Bliv helt klar til CER
Bliv klogere på hvordan din virksomhed bedst forbereder sig på det vi ved - og det vi fortsat mangler svar på - om CER.
Sådan påvirker CER virksomheder og leverandører i kritisk infrastruktur
CER (Critical Entities Resilience) er et EU-direktiv, der skal styrke modstandskraften i kritiske sektorer. Direktivet forventes at træde i kraft i Danmark i midten af 2025. Her på siden kan du blive klogere på, hvordan din virksomhed bedst forbereder sig på CER. Både på baggrund af det vi ved, og det vi stadig mangler svar på.
Hvad er CER?
CER (Critical Entities Resilience) er et EU-direktiv, der sigter mod at styrke modstandsdygtigheden hos virksomheder inden for kritisk infrastruktur. Direktivet stiller skærpede krav til risikohåndtering, beredskabsplaner og samarbejde mellem virksomheder og myndigheder for at minimere konsekvenserne af både menneske- og naturskabte trusler.
For mange virksomheder betyder det, at der kommer en ny lovgivning vedrørende sikkerhed og modstandsdygtighed, som skal efterleves. Nogle af kravene omfatter bl.a.:
- Risikovurdering og -styring
- Adgangskontrolsystemer
- Overvågningssystemer og leverandørstyring
- Sikkerhedsplanlægning og -procedurer
- Fysiske sikkerhedsaudits og sikkerhedstræning
De vigtigste datoer for CER
December 2022
CER vedtages, sammen med NIS2-direktivet, i EU.
Oktober 2024
CER træder i kraft i EU. I Danmark er man dog ikke på plads med rammeværket, og fristen for implementering bliver udskudt til juli 2025.
Juli 2025
1. juli 2025 er den nye dato for den forventede implementering af CER i Danmark.
Juli 2026
Deadline for udpegning af kritiske enheder. Senest 10 måneder efter udpegningen skal enhederne efterleve direktivet.
Berørte sektorer
Data- og telekommunikationssektoren
I denne sektor leverer operatører tjenester, der spiller en central rolle for offentlighedens adgang til telefoni, internet og datalagring. Informationsudveksling er blevet en vigtig økonomisk drivkraft og en uundværlig del af hverdagen. Det er bl.a. tjenester og udbydere, der omfatter:Internetudvekslingspunkter og DNS-løsninger
Cloud computing-leverandører
Datacenterudbydere og registratorer for topdomænenavne
Offentlige elektroniske kommunikationstjenester
Fødevare- og vandsektoren
Vand- og fødevaresektoren spiller en vigtig rolle for befolkningens sundhed og ernæringsforsyning. Sektorerne dækker:Fødevareforsyningskæden, herunder: Produktion, forarbejdning, transport, distribution og opbevaring
Drikkevandsforsyning, herunder: Indvinding, behandling, opbevaring og distribution af drikkevand
Håndtering og behandling af spildevand
Energisektoren
Energisektoren er rygraden i vores infrastruktur og spiller en central rolle for det moderne liv og samfundets økonomiske stabilitet. Uden en stabil energiforsyning kan tjenester i andre vigtige sektorer bryde sammen, hvilket kan få alvorlige konsekvenser. Sektoren omfatter:Producenter, udpegede operatører og operatører af ladestationer
Operatører af fjernvarme eller fjernkøling
Raffinaderier og behandlingsanlæg, olielagre og olietransmission
Forsynings- og naturgasvirksomheder, naturgasoperatører og behandlingsanlæg
Operatører inden for brintproduktion, -lagring og –transmission.
Transportsektoren
Transportsektoren er afgørende for mobiliteten af både mennesker og varer. Den omfatter en bred vifte af transportmidler og infrastrukturer, herunder:Logistikvirksomheder
Vejtrafik
Jernbaner
Lufttrafik
Skibsfart
Sundhedssektoren
Sundhedssektoren sikrer befolkningens sundhed, styrker social tryghed og er en del af samfundets kritiske infrastruktur. Den bidrager med innovation, forskning og jobskabelse, håndterer kriser og reducerer ulighed. Sektoren dækker:Hospitaler, klinikker, lægepraksisser og apoteker
Produktion af medicin og medicinsk udstyr
Laboratorier
Finanssektoren
CER fokuserer på at sikre finanssektoren mod fysiske trusler, som naturkatastrofer, terrorangreb eller andre hændelser, der kan forstyrre deres evne til at levere essentielle tjenester. Dermed supplerer CER den digitale sikkerhed, som reguleres gennem DORA.Banker og forsikringsselskaber
Finansielle markedsinfrastrukturer
Investeringsselskaber, kapitalforvaltere samt kreditinstitutter
Så mange virksomheder kan blive omfattet af CER
Der hersker stadig en vis usikkerhed om præcis hvor mange og hvilke virksomheder, der vil blive påvirket af CER-direktivet. Dog begynder forskellige estimater at tegne et klarere billede.
