CER-direktivet är EU:s nya ramverk för att skydda samhällsviktiga tjänster mot både fysiska och digitala störningar. Det berör aktörer inom bland annat energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning. I den här artikeln får du en tydlig överblick av vad direktivet innebär, vad som förväntas av organisationer och hur du praktiskt kan komma igång med efterlevnad utan att stoppa verksamheten.
Syftet är att höja den samlade fysiska och organisatoriska säkerheten så att kritiska tjänster fungerar även vid störningar som naturkatastrofer, sabotage, cyberangrepp med fysiska följder eller leverantörsstörningar. Direktivet kompletterar NIS2 som fokuserar på informations- och cybersäkerhet. Tillsammans skapar de ett heltäckande skydd: NIS2 stärker de digitala systemen, medan CER skärper kraven på robusthet i processer, lokaler, personal och leveranskedjor.
Vilka omfattas? Medlemsländerna pekar ut samhällsviktiga och viktiga enheter inom utpekade sektorer. I praktiken rör det ofta elnätsbolag, regioner, större kommuner, vattenproducenter, telekom- och datacenteraktörer samt transportnav. Mindre leverantörer kan indirekt påverkas genom avtal och due diligence, även om de inte är formellt utpekade. Det här brukar överraska: stödfunktioner som kundservice, fältservice och reservdelslogistik klassas ofta som kritiska eftersom de avgör återställningsförmågan.
Ett pragmatiskt angreppssätt börjar med en enkel gap-analys mot fem byggstenar: styrning, risk, skydd, beredskap och samverkan. 1) Styrning: tydlig ägare för resiliens, mätbara mål och rapportering till ledning. 2) Risk: uppdaterad hot- och sårbarhetsanalys som täcker fysiska, mänskliga och leverantörsrelaterade risker. 3) Skydd: proportionerliga skydd för anläggningar, åtkomst och driftmiljöer. 4) Beredskap: övade incident- och kontinuitetsplaner med definierade återställningsmål. 5) Samverkan: etablerade kontaktvägar till myndigheter, räddningstjänst och nyckelleverantörer.
Ett konkret exempel: ett regionalt vattenbolag prioriterade tre scenarier under tolv veckor. Först stärktes reservkraft och bränslelogistik på två nyckelanläggningar. Därefter införde man rollkort och sambandsplaner för driftledare och jour. Slutligen testades läckage- och föroreningsscenario i en halvdagssimulering med operativ personal, kommunikation och leverantör. Lärdom: det är ofta billigare att säkra stödprocesser som bränsle- och reservdelsflöden än att bygga kostsamma fysiska barriärer överallt.
Glöm inte leverantörerna. Inkludera kritiska underhållspartners och IT-drift i övningar, och skriv in mätbara krav på återställning och redundans i avtalen. Här passar cer direktivet naturligt in i riktlinjerna för hur du dokumenterar kravbild och uppföljning mot tredje part.
Överfokus på teknik: Många startar i inköp av kameror eller sensorer. Börja istället med risk och process. Teknik blir då en konsekvens av behoven, inte tvärtom. Otydligt ägarskap: Utse en resiliensansvarig med mandat och en tvärfunktionell arbetsgrupp. Brist på övning: Planer som inte tränas fungerar sällan. Kör korta, frekventa tabletop-övningar på 60–90 minuter och rotera scenarier. Dokumenthög utan användning: Håll styrdokumenten levande; koppla dem till verksamhetsplan, budget och internrevision.
Mäter du rätt saker? Fokusera på ledtider i återställning, tillgänglighet av kritiska roller, testad reservkraftstid och andel leverantörer med verifierad redundans. En enkel kvartalsrapport med 5 till 7 nyckeltal räcker för att styra förbättringar och visa efterlevnad för tillsynsmyndighet och styrelse.
Sammanfattningsvis hjälper CER-direktivet organisationer att säkra kontinuitet när det oväntade händer. Börja med en tydlig gap-analys, ge ägarskap till rätt personer och testa planerna i små steg. Vill du komma vidare, kartlägg dina tre mest kritiska tjänster, definiera deras återställningsmål och boka en första övning inom 30 dagar. Det är den snabbaste vägen till konkret riskreduktion och hållbar efterlevnad. Utforska nästa steg genom att samla ledning och drift i en gemensam genomgång och bedöm hur din verksamhet kan dra störst nytta av direktivet redan i år.