CER-direktivet

CER-direktivet (Critical Entities Resilience, direktiv 2022/2557) stiller krav til fysisk og organisatorisk robusthed hos udbydere af kritiske tjenesteydelser i EU. Direktivet supplerer NIS2 ved at fokusere på den fysiske dimension af sikkerhed frem for cybersikkerhed.

Tilbage til ordbog

Hvad er CER-direktivet?

CER-direktivet (direktiv 2022/2557) er et EU-direktiv, der etablerer en ramme for at sikre modstandsdygtigheden hos kritiske enheder. Mens NIS2 fokuserer på cybersikkerhed, adresserer CER de fysiske og organisatoriske aspekter af resiliens — såsom naturkatastrofer, terrorisme, insidertrusler og sabotage.

Direktivet kræver, at medlemsstaterne identificerer kritiske enheder inden for centrale sektorer og sikrer, at disse enheder træffer passende foranstaltninger til at beskytte deres evne til at levere væsentlige tjenesteydelser. CER fungerer sammen med NIS2 og skaber en omfattende sikkerhedsramme, der dækker både det digitale og fysiske domæne.

Hvem er omfattet af CER?

CER gælder for enheder, der er udpeget som kritiske af den relevante nationale myndighed. Udpegningen baseres på enhedens betydning for opretholdelsen af vitale samfundsfunktioner eller økonomiske aktiviteter inden for en af de 11 CER-sektorer. Medlemsstaterne skal gennemføre en risikovurdering hvert fjerde år og identificere kritiske enheder baseret på resultaterne.

Hvad kræver CER?

Kritiske enheder udpeget under CER skal opfylde flere forpligtelser:

Risikovurdering: Enheder skal gennemføre deres egen risikovurdering af alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenesteydelser.
Robusthedsforanstaltninger: Baseret på risikovurderingen skal enheder implementere forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre resiliens.
Baggrundstjek: Enheder skal sikre, at personale med følsomme funktioner gennemgår passende baggrundstjek.
Notifikationspligt: Hændelser, der i væsentlig grad forstyrrer eller har potentiale til at forstyrre leveringen af væsentlige tjenesteydelser, skal rapporteres til den kompetente myndighed.
Resiliensberedskab: Enheder skal have planer og procedurer på plads for at sikre kontinuitet og hurtig genopretning af væsentlige tjenesteydelser.

Fysisk plus digital: CER og NIS2 er designet til at supplere hinanden. En enhed, der er udpeget som kritisk under CER, og som også falder inden for NIS2's anvendelsesområde, skal overholde begge sæt krav — fysisk resiliens under CER og cybersikkerhed under NIS2.

CER vs NIS2

CER og NIS2 deler det samme mål — at beskytte væsentlige tjenesteydelser — men adresserer forskellige trusselsdomæner. NIS2 fokuserer på net- og informationssikkerhed (cybersikkerhed), mens CER dækker fysisk sikkerhed og organisatorisk resiliens. Mange organisationer vil falde ind under begge direktiver og skal opretholde en holistisk tilgang til risikostyring, der dækker både fysiske og digitale trusler.

Ofte stillede spørgsmål om cer-direktivet

Hvad er CER-direktivet?

CER-direktivet (direktiv 2022/2557) er et EU-direktiv, der stiller krav til fysisk og organisatorisk modstandsdygtighed hos kritiske enheder — organisationer der leverer væsentlige tjenesteydelser inden for centrale sektorer som energi, transport og sundhed.

Hvad er forskellen på CER og NIS2?

NIS2 fokuserer på cybersikkerhed og netsikkerhed, mens CER adresserer fysisk og organisatorisk resiliens. De er komplementære: NIS2 beskytter mod digitale trusler, CER beskytter mod fysiske trusler som naturkatastrofer, sabotage og terrorisme.

Hvem afgør, hvilke enheder der er kritiske under CER?

Hver EU-medlemsstat skal identificere kritiske enheder inden for de 11 CER-sektorer. Det sker via nationale kompetente myndigheder baseret på en national risikovurdering, der skal gennemføres hvert fjerde år.

Hvad skal kritiske enheder gøre under CER?

Kritiske enheder skal gennemføre risikovurderinger, implementere robusthedsforanstaltninger, sikre baggrundstjek for følsomt personale, rapportere væsentlige hændelser og vedligeholde resiliensplaner for kontinuitet og genopretning.

Omfatter CER cybersikkerhed?

Nej. CER adresserer specifikt fysisk og organisatorisk resiliens. Cybersikkerhedskrav er dækket af NIS2. Dog vil enheder, der er omfattet af CER, ofte også være omfattet af NIS2 og skal overholde begge regelsæt.