Bliv helt klar til CER
Bliv klogere på hvordan din virksomhed bedst forbereder sig på det vi ved - og det vi fortsat mangler svar på - om CER.
Sådan påvirker CER virksomheder og leverandører i kritisk infrastruktur
CER (Critical Entities Resilience) er et EU-direktiv, der skal styrke modstandskraften i kritiske sektorer. Direktivet træder i kraft i Danmark 1. juli 2025. Her på siden kan du blive klogere på, hvordan din virksomhed bedst forbereder sig på CER. Både på baggrund af det vi ved, og det vi stadig mangler svar på.
Hvad er CER?
CER (Critical Entities Resilience) er et EU-direktiv, der sigter mod at styrke modstandsdygtigheden hos virksomheder inden for kritisk infrastruktur. Direktivet stiller skærpede krav til risikohåndtering, beredskabsplaner og samarbejde mellem virksomheder og myndigheder for at minimere konsekvenserne af både menneske- og naturskabte trusler.
For mange virksomheder betyder det, at der kommer en ny lovgivning vedrørende sikkerhed og modstandsdygtighed, som skal efterleves. Nogle af kravene omfatter bl.a.:
- Løbende risikovurdering og -styring
- Overvågningssystemer
- Beredskabsplaner
- Leverandørstyring
De vigtigste datoer for CER
December 2022
CER vedtages, sammen med NIS2-direktivet, i EU.
Oktober 2024
CER træder i kraft i EU. I Danmark er man dog ikke på plads med rammeværket, og fristen for implementering bliver udskudt til juli 2025.
Juli 2025
1. juli 2025 er den nye dato for implementeringen af CER i Danmark.
Juli 2026
Deadline for udpegning af kritiske enheder. Senest 10 måneder efter udpegningen skal enhederne efterleve direktivet.
Berørte sektorer
Data- og telekommunikationssektoren
I denne sektor leverer operatører tjenester, der spiller en central rolle for offentlighedens adgang til telefoni, internet og datalagring. Informationsudveksling er blevet en vigtig økonomisk drivkraft og en uundværlig del af hverdagen. Det er bl.a. tjenester og udbydere, der omfatter:Internetudvekslingspunkter og DNS-løsninger
Cloud computing-leverandører
Datacenterudbydere og registratorer for topdomænenavne
Offentlige elektroniske kommunikationstjenester
Fødevare- og vandsektoren
Vand- og fødevaresektoren spiller en vigtig rolle for befolkningens sundhed og ernæringsforsyning. Sektorerne dækker:Fødevareforsyningskæden, herunder: Produktion, forarbejdning, transport, distribution og opbevaring
Drikkevandsforsyning, herunder: Indvinding, behandling, opbevaring og distribution af drikkevand
Håndtering og behandling af spildevand
Energisektoren
Energisektoren er rygraden i vores infrastruktur og spiller en central rolle for det moderne liv og samfundets økonomiske stabilitet. Uden en stabil energiforsyning kan tjenester i andre vigtige sektorer bryde sammen, hvilket kan få alvorlige konsekvenser. Sektoren omfatter:Producenter, udpegede operatører og operatører af ladestationer
Operatører af fjernvarme eller fjernkøling
Raffinaderier og behandlingsanlæg, olielagre og olietransmission
Forsynings- og naturgasvirksomheder, naturgasoperatører og behandlingsanlæg
Operatører inden for brintproduktion, -lagring og –transmission.
Transportsektoren
Transportsektoren er afgørende for mobiliteten af både mennesker og varer. Den omfatter en bred vifte af transportmidler og infrastrukturer, herunder:Logistikvirksomheder
Vejtrafik
Jernbaner
Lufttrafik
Skibsfart
Sundhedssektoren
Sundhedssektoren sikrer befolkningens sundhed, styrker social tryghed og er en del af samfundets kritiske infrastruktur. Den bidrager med innovation, forskning og jobskabelse, håndterer kriser og reducerer ulighed. Sektoren dækker:Hospitaler, klinikker, lægepraksisser og apoteker
Produktion af medicin og medicinsk udstyr
Laboratorier
Finanssektoren
CER fokuserer på at sikre finanssektoren mod fysiske trusler, som naturkatastrofer, terrorangreb eller andre hændelser, der kan forstyrre deres evne til at levere essentielle tjenester. Dermed supplerer CER den digitale sikkerhed, som reguleres gennem DORA.Banker og forsikringsselskaber
Finansielle markedsinfrastrukturer
Investeringsselskaber, kapitalforvaltere samt kreditinstitutter
Hvilke virksomheder er CER relevant for?