Er din virksomhed forberedt?
Estimat af antallet af berørte virksomheder
-
4000
Direkte omfattet
-
25000
Indirekte omfattet
Download vores white paper om NIS2- og CER-direktiverne
Få et klart overblik over, hvilke krav de nye direktiver stiller til din sikkerhed. Vi har samlet de vigtigste krav og løsninger, så du nemt kan forstå, hvad der kræves – og hvordan du lever op til dem.
* = obligatoriske felter
Hvilke virksomheder er CER relevant for?
Selvom det endnu er usikkert, hvilke virksomheder der vil være direkte omfattet af CER-direktivet, er der klare fordele ved allerede nu at styrke sin modstandsdygtighed. Det påpeger Morten Regnersgaard, procesudviklingschef i Securitas.
For er du leverandør til en virksomhed, der er direkte omfattet af CER, er der nemlig en stor sandsynlighed for, at du bliver indirekte omfattet af direktiverne.
"For de berørte virksomheder bliver det vigtigt at sikre, at alle led i forsyningskæden er ordentligt forberedte og i stand til at opretholde driften i tilfælde af nødsituationer. I fremtiden vil leverandører på tværs af værdikæden derfor skulle leve op til strengere sikkerhedskrav for at kunne fortsætte deres samarbejde med virksomheder inden for kritisk infrastruktur," forklarer Morten og fremhæver, at flere virksomheder allerede nu stiller større krav til sikkerheden hos sine leverandører.
Læs interviewet
Ansvar og konsekvenser ved manglende overholdelse af CER
For virksomheder, der betragtes som kritisk infrastruktur, vil der være krav om dokumentation af sikkerhedsforanstaltninger, implementering af beredskabsplaner og en aktiv indsats inden for risikostyring. Dette betyder, at ansvaret for virksomhederne udvides væsentligt og omfatter både tekniske og organisatoriske foranstaltninger.
Der er lagt op til, at overtrædelser medfører økonomiske sanktioner mod virksomheden. Derudover kan både bestyrelse og ledelse drages personligt til ansvar, hvis manglende overholdelse medfører skade på samfundet eller tredjepart.
For CER-direktivet er der endnu ikke fastlagt specifikke bødeniveauer på EU-niveau. Derfor bør virksomheder i Danmark være opmærksomme på nationale lovgivningsmæssige tilpasninger, der kan påvirke bødestørrelserne.
CER gælder allerede i dele af EU
Implementeringen af CER-direktivet var oprindeligt planlagt til oktober 2024 på tværs af EU. I Danmark er lovgivningen dog blevet udskudt flere gange og forventes nu først at træde i kraft i juli 2025.
Selvom den danske implementering er forsinket, kan danske leverandører med kunder i andre EU-lande allerede nu indirekte være omfattet af de nye regler, som gælder på tværs af medlemslandene. Det skaber et behov for, at virksomheder begynder at tilpasse deres sikkerhedsprocedurer, før lovgivningen formelt træder i kraft herhjemme.
"Vi ser, at virksomheder begynder at stille højere sikkerhedskrav på tværs af deres leverandørkæder – før lovgivningen reelt kræver det i Danmark," siger Morten Regnersgaard, procesudviklingschef hos Securitas Danmark, og sammenligner situationen med tidligere erfaringer fra bæredygtighedsområdet:
"Ligesom vi har set med bæredygtighedskrav, er det ofte virksomheder, der stiller strengere krav i udbudsmaterialer end dem, lovgivningen påbyder."
Han understreger desuden, hvordan sikkerhed er ved at få en mere strategisk betydning i erhvervslivet:
"I dag er bæredygtighed en naturlig del af leverandørvalget, hvor pris og kvalitet vurderes sammen med miljøhensyn. På samme måde er sikkerhed nu ikke blot en lovpligtig foranstaltning, men også en strategisk beslutning, der på sigt skaber værdi for virksomheden," tilføjer han.
Læs det fulde interview
Fysisk sikring af NIS2-omfattede virksomheder
For virksomheder under NIS2 er den fysiske sikkerhed en integreret del af deres samlede cybersikkerhedsstrategi, så både digitale og fysiske risici håndteres effektivt. Virksomheder, der er direkte omfattet af NIS2-direktivet, skal implementere robuste fysiske sikkerhedsforanstaltninger for at beskytte kritiske systemer og data mod uautoriseret adgang, sabotage og andre trusler.
