Vad är CER-direktivet? Guide till krav, sektorer & tidsplan

Vad är CER-direktivet? Guide till krav, sektorer & tidsplan

Lucas Rosvall

Lucas Rosvall

·

Vad händer om elen försvinner, sjukvården stannar eller maten tar slut? CER-direktivet är EU:s svar på hur vi ska skydda samhällets viktigaste funktioner mot fysiska hot och störningar.

I december 2022 antog EU CER-direktivet (2022/2557). Det ersatte det tidigare ECI-direktivet och tar ett mycket bredare grepp för att säkra motståndskraften i elva kritiska sektorer.

Sedan 2025 gäller den nya lagstiftningen för svenska företag. Här går vi igenom vad det innebär för er och hur ni säkerställer efterlevnad.

Vad är CER-direktivet?

CER står för Critical Entities Resilience. Bakgrunden är en allt mer osäker omvärld där samhällsviktig infrastruktur hotas av allt från extrema väderhändelser och naturkatastrofer till sabotage, terrorism och hybridhot.

Syftet med direktivet är att säkerställa att de tjänster som är avgörande för att upprätthålla grundläggande samhällsfunktioner eller ekonomisk verksamhet kan fortgå även under kris.

Det handlar inte bara om att förebygga incidenter, utan om förmågan att motstå, absorbera och återhämta sig från störningar.

Sex centrala kravområden

Verksamheter som omfattas måste jobba systematiskt med följande områden:

  1. Riskbedömningar: Genomföra regelbundna analyser av hotbilden mot den fysiska verksamheten.
  2. Fysiskt skydd: Säkra anläggningar, lokaler och kritisk infrastruktur mot obehörigt tillträde och skadegörelse.
  3. Resiliensåtgärder: Implementera tekniska och organisatoriska åtgärder för att minimera konsekvenserna av en störning.
  4. Personal och bakgrundskontroller: Säkerställa att personal i känsliga positioner är pålitlig.
  5. Kontinuitetshantering: Ha färdiga kontinuitetsplaner för att kunna fortsätta leverera tjänster under kris.
  6. Incidentrapportering: Rapportera allvarliga incidenter till tillsynsmyndigheten inom 24 timmar.
CER-direktivet och samhällets motståndskraft

Vilka omfattas? (De 11 sektorerna)

CER-direktivet pekar ut elva sektorer som anses kritiska för samhällets funktionalitet. Till skillnad från NIS2, där företag ofta själva måste avgöra om de omfattas baserat på storlek, kommer nationella myndigheter (i Sverige MSB) att formellt identifiera och meddela de entiteter som omfattas.

Här är de sektorer som berörs, med exempel på verksamheter:

  1. Energi: Elproducenter, nätägare, raffinaderier och fjärrvärmeanläggningar.
  2. Transport: Flygplatser, hamnar, järnvägsoperatörer och logistiknav.
  3. Bankverksamhet: Kreditinstitut och storbanker.
  4. Finansmarknadsinfrastruktur: Handelsplatser och clearingorganisationer.
  5. Hälso- och sjukvård: Sjukhus, laboratorier och tillverkare av kritiska läkemedel.
  6. Dricksvatten: Vattenverk och stora distributionsnät.
  7. Avloppsvatten: Reningsverk och uppsamlingssystem.
  8. Digital infrastruktur: Molntjänster, datacenter och internetknutpunkter.
  9. Offentlig förvaltning: Myndigheter med ansvar för kritiska funktioner.
  10. Rymd: Operatörer av markbaserad infrastruktur för rymdtjänster.
  11. Livsmedel: Storskalig produktion, förädling och grossister.

Senast i juli 2026 ska Sverige ha en färdig lista över alla identifierade kritiska entiteter.

