CER-direktivet – En guide för samhällsviktiga verksamheter

CER-direktivet (Critical Entities Resilience Directive) är en ny EU-lagstiftning som ska stärka samhällets krisberedskap. Den riktar sig till samhällskritiska verksamheter – både offentliga och privata – som levererar viktiga tjänster.

Här får du en överblick över vad direktivet innebär, varför det har kommit till och vad du som beslutsfattare behöver veta och göra.

Heikki Syrjäpalo
Play

Vad är CER-direktivet?

CER-direktivet är EU:s direktiv om motståndskraft hos kritiska entiteter, antaget i december 2022.

Syftet är att öka robustheten i Europas mest kritiska samhällsfunktioner så att de kan motstå, hantera och återhämta sig från allvarliga störningar.

Konkret ställer direktivet krav på att viktiga verksamheter – t.ex. inom vård, energi, transporter, kommunikation och livsmedelsförsörjning – ska fungera även vid kriser som strömavbrott, naturkatastrofer eller sabotage. I Sverige kommer direktivet att införas genom en ny lag (Lagen om motståndskraft hos kritiska verksamhetsutövare) som träder i kraft under 2026.

Varför har direktivet tillkommit?

Bakgrunden är ett ökande behov av robust samhällsberedskap. Tidigare EU-regler för kritisk infrastruktur var begränsade – bara energisektorn och transportsektorn omfattades – och hanteringen skiljde sig åt mellan länder.

Samtidigt har händelser som pandemier, extrema väder och sabotage belyst sårbarheter.

CER-direktivet kom till för att ta ett helhetsgrepp: fler sektorer inkluderas och ett “all-hazards”-perspektiv införs, där man tar hänsyn till alla typer av risker (både fysiska och digitala). Direktivet är också ett syskondirektiv till NIS2 (cybersäkerhetsdirektivet) men fokuserar specifikt på den fysiska motståndskraften hos viktiga verksamheter. Målet är att viktiga samhällstjänster ska fortsätta fungera och snabbt återhämta sig, oavsett om krisen beror på naturhändelser eller antagonisthot.

Vilka verksamheter omfattas?

Direktivet omfattar verksamheter inom elva kritiska sektorer. Det handlar om följande samhällsviktiga områden:

  • Hälso- och sjukvård

    Sjukhus, vårdcentraler, äldreboenden och privata vårdgivare – verksamheter där driftstörningar snabbt påverkar människors hälsa och trygghet.

  • Energi

    Elproduktion, elnät, fjärrvärme och andra energirelaterade verksamheter med höga krav på kontinuitet och tillgänglighet.

  • Transport

    Kollektivtrafik, hamnar, flygplatser, logistik och annan transportinfrastruktur som samhället är beroende av i vardagen.

  • Bank- och finans

    Banker, betalningslösningar och finansiell infrastruktur där tillgänglighet och förtroende är avgörande – även vid störning.

  • Digital infrastruktur

    Datacenter, kommunikationsnät, molntjänster och andra digitala funktioner som utgör grunden för dagens samhälle.

  • Vatten och avlopp

    Dricksvattenförsörjning, avloppsrening och VA-verksamheter där avbrott snabbt får stora konsekvenser.

  • Offentlig förvaltning

    Kommuner, regioner och myndigheter med ansvar för samhällsviktig service och samordning vid kris och störning.

  • Livsmedelsförsörjning

    Produktion, lager, distribution och handel med livsmedel – från grossister till dagligvaruhandel.

  • Andra verksamheter

    Andra aktörer med samhällsviktiga funktioner och särskilda krav på robusthet, kontinuitet och beredskap.

Alla ovanstående sektorer anses kritiska för samhällets funktion. Observera: Det är nationella myndigheter som formellt identifierar vilka specifika aktörer som omfattas av reglerna. Utsedda “kritiska verksamhetsutövare” är de organisationer (bolag, myndigheter m.fl.) som har central betydelse för samhället utifrån kriterier som geografisk täckning, antal användare och konsekvens vid bortfall.

En kommunal dricksvattenleverantör eller ett större sjukhus kan t.ex. pekas ut som kritiska, medan en mindre aktör i samma bransch eventuellt faller utanför.

Både offentliga och privata aktörer kan omfattas, om deras tjänster är samhällsbärande.

Vad innebär kraven i praktiken?

För verksamheter som träffas av CER-direktivet innebär det konkreta åtgärder inom organisation, riskhantering och beredskap. Sammanfattningsvis behöver en utsedd kritisk verksamhet göra följande:

Genomföra regelbundna riskbedömningar av alla relevanta hot – naturliga och mänskliga – som kan leda till avbrott. Man ska identifiera svagheter i allt från fysiska anläggningar till leverantörskedjor. Riskanalysen ska uppdateras åtminstone vart fjärde år eller vid behov för att fånga upp nya hot.

