Risikovurdering (CER)

CER-direktivet kræver, at kritiske enheder gennemfører en obligatorisk risikovurdering. Analysen skal identificere de relevante risici -- naturlige, menneskeskabte og hybride -- der kan påvirke evnen til at levere væsentlige tjenester, og danner grundlag for valg af robusthedsforanstaltninger.

Tilbage til ordbog

Hvad er risikovurderingen under CER?

Under CER-direktivet artikel 12 er udpegede kritiske enheder forpligtet til at gennemføre en risikovurdering inden for bestemte frister efter udpegningen. Risikovurderingen er udgangspunktet for alle efterfølgende beslutninger om robusthedsforanstaltninger.

Vurderingen adskiller sig fra en NIS2-risikovurdering ved at have et bredere perspektiv: den dækker ikke blot cybersikkerhedsrisici, men alle relevante trusler mod den kritiske enheds evne til at levere sine tjenester -- uanset om truslerne er digitale, fysiske, menneskeskabte eller naturlige.

Trusselskategorier

CER-risikovurderingen skal tage højde for et bredt spektrum af trusler og risici:

Naturhændelser: Oversvømmelser, storme, jordskælv, ekstreme vejrforhold som følge af klimaforandringer.
Menneskeskabte hændelser: Terrorangreb, sabotage, kriminalitet, insidertrusler.
Hybride trusler: Angreb der kombinerer digitale og fysiske elementer.
Afhængigheder: Risici som opstår pga. afhængigheder af andre kritiske infrastrukturer, leverandører og tjenester.
Tekniske fejl: Udstyrsfejl, systemnedbrud og andre tekniske forstyrrelser.

Fra vurdering til handling

Risikovurderingen er ikke et mål i sig selv -- den danner grundlag for:

Udarbejdelse af en robusthedsplan med konkrete foranstaltninger.
Prioritering af robusthedsinvesteringer baseret på de identificerede risici.
Planlægning af notifikationsprocedurer ved hændelser.
Samarbejde med myndighederne om sektorbrede risikoscenarier.

Hensyntagen til klimaforandringer: CER-direktivet fremhæver eksplicit, at risikovurderingen skal tage hensyn til konsekvenserne af klimaforandringer for infrastrukturens robusthed. Det er en ny dimension, der adskiller CER fra ældre kritisk infrastrukturdirektiver.

Ofte stillede spørgsmål om risikovurdering (cer)

Hvad er en risikovurdering under CER-direktivet?

En CER-risikovurdering er en obligatorisk analyse, som udpegede kritiske enheder skal gennemføre for at identificere alle relevante risici -- naturlige, menneskeskabte og hybride -- der kan påvirke deres evne til at levere væsentlige tjenester. Den danner grundlag for valg af robusthedsforanstaltninger.

Skal risikovurderingen under CER opdateres løbende?

Ja. CER-direktivet kræver, at risikovurderingen opdateres, når det er relevant -- fx efter en hændelse, ved væsentlige ændringer i trusselsbilledet eller i organisationens struktur og aktiviteter. Myndighederne kan også kræve opdaterede vurderinger.

Hvordan adskiller en CER-risikovurdering sig fra en NIS2-risikovurdering?

En CER-risikovurdering har et bredere perspektiv: den dækker alle relevante trusler, herunder naturhændelser, fysiske angreb og hybride trusler, ikke kun cybersikkerhedsrisici. NIS2-risikovurderinger fokuserer specifikt på risici for net- og informationssystemer.

Skal klimaforandringer indgå i CER-risikovurderingen?

Ja. CER-direktivet kræver eksplicit, at risikovurderingen tager hensyn til konsekvenserne af klimaforandringer for infrastrukturens robusthed, herunder øget hyppighed og alvorlighed af ekstreme vejrhændelser.

Hvad sker der efter risikovurderingen er gennemført?

Risikovurderingen danner grundlag for en robusthedsplan med konkrete foranstaltninger, prioritering af investeringer, notifikationsprocedurer ved hændelser og samarbejde med myndighederne om sektorbrede risikoscenarier.