CER-direktivet er EU's regelsæt for kritiske enheders modstandsdygtighed. Hvor NIS2 dækker cybersikkerhed, retter CER sig mod fysisk modstandsdygtighed hos de virksomheder og myndigheder, der leverer samfundsvigtige tjenester. CER er implementeret i dansk ret som CER-loven.
Hvad er CER?
CER-direktivet (Directive (EU) 2022/2557), på dansk "kritiske enheders modstandsdygtighed", skal styrke kritiske enheders evne til at modstå fysiske trusler. Direktivet afløser det tidligere ECI-direktiv fra 2008 og er væsentligt bredere i både dækningsområde og krav.
CER følger en all-hazards-tilgang. Det betyder, at modstandsdygtigheden skal omfatte alt fra naturkatastrofer og tekniske nedbrud til sabotage og terror. Direktivet er tænkt som et fysisk modstykke til NIS2's fokus på cybersikkerhed, og de to regelsæt supplerer hinanden.
Hvem er omfattet af CER?
CER omfatter både virksomheder og offentlige myndigheder, der leverer væsentlige tjenester i samfundsvigtige sektorer som transport, sundhed, drikkevand, spildevand, fødevarer og digital infrastruktur. Energisektoren er i Danmark reguleret særskilt gennem energiberedskabslovgivningen.
I modsætning til NIS2 skal virksomheder ikke selv vurdere, om de er omfattet. De relevante sektormyndigheder udpeger de kritiske enheder ud fra en national risikovurdering, og de udpegede enheder modtager skriftlig besked.
Hvilke krav stiller CER?
En udpeget kritisk enhed skal gennemføre en risikovurdering og indføre passende tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger. Enheden skal desuden have og anvende en modstandsdygtighedsplan, der beskriver, hvordan den forebygger, modstår og kommer sig efter alvorlige hændelser.
Der gælder også krav om underretning af myndighederne ved hændelser, der i væsentlig grad forstyrrer leveringen af væsentlige tjenester. Ministeriet for Samfundssikkerhed og Beredskab og Styrelsen for Samfundssikkerhed har ansvaret for implementeringen i Danmark.
NIRAS rådgiver om fysisk sikring, beredskab og forretningskontinuitet og hjælper kritiske enheder med at omsætte CER-kravene til konkrete planer og årshjul.
Ofte stillede spørgsmål om CER
Hvad er forskellen på CER og NIS2?
CER dækker fysisk modstandsdygtighed, og NIS2 dækker cybersikkerhed. De er søsterdirektiver, der supplerer hinanden, og mange kritiske enheder er omfattet af begge regelsæt og skal håndtere dem samlet.
Hvem udpeger kritiske enheder under CER?
De relevante sektormyndigheder udpeger de kritiske enheder ud fra en national risikovurdering. Udpegningen sker på baggrund af enhedens betydning for samfundet, og de udpegede enheder modtager skriftlig besked fra myndigheden.
Hvad er en modstandsdygtighedsplan?
En modstandsdygtighedsplan beskriver de foranstaltninger, en kritisk enhed bruger til at forebygge, beskytte mod, reagere på og komme sig efter hændelser. Planen tager udgangspunkt i enhedens risikovurdering og skal anvendes aktivt, ikke kun dokumenteres.
Hvilke sektorer er omfattet af CER?
CER omfatter samfundsvigtige sektorer som transport, sundhed, drikkevand, spildevand, fødevarer, digital infrastruktur og offentlig administration. Energisektoren reguleres i Danmark gennem særskilt energiberedskabslovgivning.
Hvad skal en udpeget enhed gøre først?
Efter udpegning skal enheden gennemføre en risikovurdering og derefter indføre de nødvendige modstandsforanstaltninger inden for en fastsat frist. En GAP-analyse er et naturligt første skridt til at afklare afstanden mellem krav og praksis.
