Vad är CER-direktivet? (Critical Entities Resilience)

Vad är CER-direktivet? (Critical Entities Resilience)

Lucas Rosvall
Publicerad av Lucas Rosvall
den

Vad händer om elen försvinner, sjukvården slutar fungera eller matdistributionen stannar? EU:s nya CER-direktiv ger svaret på hur vi ska skydda samhällets viktigaste funktioner.

I december 2022 antog EU ett nytt direktiv som revolutionerar hur vi skyddar samhällsviktig verksamhet. CER-direktivet (2022/2557) ersätter tidigare fragmenterad lagstiftning med ett heltäckande skydd för elva kritiska sektorer. Från energi och transport till sjukvård och livsmedelsproduktion.

För svenska verksamheter inom dessa sektorer innebär direktivet nya skyldigheter från augusti 2025. Denna artikel guidar dig genom vad förändringarna innebär och hur din organisation kan förbereda sig.

Vad är CER-direktivet?

CER-direktivet är EU:s nya regelverk för att skydda samhällsviktig verksamhet mot allt från naturkatastrofer och pandemier till sabotage och terrorhot. Det kommer att omfatta alla organisationer som är avgörande för att samhället ska fungera, från elbolag och sjukhus till transportföretag och livsmedelsproducenter.

Till skillnad från tidigare lagstiftning tar CER ett helhetsgrepp om säkerheten. Det handlar inte bara om att skydda byggnader och teknik, utan även om att säkerställa att verksamheterna kan fortsätta fungera under och efter en kris.

Direktivet kräver att kritiska verksamheter arbetar systematiskt med:

Direktivet innebär också ett närmare samarbete mellan EU:s medlemsländer. När en störning drabbar kritisk verksamhet i flera länder ska information delas och åtgärder samordnas. Detta är särskilt viktigt eftersom många av dagens samhällsviktiga tjänster också är beroende av varandra över nationsgränserna.

CER-direktivet

Vilka omfattas av CER-direktivet?

CER-direktivet omfattar elva kritiska sektorer som är avgörande för samhällets funktion. Här är en komplett lista över alla sektorer:

Varje medlemsland ska senast sommaren 2026 identifiera exakt vilka verksamheter inom dessa sektorer som ska omfattas av direktivet.

CER och NIS2: två direktiv för ett säkrare samhälle

För att skydda samhällets viktigaste funktioner har EU tagit fram två centrala direktiv: CER och NIS2.

De antogs samtidigt i slutet av 2022 och fungerar egentligen som två sidor av samma mynt. Medan CER skyddar den fysiska infrastrukturen hanterar NIS2-direktivet cybersäkerheten.

Hur direktiven samverkar

Ett modernt samhälle kan inte fungera om vi bara skyddar det ena eller det andra. Ta till exempel ett sjukhus - det måste både ha fungerande IT-system för journaler och läkemedelshantering (NIS2) och samtidigt kunna fortsätta vårda patienter även vid strömavbrott eller en naturkatastrof (CER).

På samma sätt måste en elkraftsanläggning både skyddas mot hackerattacker och ha skalskydd mot fysiska intrång.

NIS2-direktivet: Digital säkerhet

NIS2 fokuserar på att skydda de digitala system som vårt samhälle är beroende av. Direktivet ställer tydliga krav på hur organisationer ska bygga sitt cybersäkerhetsskydd.

Det handlar om att kunna upptäcka och stoppa cyberattacker, säkra känslig information och snabbt kunna återställa systemen om något händer. Direktivet kräver också att allvarliga IT-incidenter rapporteras så att andra verksamheter kan lära sig och förbättra sitt skydd.

CER-direktivet: Fysisk och operativ säkerhet

CER handlar istället om att skydda de fysiska delarna av samhällsviktig verksamhet. Det kan vara byggnader, maskiner eller andra kritiska anläggningar som måste fungera för att samhället ska fungera.

Men det handlar också om att ha planer för hur verksamheten ska kunna fortsätta även under svåra förhållanden. Det kan vara under en pandemi, vid extremt väder eller vid ett terrorhot. En viktig del är också att säkerställa att personalen är pålitlig genom olika typer av säkerhetskontroller.

För många verksamheter kommer båda direktiven att gälla. Ett vattenreningsverk som identifieras som kritisk verksamhet under CER måste till exempel också följa NIS2:s krav på cybersäkerhet. På samma sätt måste ett stort sjukhus både ha fysiskt skalskydd och säkra IT-system.

CER-direktivet

Vilka krav kommer CER-direktivet att medföra?

CER-direktivet ställer flera krav på verksamheter som identifieras som samhällsviktiga. För att avgöra om en verksamhet omfattas av direktivet behöver man analysera både vilka tjänster man levererar och hur kritiska dessa är för samhällets funktion. En störning i verksamheten ska kunna få betydande konsekvenser för att den ska klassas som kritisk.

För de verksamheter som omfattas väntar ett systematiskt arbete med säkerhet och motståndskraft. Grunden är att genomföra regelbundna riskbedömningar minst vart fjärde år. Dessa ska täcka alla typer av hot, från naturkatastrofer och tekniska haverier till antagonistiska hot som sabotage och terrorism. Särskilt viktigt är att förstå hur verksamheten är beroende av andra aktörer och hur en störning kan påverka samhället i stort.

Baserat på riskbedömningen ska verksamheten även implementera lämpliga skyddsåtgärder. Det handlar i grunden om tre huvudområden:

En central del av direktivet är kravet på snabb incidentrapportering. Verksamheter måste anmäla allvarliga störningar till tillsynsmyndigheten inom 24 timmar. Detta för att möjliggöra ett bättre samarbete, samt skydda andra verksamheter som kan påverkas.

För att säkerställa ett systematiskt arbete måste verksamheten utse en säkerhetsansvarig och bygga upp rutiner för löpande uppföljning.

Implementeringen av CER är en omfattande process som kräver både resurser och engagemang från hela organisationen. Men arbetet är också avgörande, inte bara för den egna verksamheten utan för hela samhällets förmåga att hantera framtida kriser.