CER och NIS2: Två sidor av samma mynt

Det är lätt att blanda ihop CER och NIS2 eftersom de antogs samtidigt och ofta träffar samma företag. Den stora skillnaden ligger i vad som ska skyddas:

  • CER (Physical Resilience): Skyddar den fysiska miljön – byggnader, kablar, generatorer och människor. Målet är att tjänsten ska levereras oavsett yttre påverkan.
  • NIS2 (Cyber Resilience): Skyddar den digitala miljön – nätverk, data och IT-system. Målet är att skydda mot cyberattacker och digitala avbrott.

Exempel: Ett vattenverk behöver NIS2 för att hindra en hacker från att stänga av pumparna via internet. Samma vattenverk behöver CER för att hindra någon från att fysiskt sabotera en ventil på plats eller för att hantera att en översvämning slår ut elförsörjningen till verket.

Jämförelse mellan CER och NIS2

Hur påverkas er verksamhet?

Om ni identifieras som en kritisk entitet väntar ett betydande arbete med dokumentation och efterlevnad. En stor utmaning ligger i att förstå sina beroenden. CER kräver att ni har kontroll på era kritiska leverantörer och hur en störning hos dem påverkar er förmåga att leverera.

Tidsplan för CER i Sverige

  • Oktober 2024: Sista datum för EU-länderna att införa nationell lagstiftning.
  • 2025: Den svenska lagstiftningen trädde i kraft och tillsynsarbetet inleddes.
  • Juli 2026: Deadline för myndigheter att ha identifierat samtliga kritiska entiteter som omfattas av de skärpta kraven.

Så kan ChainSec hjälpa er

Att uppfylla kraven i CER-direktivet kräver ordning och reda på risker, åtgärder och leverantörer. ChainSec är byggt för att stödja det systematiska säkerhetsarbetet genom att:

  • Strukturera riskbedömningar: Genomför och dokumentera riskbedömningar för både fysiska och digitala tillgångar.
  • Hantera leverantörsrisker: Få full koll på era kritiska leverantörer och deras motståndskraft genom våra verktyg för leverantörsbedömning.
  • Incidenthantering: Ett centraliserat system för att snabbt rapportera och hantera störningar enligt lagens krav.
  • Kontinuitetsplanering: Säkerställ att era planer är uppdaterade, tillgängliga och regelbundet övade.

Vill ni veta hur ni ligger till gällande de nya kraven? Boka en demo av ChainSec så visar vi hur ni kan digitalisera ert arbete med resiliens och efterlevnad.

Vanliga frågor om CER-direktivet

Vad står CER för?

CER står för Critical Entities Resilience (Direktiv 2022/2557). Det är ett EU-direktiv som syftar till att stärka motståndskraften hos kritiska entiteter mot fysiska hot, naturkatastrofer och sabotage.

Vilka omfattas av CER-direktivet?

CER-direktivet omfattar elva sektorer, inklusive energi, transport, bank, finans, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymd och livsmedel. Till skillnad från NIS2 pekas specifika företag ut av nationella myndigheter (i Sverige MSB) som kritiska entiteter.

När träder CER-direktivet i kraft?

Medlemsstaterna skulle ha antagit nationella lagar senast i oktober 2024. I Sverige trädde den nya lagstiftningen i kraft under 2025, och senast i juli 2026 ska alla kritiska entiteter vara formellt identifierade av MSB.

Vad är skillnaden mellan NIS2 och CER?

NIS2 fokuserar på cybersäkerhet och skydd av digitala system, medan CER fokuserar på fysisk motståndskraft och skydd av kritisk infrastruktur (byggnader, personal, drift). Många verksamheter kommer att omfattas av båda regelverken.

Vilka är kraven i CER-direktivet?

Bland huvudkraven finns systematiska riskbedömningar, implementering av fysiska skyddsåtgärder, kontinuitetsplanering, bakgrundskontroller av personal och incidentrapportering vid allvarliga störningar.

Förenkla er compliance med smartare regelefterlevnad.

Uppfyll NIS2, ISO 27001, GDPR och andra krav med ChainSec. Smarta verktyg för riskbedömning, leverantörsövervakning och dokumentation – allt i en plattform.

App screenshot