Vad händer om elen försvinner, sjukvården stannar eller maten tar slut? CER-direktivet är EU:s svar på hur vi skyddar samhällets viktigaste funktioner.
I december 2022 antog EU CER-direktivet (2022/2557). Det ersätter gamla lagar med ett heltäckande skydd för elva kritiska sektorer.
Från augusti 2025 gäller nya regler för svenska företag. Här går vi igenom vad det betyder för er.
Vad är CER-direktivet?
CER står för Critical Entities Resilience. Det är ett regelverk som ska skydda samhällsviktig verksamhet mot hot. Det kan handla om allt från naturkatastrofer och sabotage till terrorhot.
Lagen omfattar alla som är avgörande för att samhället ska fungera. Tänk elbolag, sjukhus och livsmedelsproducenter.
Tidigare lagar skyddade ofta bara byggnader eller teknik. CER tar ett helhetsgrepp. Ni måste kunna fortsätta leverera även när krisen slår till.
Ni behöver jobba systematiskt med fem områden:
- Riskbedömningar: Hitta era svaga punkter.
- Fysiskt skydd: Säkra era anläggningar.
- Personalkontroll: Ha koll på vem ni anställer.
- Krisplaner: Veta exakt vad ni ska göra när något händer.
- Återhämtning: Kunna komma tillbaka snabbt efter en incident.
Lagen kräver också att länder samarbetar mer. Om en kris drabbar flera länder ska information delas snabbt. Många system hänger ihop över gränserna, så samordning är nyckeln.
Vilka omfattas?
Direktivet pekar ut elva sektorer som bär upp samhället. Mer information finns hos MSB.
Här är listan:
- Energi (El, fjärrvärme, olja, gas)
- Transport (Flyg, tåg, båt, väg)
- Bankverksamhet (Kreditinstitut)
- Finansmarknad (Handelsplatser)
- Hälso- och sjukvård (Sjukhus, labb, tillverkning)
- Dricksvatten (Leverantörer)
- Avloppsvatten (Rening)
- Digital infrastruktur (Molntjänster, internetknutpunkter)
- Offentlig förvaltning (Myndigheter)
- Rymd (Markbaserad infrastruktur)
- Livsmedel (Produktion och distribution)
Senast sommaren 2026 ska varje land ha pekat ut exakt vilka företag som omfattas.
CER och NIS2: Vad är skillnaden?
EU antog två stora lagar samtidigt 2022: CER och NIS2. De hänger ihop, men skyddar olika saker.
Enkel tumregel:
- CER skyddar det fysiska (byggnader, personal, drift).
- NIS2 skyddar det digitala (data, nätverk, IT-system).
Varför behövs båda?
Tänk på ett sjukhus.
- För att fungera måste journalsystemen vara säkra mot hackers (NIS2).
- Men sjukhuset måste också ha reservkraft om strömmen går, och skydd mot fysiska intrång (CER).
Båda delarna krävs för att vården ska fungera.
Samma sak gäller ett vattenverk. Det måste vara skyddat mot cyberattacker som vill manipulera reningen (NIS2). Men det måste också vara skyddat mot sabotage på plats (CER).
Därför kommer många verksamheter behöva följa båda lagarna.
Vilka krav kommer CER-direktivet att medföra?
CER-direktivet ställer flera krav på verksamheter som identifieras som samhällsviktiga. För att avgöra om en verksamhet omfattas av direktivet behöver man analysera både vilka tjänster man levererar och hur kritiska dessa är för samhällets funktion. En störning i verksamheten ska kunna få betydande konsekvenser för att den ska klassas som kritisk.
För de verksamheter som omfattas väntar ett systematiskt arbete med säkerhet och motståndskraft. Grunden är att genomföra regelbundna riskbedömningar minst vart fjärde år. Dessa ska täcka alla typer av hot, från naturkatastrofer och tekniska haverier till antagonistiska hot som sabotage och terrorism. Särskilt viktigt är att förstå hur verksamheten är beroende av andra aktörer och hur en störning kan påverka samhället i stort.
Baserat på riskbedömningen ska verksamheten även implementera lämpliga skyddsåtgärder. Det handlar i grunden om tre huvudområden:
- Fysiskt skydd av kritisk infrastruktur genom skalskydd, övervakning och redundans.
- Personalsäkerhet med bakgrundskontroller, utbildning och tydliga rutiner.
- Kontinuitetshantering för att kunna fortsätta fungera även under störningar.
En central del av direktivet är kravet på snabb incidentrapportering. Verksamheter måste anmäla allvarliga störningar till tillsynsmyndigheten inom 24 timmar. Detta för att möjliggöra ett bättre samarbete, samt skydda andra verksamheter som kan påverkas.
För att säkerställa ett systematiskt arbete måste verksamheten utse en säkerhetsansvarig och bygga upp rutiner för löpande uppföljning.
Implementeringen av CER är en omfattande process som kräver både resurser och engagemang från hela organisationen. Men arbetet är också avgörande, inte bara för den egna verksamheten utan för hela samhällets förmåga att hantera framtida kriser.