Selvom det endnu er usikkert, hvilke virksomheder der vil være direkte omfattet af CER-direktivet, er der klare fordele ved allerede nu at styrke sin modstandsdygtighed. Det påpeger Morten Regnersgaard, procesudviklingschef i Securitas.
For er du leverandør til en virksomhed, der er direkte omfattet af CER, er der nemlig en stor sandsynlighed for, at du bliver indirekte omfattet af direktiverne.
"For de berørte virksomheder bliver det vigtigt at sikre, at alle led i forsyningskæden er ordentligt forberedte og i stand til at opretholde driften i tilfælde af nødsituationer. I fremtiden vil leverandører på tværs af værdikæden derfor skulle leve op til strengere sikkerhedskrav for at kunne fortsætte deres samarbejde med virksomheder inden for kritisk infrastruktur," forklarer Morten og fremhæver, at flere virksomheder allerede nu stiller større krav til sikkerheden hos sine leverandører.
Læs interviewetSå mange virksomheder kan blive omfattet af CER
Der hersker stadig en vis usikkerhed om præcis hvor mange og hvilke virksomheder, der vil blive påvirket af CER-direktivet. Dog begynder forskellige estimater at tegne et klarere billede.
Er din virksomhed forberedt?
Estimat af antallet af berørte virksomheder
-
4000
Direkte omfattet
-
25000
Indirekte omfattet
Undgå faldgruber. Få vores gratis guide og skabelon til risikovurdering her
En risikovurdering er en struktureret metode til at identificere, analysere og prioritere risici – og et godt afsæt for at styrke robustheden, undgå driftstop og genoprette driften i nødstilfælde.
Uanset om din virksomhed er direkte omfattet af fx NIS2- eller CER-direktivet, leverer til kritisk infrastruktur eller blot ønsker at få et bedre overblik over sårbarheder, er en risikovurdering et nyttigt og værdifuldt værktøj.
Og selvom det måske lyder besværligt, behøver I ikke nødvendigvis at bruge konsulenttimer på at komme i gang. Med den rigtige hjælp, kan I nemlig nå rigtig langt selv. Derfor har vi forsøgt at gøre det så overskueligt som overhovedet muligt med denne trin-for-trin-guide, så I selv kan komme i gang.
Få de gode råd og download skabelonen
Hvordan kan Securitas hjælpe dig?
Hos Securitas hjælper vi dig med forstå de komplekse krav, som CER-direktivet stiller, og vi er klar til at hjælpe din virksomhed med at leve op til dem. Vores løsninger og services kan integreres og kombineres, så du får dækket hele dit samlede sikkerhedsbehov.
Vi tilbyder:
- Gratis og uforpligtende rådgivning og analyse: Vores eksperter udfører grundige risikoanalyser, der giver dig et klart billede af, hvor din virksomhed står.
- Tilpassede sikkerhedsløsninger: Vi udvikler og implementerer skræddersyede sikkerhedsløsninger, der adresserer netop din virksomheds behov, så du forbliver compliant.
Download vores white paper om NIS2- og CER-direktiverne
Få et klart overblik over, hvilke krav de nye direktiver stiller til din sikkerhed. Vi har samlet de vigtigste krav og løsninger, så du nemt kan forstå, hvad der kræves – og hvordan du lever op til dem.
* = obligatoriske felter
Fysisk sikring af NIS2-omfattede virksomheder
For virksomheder under NIS2 er den fysiske sikkerhed en integreret del af deres samlede cybersikkerhedsstrategi, så både digitale og fysiske risici håndteres effektivt. Virksomheder, der er direkte omfattet af NIS2-direktivet, skal implementere robuste fysiske sikkerhedsforanstaltninger for at beskytte kritiske systemer og data mod uautoriseret adgang, sabotage og andre trusler.
Fysisk sikring af it-leverandører til NIS2-omfattede virksomheder
Er du leverandør til kritisk infrastruktur, der er omfattet af NIS2, kan du også være forpligtet til at sikre den fysiske beskyttelse af din it-infrastruktur – herunder serverrum, systemer og data. Afhængigt af din risikoprofil stilles der differentierede krav til sikkerhedsforanstaltninger, hvor virksomheder i risikoprofil 2 eller højere skal sikre, at deres fysiske sikring er proportionel med den risiko, de udgør for kundernes sikkerhed.
Dette kan omfatte:
- Adgangskontrol til serverrum
- Overvågnings- og alarmsystemer
- Sikrede netværksmiljøer, hvor kritiske systemer opbevares.
