CER-direktivet (Critical Entities Resilience Directive) er indført af EU for at styrke modstandsdygtigheden i Europas mest kritiske samfundsfunktioner. Direktivet stiller krav til en række organisationer med central betydning for samfundets stabilitet og skal sikre, at de kan modstå, reagere på og komme sig efter alvorlige hændelser.
CER er en naturlig forlængelse af arbejdet med cybersikkerhed i NIS2-direktivet, men retter sig specifikt mod den fysiske del af samfundets kritiske infrastruktur.
Hvad er formålet med CER-direktivet?
CER-direktivet (EU) 2022/2557 trådte i kraft den 16. januar 2023 og blev implementeret i dansk lovgivning i oktober 2024. Det erstattede det tidligere EPCIP-direktiv fra 2008 og er langt mere omfattende i både sektorvalg, krav og tilsynsforpligtelser.
Formålet med direktivet er at fremme kontinuitet og robusthed i samfundets kritiske funktioner. Det skal sikre, at vigtige enheder – fx inden for energi, transport og sundhed – har kapacitet til at forebygge, håndtere og komme sig efter større forstyrrelser, uanset om de skyldes naturkatastrofer eller målrettet sabotage.
Hvem er omfattet af CER-direktivet?
CER-direktivet gælder for både offentlige og private enheder, der er udpeget som kritiske eller vigtige i én af 11 udpegede sektorer:
- Energi (el, gas, olie)
- Transport (luftfart, jernbane, søfart, vej)
- Bankvæsen
- Finansiel infrastruktur
- Sundhed
- Drikkevandsforsyning
- Spildevandshåndtering
- Digital infrastruktur
- Offentlig administration
- Fødevareproduktion og -distribution
- Rumsektoren
Det er de nationale myndigheder, der udpeger, hvilke aktører der falder ind under direktivets anvendelsesområde baseret på faktorer som samfundsafhængighed, geografisk dækning og potentiel konsekvens ved forstyrrelse. Når en organisation er blevet udpeget, har den ni måneder til at leve op til kravene i CER-direktivet.
I den forbindelse har myndighederne fået beføjelser til at gennemføre inspektioner og audits, og direktivet stiller krav om etablering af meldesystemer for hændelser samt løbende offentlig rapportering af status.
Hvilke krav stiller CER-direktivet?
En organisation, der er omfattet af CER-direktivet, er forpligtet til at dokumentere og vedligeholde et højt niveau af fysisk resiliens og organisatorisk beredskab. Kravene omfatter blandt andet:
1. Risikoanalyse og sårbarhedsvurdering
Organisationen skal gennemføre løbende risikovurderinger og identificere svagheder i sine fysiske systemer, processer og afhængigheder.
2. Forebyggende og beskyttende foranstaltninger
Det kan fx være fysisk sikring af adgangsforhold, backup-systemer, redundans i forsyningslinjer eller tilpasning til klimaudfordringer.
3. Udpegning af kontaktperson
Organisationen skal udpege en forbindelsesofficer som kontaktpunkt til myndigheder og tilsyn.
4. Resiliensplan
Der skal udarbejdes en plan for kontinuitet, genopretning og håndtering af større hændelser.
5. Øvelser og medarbejdertræning
Træning og test af beredskabet er påkrævet, ligesom ansatte i relevante funktioner skal have den nødvendige viden og instruktion.
6. Leverandørstyring og afhængigheder
Kritiske afhængigheder, herunder tredjepartsleverandører, skal analyseres og kontrolleres i forhold til resiliens.
Hertil kommer kravet om at forholde sig til tværsektorielle afhængigheder. CER-direktivet lægger op til øget samarbejde mellem sektorer og lande for at undgå såkaldte "cascading effects", hvor en hændelse i én sektor, fx energiforsyningen, skaber afledte forstyrrelser i andre. Det kræver en bredere tilgang til risikostyring og øget fokus på gensidig robusthed i værdikæden.
Hvordan hænger CER-direktivet sammen med NIS2?
Selvom CER og NIS2 er to selvstændige EU-direktiver, er de tæt forbundne og indgår i en samlet strategi for at styrke samfundets modstandsdygtighed både digitalt og fysisk. Hvor NIS2-direktivet fokuserer på cybersikkerhed og beskyttelse af netværk og informationssystemer, har CER-direktivet fokus på fysisk resiliens.
I praksis betyder det, at mange organisationer er omfattet af begge direktiver. Det gælder fx elnetselskaber og gasinfrastrukturoperatører, som både er kritiske for samfundets funktion og dybt afhængige af digitale systemer. Netop i energisektoren har NIS2 medført skærpede krav til governance, risikostyring og hændelseshåndtering, og CER-direktivet supplerer ved at kræve, at der også er styr på det fysiske beredskab og evnen til at modstå fx sabotage, brand eller ekstremt vejr. I Danmark har man valgt at samle kravene til energisektoren i Lov om styrket beredskab i energisektoren (LOV 258) og den tilhørende bekendtgørelse om modstandsdygtighed og beredskab i energisektoren (BEK nr. 260).
For berørte organisationer er der behov for en helhedsorienteret tilgang, hvor fysisk og digital sikkerhed tænkes sammen. Det omfatter både risikovurderinger, leverandørstyring, hændelseshåndtering og planlagt vedligehold – og det stiller øgede krav til samspillet mellem IT, drift og ledelse.
En strategisk mulighed
CER-direktivet er en anledning til at tænke modstandsdygtighed og beredskab ind som en strategisk kapacitet på linje med informationssikkerhed, ESG og forretningskritiske områder.
Organisationer, der arbejder proaktivt med resiliens på tværs af sektorer, lande og værdikæder, vil ikke bare være bedre rustet til inspektioner og tilsyn, men også til at håndtere reelle hændelser, minimere forstyrrelser og fastholde tillid hos kunder, leverandører og samfundet omkring dem.