Fysisk sikring af it-leverandører til NIS2-omfattede virksomheder
Er du leverandør til kritisk infrastruktur, der er omfattet af NIS2, kan du også være forpligtet til at sikre den fysiske beskyttelse af din it-infrastruktur – herunder serverrum, systemer og data. Afhængigt af din risikoprofil stilles der differentierede krav til sikkerhedsforanstaltninger, hvor virksomheder i risikoprofil 2 eller højere skal sikre, at deres fysiske sikring er proportionel med den risiko, de udgør for kundernes sikkerhed.
Dette kan omfatte:
- Adgangskontrol til serverrum
- Overvågnings- og alarmsystemer
- Sikrede netværksmiljøer, hvor kritiske systemer opbevares.
Hvordan kan Securitas hjælpe dig?
Hos Securitas hjælper vi dig med forstå de komplekse krav, som CER-direktivet stiller, og vi er klar til at hjælpe din virksomhed med at leve op til dem. Vores løsninger og services kan integreres og kombineres, så du får dækket hele dit samlede sikkerhedsbehov.
Vi tilbyder:
- Gratis og uforpligtende rådgivning og analyse: Vores eksperter udfører grundige risikoanalyser, der giver dig et klart billede af, hvor din virksomhed står.
- Tilpassede sikkerhedsløsninger: Vi udvikler og implementerer skræddersyede sikkerhedsløsninger, der adresserer netop din virksomheds behov, så du forbliver compliant.
-
Oftest stillede spørgsmål
-
CER trådte i kraft i EU tilbage i oktober 2024. I Danmark er man dog ikke på plads med rammeværket, og fristen for implementering blev derfor udskudt til juli 2025.
Nu er 16. juli 2025 den nye dato for den forventede implementering af CER i Danmark.
Først et år senere, altså i juli 2026, er deadline for udpegning af kritiske enheder. Senest 10 måneder efter udpegningen skal enhederne efterleve direktivet.
-
I sammenhæng med CER refererer "enheder" til virksomheder og organisationer, der opererer inden for de sektorer, der er omfattet af direktiverne, og som leverer tjenester, der er essentielle for samfundets funktion.
-
Ved at udføre risikoanalyser, implementere beredskabsplaner og fysiske sikkerhedsforanstaltninger samt sikre kontinuerlig træning af dine medarbejdere.
-
Mens direkte omfattede virksomheder er juridisk forpligtede til at efterleve CER-direktivet, afhænger kravene til indirekte omfattede virksomheder ofte af kontraktlige forhold og samarbejde med kritiske enheder.
Begge typer af virksomheder spiller dog en afgørende rolle i at sikre robustheden af samfundets vigtigste funktioner.
-
Virksomheder, der er direkte omfattet, er defineret som kritiske enheder inden for de sektorer og tjenester, som direktivet fokuserer på. Disse sektorer omfatter bl.a. energi, transport, sundhed, vandforsyning, digital infrastruktur og finansielle tjenester. For kritiske enheder gælder følgende:
- De skal leve op til specifikke krav om risikostyring og modstandsdygtighed. Er man direkte omfattet af CER skal virksomheder foretage løbende risikovurderinger for at afdække fysiske sikkerhedsrisici.
- Kritiske enheder er forpligtet til at foretage risikovurderinger og implementere tiltag, der sikrer kontinuitet i deres tjenester. Man kan derfor ikke udlede specifikke fysiske foranstaltninger ud fra en generel vurdering. Risikovurderingen er individuel og danner grundlag for yderligere tiltag, men der vil sandsynligvis være tale om:
- Strengere krav til adgangskontrol for at begrænse og dokumentere adgang til kritiske områder.
- Installation af kameraer og andre relevante sensorer for at sikre løbende overvågning.
- Udarbejdelse af sikkerhedsplaner, herunder bl.a. nødberedskabs- og genopretningsprocedurer.
- Regelmæssige sikkerhedsaudits samt udvikling af en stærk sikkerhedskultur i virksomhederne.
- Krav om leverandørstyring, således at leverandører og samarbejdspartnere til kritiske enheder også opfylder bestemte sikkerhedsstandarder for at beskytte værdikæden.
- Strengere krav til adgangskontrol for at begrænse og dokumentere adgang til kritiske områder.
- De bliver underlagt nationale tilsynsmyndigheders kontrol og sanktioner ved manglende efterlevelse.
- De skal leve op til specifikke krav om risikostyring og modstandsdygtighed. Er man direkte omfattet af CER skal virksomheder foretage løbende risikovurderinger for at afdække fysiske sikkerhedsrisici.
-
NIS2 er et EU-direktiv, der har til formål at sikre et højt fælles cybersikkerhedsniveau i hele Unionen. Det erstatter det tidligere NIS1-direktiv og udvider anvendelsesområdet til flere sektorer og virksomheder.
-
Mens NIS2-direktivet fokuserer på cybersikkerhed og beskyttelse af netværks- og informationssystemer, adresserer CER-direktivet både fysiske og digitale trusler mod kritiske enheder.
-
