendada tehnoloogiat, et kasutada andmeanalüütikat ja automatiseerimist oma toimepidevuse edendamiseks.
  • Looge oma toimepidevus selle ümber, mis on teie jaoks kõige olulisem: tehke kindlaks oma minimaalne elujõuline organisatsioon ning suunake oma energia ja investeeringud selle toimepidevuse muutmisele. See hõlmab teie ja teie klientide jaoks tõeliselt oluliste asjade määratlemist ning seejärel nende kriitiliste äriteenuste ja sõltuvuste kaardistamist, mis võimaldavad teil neid teenuseid pakkuda. Järgmisena viige oma toimepidevuse distsipliinid – äritegevuse toimepidevus, IT avariitaaste, küber- ja füüsiline turvalisus ning tarneahela vastupidavus – vastavusse nende teenuste toimepidevusega. Töötage välja sihipärased reageerimisstruktuurid, raamistikud ja plaanid. (Artikkel 133)
  • Suurendage oma kriisihaldusvõimet, et hallata planeerimata või ebatõenäolisi stsenaariume: vaadake üle ja värskendage oma juhtumihalduse ja kriisijuhtimise struktuure ja plaane, et võimaldada kiiret ohjeldamist, triaaži ja reageerimist. Mõelge, kas teie struktuurid võimaldavad teil täita 24-tunnise teavitamise nõuet ja kas teil on selge kriisikommunikatsioonistrateegia, et kriiside ajal sidusrühmade haldamise keerukuses navigeerida. (Artiklid 13 ja 154)
  • Korraldage regulaarseid koolitusi ja õppusi: koostage väljaõppe-, õppuste- ja testimisprogramm intsidentidele ja kriisidele reageerimiseks, kasutades stsenaariume, mis on kooskõlas riskihinnangus tuvastatud riskidega. Kasutage reaalajas andmeid, et testida oma võimet hallata kriise oma mõjuvalmiduse piires. Tehke kindlaks võimalused oma riskide, toimepidevuse ja kriisisuutlikkuse suurendamiseks. (Artikkel 135)

Jälgige CER-direktiivi arenguid, et ennetada asjakohaseid nõudeid ja tähtaegu ning nendeks valmistuda. Kui teid ei tuvastata kohe elutähtsa teenus osutajana (ETO), kaaluge, kas võite olla ETO tarnija.

200+

Hädaolukorra seaduse muutmine loob Eestis juurde 200+ elutähtsa teenuse osutajat

Et olla õigeks ajaks valmis, tuleb vajalike tegevustega alustada juba täna.

Võtke meiega ühendust, kui 

  • vajate abi mõistmaks, milliseid muutusi CER-direktiiv ja hädaolukorra seaduse muutmine teile kaasa toob;

  • tahate mõista, milline on teie tänane toimepidevuse küpsustase ja millised peaksid olema teie esmased tegevused toimepidevuse tõstmiseks. 

  • soovite ümber mõtestada oma lähenemisviisi toimepidevusele.

Kriisijuhtimise teenused

Organisatsioonid, kes on kriisideks hästi ette valmistunud, väljuvad kriisiolukorrast varasemast tugevamana. Toetame oma kliente kriisiolukordadeks valmistumisel.
Tutvuge meie toimepidevuse ja kriisijuhtimise teenustega.

Vaata lisaks

Follow us

Contact us

Triin Toimetaja

Triin Toimetaja

Vanemkonsultant, PwC Estonia

Tel: +372 5389 7089

Linkedin Follow Email
Erki Mägi

Erki Mägi

Juhtimiskonsultatsioonide osakonna juht, PwC Estonia

Tel: +372 5625 6340

Linkedin Follow Email
Hide
Meie teenused Audiitorkontroll Tehingute nõustamine Juhtimiskonsultatsioonid Siseaudit ja riskijuhtimine IT konsultatsioonid Maksuteenused Raamatupidamine, palgaarvestus ja maksudeklaratsioonid ESG ja vastutustundlik ettevõtlus Digiriik
Konverentsid ja koolitused Tulekul koolitused Toimunud koolitused
Töövahendid
Töötamine PwCs PwC globaalse tööandjana Tööotsing
PwC Eestis Kontaktid Ettevõtte sotsiaalne vastutus Läbipaistvusaruanne Aasta ülevaade PwC käitumiskoodeks Kolmandate isikute käitumiskoodeks
Press Uudised Publikatsioonid Eesti tippjuhtide arvamusuuringud Doing Business in Estonia

© 2020 - 2024 PwC. Kõik õigused tagatud. PwC viitab PwC võrgustikule ja/või ühele või mitmele selle liikmele, kes on kõik iseseisvad juriidilised isikud. Täpsemat teavet vt www.pwc.com/structure.