Hvad er CER-direktivet?
CER-direktivet (Critical Entities Resilience) er et EU-direktiv, der skal sikre modstandsdygtighed i kritisk infrastruktur. Hvis din virksomhed leverer essentielle tjenester, fx. elforsyning, drikkevand, sundhed eller fødevarer, spiller I en afgørende rolle i at sikre og genoprette samfundets funktion under kritiske hændelser.
Kritiske hændelser kan være f.eks. sabotage, hybride angreb, terrorangreb eller naturkatastrofer. Opgaven er at beskytte jeres virksomhed og sikre, at I kan fortsætte med at levere jeres tjenester, og dermed bidrage til at opretholde kritisk infrastruktur, og sikre et mere robust og sikkert Danmark.
Vigtige datoer
- CER-direktivet er vedtaget i EU, og implementeres ved lov i Danmark fra juli 2025
- Virksomheder får besked om, at de er udpeget senest juli 2026
- Virksomhederne har 9 måneder til at blive compliant
Hvem er omfattet af CER-direktivet?
Hvis din virksomhed leverer essentielle tjenester i det danske samfund, spiller I en afgørende rolle i at sikre samfundets funktion under kritiske omstændigheder. Derfor er det vigtigt, at I forbereder jeres organisation på at leve op til kravene i CER-direktivet.
Opererer din virksomhed inden for sektorer som energi, transport, sundhed, finans, drikke- og spildevand, digital infrastruktur, fødevarer eller offentlig administration, er det sandsynligt, at I bliver omfattet af loven. For eksempel vil forsyningsselskaber, hospitaler, datacentre og luftfartsoperatører typisk falde ind under kategorien af kritiske enheder.
Det er myndighederne, som konkret udpeger hvilke virksomheder, der falder i kategorien "kritiske enheder", og derfor bliver omfattet af loven.
Hvad skal I gøre?
Bliver din virksomhed defineret som kritisk enhed, skal I sikre, at virksomheden bliver i stand til at modstå og tilpasse sig uforudsete hændelser.
Loven kræver, at I foretager en dybdegående risikovurdering af jeres forretning. Har I overblik over de trusler, der kan ramme jer? Er I klar over, hvad konsekvenserne kan blive for jeres evne til at levere jeres tjenester?
Disse spørgsmål skal I kunne svare på – og ikke kun en gang, men løbende, efterhånden som trusselsbilledet udvikler sig.
Krav til kritiske enheder
Kendte krav på nuværende tidspunkt inkluderer, at I skal:
- Identificere trusler og udarbejde risikovurderinger
- Forhindre hændelser, inkl. katastrofereduktions- og klimatilpasningsforanstaltninger
- Øge organisationens bevidsthed gennem uddannelse og øvelser
- Udarbejde en resiliensplan
- Udpege en forbindelsesofficer
- Sikre fysisk beskyttelse af lokaler og infrastruktur
- Implementere risiko- og krisestyringsprocedurer samt varslingsrutiner
- Sikre genopretning via kontinuitetsforanstaltninger og alternative forsyningskæder
- Sikre medarbejdersikkerhed gennem adgangsrettigheder, baggrundskontrol og uddannelseskrav
Hvilke sektorer er kritiske for samfundets funktion?
CER-direktivet dækker en bred vifte af sektorer, der anses for kritiske for samfundets funktion. Disse omfatter:
- Energi - Elektricitet, olie og gas.
- Transport - Luftfart, jernbaner, vejtransport og skibsfart.
- Bankvirksomhed - Centrale finansielle funktioner.
- Finansiel infrastruktur - Betalingssystemer og finansielle markedsinfrastrukturer.
- Sundhed - Hospitaler og andre essentielle sundhedstjenester.
- Drikkevand - Produktion og distribution.
- Spildevand
- Digital infrastruktur - Datacentre, cloud-tjenester og netværksinfrastruktur.
- Offentlig administration - Myndigheder med kritiske funktioner.
- Rummet - Tjenester relateret til satellitkommunikation.
- Fødevarer
Særligt for energisektoren
Energisektoren er den første sektor, der omfattes og bekendtgørelse for sektoren forventes at blive vedtaget i marts 2025.
Er SMV'er omfattet af loven?
Loven skelner ikke mellem store eller små virksomheder, men vurderer og udvælger virksomheder på baggrund af vigtigheden for samfundet.
Hvad sker der, hvis virksomheden ikke overholder loven?
Da loven og tilhørende bekendtgørelser for de enkelte sektorer endnu ikke er vedtaget, kender vi ikke de konkrete sanktioner og hvornår virksomheden vil ifalde straf.
Lovudkastet specificerer for nuværende, at overtrædelser straffes med bøde, men det er ikke klart, hvilken størrelsesorden bøderne vil have. Desuden mangler der endnu klarhed over:
- Omfanget af "nødvendige oplysninger" er uklart
- “Hindring af tilsyn”
- Strafansvar for juridiske personer
Hvordan hænger CER direktivet sammen med NIS2?
NIS2 handler om cybersikkerhed. Hvis din virksomhed bliver udpeget af myndighederne til at være underlagt CER, så er I automatisk omfattet af kravene i NIS2.
Find hjælp til NIS2 i DI's NIS2 Vejledningsunivers
Skal vi lave en risikoanalyse?
For at sikre, at I er godt forberedt, kan det være en fordel at starte med en analyse af jeres nuværende situation:
Hvad er jeres risici? Hvilke sikkerhedsforanstaltninger har I allerede? Hvor er der svagheder? Og hvordan kan I forbedre jer?
Brug DI's risiko- og sårbarhedanalyse
Det kan også være en god idé at udpege en resiliensansvarlig, der kan koordinere jeres indsats og sikre, at I lever op til lovens krav.
Plan for modstandsdygtighed - resiliensplan?
En resiliensplan er en plan for, hvordan din virksomhed håndterer og genopretter driften i tilfælde af krise. Se DI's beredskabsplan, der også indeholder en resiliensplan.
Det er ikke tilstrækkeligt, at planen eksisterer på papiret – den skal testes regelmæssigt, og alle medarbejdere skal vide, hvordan de skal reagere. Uddannelse og træning af virksomhedens personale bliver afgørende for, at I kan agere hurtigt og effektivt, når det virkelig gælder.
Vær også opmærksom på virksomhedens leverandører og samarbejdspartnere. De fleste virksomheder vil sandsynligvis være afhængige af eksterne parter for at kunne levere jeres tjenester. Loven kræver, at I vurderer deres robusthed og stiller krav om, at de også lever op til nødvendige standarder. Hvis jeres leverandør svigter, kan det nemlig også få konsekvenser for jer.
Skal vi rapportere alvorlige hændelser?
Noget af det vigtigste loven kræver er, at I etablerer klare procedurer for at rapportere alvorlige hændelser.
Hvis I oplever en hændelse, der truer jeres leverancer, skal relevante myndigheder underrettes hurtigt og præcist.
Samarbejdet med myndigheder er en central del af loven, betragt det som en ressource snarere end en kontrol. Myndighederne er der for at hjælpe jer med at navigere i kravene og sikre, at samfundet som helhed bliver mere robust.
Definition af centrale begreber i CER-direktivet
Kritisk infrastruktur
Et aktiv, en facilitet, udstyr, et netværk eller et system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.
Hændelse
En begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste.
Modstandsdygtighed
En kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.
Risiko
Potentialet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
Risikovurdering
Den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Væsentlig tjeneste
En tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet
