Critical Entities Resilience Directive (CER) infördes av EU för att stärka motståndskraften hos Europas mest kritiska samhällsfunktioner. Direktivet ställer krav på ett antal organisationer som är centrala för samhällets stabilitet, och ska säkerställa att de kan motstå, reagera på och återhämta sig från allvarliga incidenter.
CER är en naturlig fortsättning på arbetet med cybersäkerhet i NIS2-direktivet, men riktar sig specifikt mot den fysiska delen av samhällets kritiska infrastruktur.
Vad är syftet med CER-direktivet?
CER-direktivet (EU) 2022/2557 trädde i kraft den 16 januari 2023, och lagstiftningsåtgärder är ett krav i samtliga EU-länder. Det ersatte det tidigare EPCIP-direktivet från 2008 och är betydligt mer omfattande i sektorval, krav och tillsynsplikter. CER införlivades till exempel i dansk lag i oktober 2024, medan Sverige fortfarande håller på att införliva CER i nationell lag.
Syftet med direktivet är att främja kontinuitet och motståndskraft i samhällets kritiska funktioner. Det ska säkerställa att viktiga enheter – till exempel inom energi, transport och hälso- och sjukvård – har kapacitet att förebygga, hantera och återhämta sig från större störningar, oavsett om de orsakas av naturkatastrofer eller riktade sabotage.
Vem omfattas av CER-direktivet?
CER-direktivet gäller både offentliga och privata aktörer som har utpekats som kritiska eller viktiga inom en av elva sektorer:
- Energi (el, gas, olja)
- Transport (luftfart, järnväg, sjöfart, väg)
- Bankverksamhet
- Finansiell infrastruktur
- Hälso- och sjukvård
- Dricksvattenförsörjning
- Avloppshantering
- Digital infrastruktur
- Offentlig förvaltning
- Livsmedelsproduktion och -distribution
- Rymdsektorn
Det är de nationella myndigheterna som avgör vilka aktörer som omfattas av direktivet, baserat på faktorer som samhällsberoende, geografisk täckning och potentiella konsekvenser vid störningar. När en organisation har blivit utpekad har den nio månader på sig att uppfylla kraven i CER-direktivet.
I detta sammanhang har myndigheterna fått befogenhet att genomföra inspektioner och revisioner, och direktivet ställer krav på etablering av system för incidentrapportering samt löpande offentlig rapportering av status.
Vilka är kraven i CER-direktivet?
En organisation som omfattas av CER-direktivet är skyldig att dokumentera och upprätthålla en hög nivå av fysisk resiliens och organisatorisk beredskap. Kraven omfattar bland annat:
- Riskanalys och sårbarhetsbedömning
Organisationen ska kontinuerligt genomföra riskbedömningar och identifiera svagheter i sina fysiska system, processer och beroenden. - Förebyggande och skyddande åtgärder
Det kan exempelvis handla om fysisk säkring av tillträdesvägar, backup-system, redundans i försörjningskedjor eller anpassning till klimatutmaningar. - Utpekande av kontaktperson
Organisationen ska utse en sambandsansvarig som fungerar som kontaktpunkt gentemot myndigheter och tillsynsorgan. - Resiliensplan
Det ska tas fram en plan för kontinuitet, återställning och hantering av större incidenter. - Övningar och medarbetarutbildning
Träning och tester av beredskapen är obligatoriska, och anställda i relevanta funktioner ska ha nödvändig kunskap och instruktioner. - Leverantörsstyrning och beroenden
Kritiska beroenden, inklusive tredjepartsleverantörer, ska analyseras och kontrolleras med avseende på resiliens.
Därtill kommer kravet att förhålla sig till tvärsektoriella beroenden. CER-direktivet uppmuntrar till ökat samarbete mellan sektorer och länder för att undvika så kallade ”cascading effects”, där en incident i en sektor, exempelvis energiförsörjningen, orsakar följdeffekter och störningar i andra. Detta kräver ett bredare angreppssätt för riskhantering och ett ökat fokus på ömsesidig robusthet i värdekedjan.
Hur förhåller sig CER-direktivet till NIS2?
Även om CER och NIS2 är två självständiga EU-direktiv är de nära sammankopplade och ingår i en gemensam strategi för att stärka samhällets motståndskraft både digitalt och fysiskt. Där NIS2-direktivet fokuserar på cybersäkerhet och skydd av nätverk och informationssystem, har CER-direktivet fokus på fysisk resiliens.
I praktiken innebär detta att många organisationer omfattas av båda direktiven. Det gäller till exempel elnätsbolag och gasinfrastrukturoperatörer, som både är kritiska för samhällets funktion och starkt beroende av digitala system. Särskilt inom energisektorn har NIS2 lett till skärpta krav på governance, riskhantering och incidenthantering, medan CER-direktivet kompletterar genom att kräva kontroll även över det fysiska beredskapet och förmågan att motstå exempelvis sabotage, bränder eller extremväder.
I Sverige samlas kraven genom flera rättsakter, däribland under lagen (2019:1113) om skydd av samhällsviktig verksamhet och den tillhörande förordningen (2019:1114). Dessa utgör en övergripande ram för arbetet med att stärka samhällets motståndskraft och beredskap. Myndigheter som MSB och Energimyndigheten ansvarar för tillsyn och vägledning, medan företagen själva är skyldiga att upprätthålla robusta beredskaps- och kontinuitetsåtgärder.
För drabbade organisationer finns ett behov av en helhetssyn där fysisk och digital säkerhet betraktas tillsammans. Detta inkluderar riskbedömningar, leverantörshantering, incidenthantering och planerat underhåll – och ställer ökade krav på samspelet mellan IT, verksamhet och ledning.
LÄS MER: Verksamhetsfördelar med NIS2
En strategisk möjlighet
CER-direktivet är en möjlighet att betrakta resiliens och beredskap som en strategisk förmåga i linje med informationssäkerhet, ESG och affärskritiska områden.
Organisationer som arbetar proaktivt med resiliens i olika sektorer, länder och värdekedjor kommer inte bara att vara bättre rustade för inspektioner och revisioner, utan också för att hantera verkliga incidenter, minimera störningar och upprätthålla förtroendet hos kunder, leverantörer och omgivande samhällen.