Relateret indhold
-
Oftest stillede spørgsmål
-
Den 29. april 2025 vedtog Folketinget den danske implementering af EU’s direktiv om kritiske enheders modstandsdygtighed. Loven træder i kraft den 1. juli 2025.
Vedtagelsen markerer dermed startskuddet på den nationale implementering, som ellers blev udskudt i forhold til EU-fristen i oktober 2024.
-
CER pålægger to niveauer af ansvar:
1. Medlemslandene
- Skal lave en national strategi.
- Udpege relevante myndigheder.
- Føre tilsyn og udstede sanktioner ved manglende overholdelse.
2. De udpegede kritiske virksomheder
- Skal lave egne risikovurderinger mindst hvert fjerde år.
- Implementere passende sikkerheds- og beredskabsforanstaltninger.
- Underrette myndigheder om alvorlige hændelser inden for 24 timer.
Særligt vigtige virksomheder, der leverer tjenester til over en tredjedel af EU-landene, vil få EU-koordinering og rådgivning.
-
Først et år senere – i juli 2026 – skal de relevante myndigheder have udpeget de kritiske enheder. Herefter har de udpegede enheder op til 10 måneder til at leve op til kravene i direktivet.
-
Ved at udføre risikoanalyser, implementere beredskabsplaner og fysiske sikkerhedsforanstaltninger samt sikre kontinuerlig træning af dine medarbejdere.
-
Mens direkte omfattede virksomheder er juridisk forpligtede til at efterleve CER-direktivet, afhænger kravene til indirekte omfattede virksomheder ofte af kontraktlige forhold og samarbejde med kritiske enheder.
Begge typer af virksomheder spiller dog en afgørende rolle i at sikre robustheden af samfundets vigtigste funktioner.
-
Virksomheder, der er direkte omfattet, er defineret som kritiske enheder inden for de sektorer og tjenester, som direktivet fokuserer på. Disse sektorer omfatter bl.a. energi, transport, sundhed, vandforsyning, digital infrastruktur og finansielle tjenester. For kritiske enheder gælder følgende:
- De skal leve op til specifikke krav om risikostyring og modstandsdygtighed. Er man direkte omfattet af CER skal virksomheder foretage løbende risikovurderinger for at afdække fysiske sikkerhedsrisici.
- Kritiske enheder er forpligtet til at foretage risikovurderinger og implementere tiltag, der sikrer kontinuitet i deres tjenester. Man kan derfor ikke udlede specifikke fysiske foranstaltninger ud fra en generel vurdering. Risikovurderingen er individuel og danner grundlag for yderligere tiltag, men der vil sandsynligvis være tale om:
- Strengere krav til adgangskontrol for at begrænse og dokumentere adgang til kritiske områder.
- Installation af kameraer og andre relevante sensorer for at sikre løbende overvågning.
- Udarbejdelse af sikkerhedsplaner, herunder bl.a. nødberedskabs- og genopretningsprocedurer.
- Regelmæssige sikkerhedsaudits samt udvikling af en stærk sikkerhedskultur i virksomhederne.
- Krav om leverandørstyring, således at leverandører og samarbejdspartnere til kritiske enheder også opfylder bestemte sikkerhedsstandarder for at beskytte værdikæden.
- Strengere krav til adgangskontrol for at begrænse og dokumentere adgang til kritiske områder.
- De bliver underlagt nationale tilsynsmyndigheders kontrol og sanktioner ved manglende efterlevelse.
- De skal leve op til specifikke krav om risikostyring og modstandsdygtighed. Er man direkte omfattet af CER skal virksomheder foretage løbende risikovurderinger for at afdække fysiske sikkerhedsrisici.
-
For virksomheder, der betragtes som kritisk infrastruktur, vil der være krav om dokumentation af sikkerhedsforanstaltninger, implementering af beredskabsplaner og en aktiv indsats inden for risikostyring. Dette betyder, at ansvaret for virksomhederne udvides væsentligt og at CER både omfatter tekniske og organisatoriske foranstaltninger.
Der er lagt op til, at overtrædelser medfører økonomiske sanktioner mod virksomheden. Derudover kan både bestyrelse og ledelse drages personligt til ansvar, hvis manglende overholdelse medfører skade på samfundet eller tredjepart.
-
NIS2 er et EU-direktiv, der har til formål at sikre et højt fælles cybersikkerhedsniveau i hele Unionen. Det erstatter det tidligere NIS1-direktiv og udvider anvendelsesområdet til flere sektorer og virksomheder.
-
Mens NIS2-direktivet fokuserer på cybersikkerhed og beskyttelse af netværks- og informationssystemer, adresserer CER-direktivet både fysiske og digitale trusler mod kritiske enheder.
-