Vidta nödvändiga tekniska, fysiska och organisatoriska åtgärder för att stärka motståndskraften. Det kan handla om fysiskt säkerhetsskydd (tillträdeskontroller, staket, bevakning), redundans i kritiska system och försörjningslinjer, samt robust reservkraft. Verksamheten ska kunna upprätthålla sin funktion i minst 14 dagar även under ett långvarigt strömavbrott – det kräver tillgång till reservel, bränsle, kommunikationsmöjligheter och liknande backup-lösningar.

Införa rutiner för att upptäcka och rapportera allvarliga driftstörningar. Om en incident inträffar som väsentligt påverkar leveransen av den samhällsviktiga tjänsten ska verksamheten snarast informera tillsynsmyndigheten. Direktivet stipulerar att anmälan ska ske ”utan onödigt dröjsmål och senast inom 24 timmar” efter att man fått kännedom om incidenten. En uppföljande rapport med detaljer och åtgärder krävs ofta när situationen stabiliserats.

Ha beredskapsplaner för att upprätthålla drift under kriser och för att återställa verksamheten efteråt. Planerna (ofta kallade kontinuitetsplaner) ska tydligt beskriva hur man håller igång kritiska funktioner vid olika scenarier – t.ex. alternativ logistik om transporter bryts, prioritering av arbetsuppgifter vid personalbrist, manuella rutiner om IT ligger nere – samt hur normal drift ska återupptas. Övningar och tester bör göras för att säkerställa att planerna fungerar i praktiken.

Klargör ansvarsfördelning och utse nyckelpersoner för krishantering. En kontaktpunkt (samordningsansvarig) ska utses som länkar till myndigheterna. Verksamheten behöver även säkerställa personalens pålitlighet och kompetens – till exempel genom bakgrundskontroller för personer i känsliga befattningar (t.ex. säkerhetsansvariga) och utbildning i krisberedskap för all personal. Att investera i träning och övning av anställda är viktigt så att alla vet hur de ska agera om det värsta inträffar.

Sammanfattningsvis kräver CER-direktivet ett systematiskt arbete med säkerhet och beredskap. Det kompletterar och knyter ihop befintliga regelverk inom t.ex. säkerhetsskydd och cybersäkerhet, så att det finns en gemensam lägstanivå för samhällssäkerhet i hela EU. En chef för en kritisk verksamhet behöver alltså se över både den fysiska robustheten (backup-system, skydd av lokaler, redundans) och de mjuka delarna (planer, rutiner, ansvar, kompetens) för att uppfylla kraven.

Vad är nytt jämfört med tidigare reglering?

CER-direktivet innebär ett betydligt breddat och skärpt regelverk jämfört med tidigare. Den gamla EU-lagstiftningen för skydd av kritisk infrastruktur från 2008 omfattade endast två sektorer (energi och transport) och gav medlemsländerna stort spelrum, vilket ledde till ojämn tillämpning. Det nya direktivet ersätter detta och omfattar 11 sektorer med viktiga samhällstjänster.

Nytt är också att kraven är mer detaljerade och enhetliga – alla utpekade aktörer måste genomföra riskanalyser, ta fram beredskapsplaner och införa säkerhetsåtgärder enligt gemensamma standarder, vilket inte var uttryckligt tidigare.

En annan nyhet är den obligatoriska incidentrapporteringen inom 24h, vilket inte fanns i gamla regelverket för fysisk infrastruktur.

Dessutom införs tydligare tillsyn och sanktionsmöjligheter (inklusive kännbara sanktionsavgifter) om kraven inte följs.

Sammantaget kan man säga att CER-direktivet höjer ambitionsnivån – från att enbart identifiera kritiska infrastrukturer, till att säkerställa att dessa verkligen har en hög motståndskraft mot alla typer av hot.

Vad händer om man inte följer kraven?

Om en organisation brister i efterlevnaden av CER-direktivet kan den utsättas för tillsynsåtgärder och i värsta fall sanktioner.

Varje berörd sektor kommer att ha en ansvarig tillsynsmyndighet (t.ex. Inspektionen för vård och omsorg för hälsosektorn, Livsmedelsverket för dricksvatten etc.) som får befogenhet att granska hur verksamheten lever upp till kraven.

Tillsynsmyndigheten kan kräva förbättringar och genomföra inspektioner eller tester (t.ex. kontroll av backup-system).

Om allvarliga brister upptäcks – till exempel att man inte gjort föreskriven riskanalys eller saknar fungerande reservkraft – kan myndigheten besluta om sanktionsavgifter (administrativa böter). I Sverige föreslås dessa avgifter bli betydande för att ge avskräckande effekt. Verksamheten riskerar även skada sitt anseende om den inte lever upp till lagkraven, särskilt om bristerna leder till faktiska driftavbrott.

Kort sagt: regelefterlevnad är inget frivilligt – det förväntas och kommer att drivas på genom regelbunden rapportering och kontroll.

När träder reglerna i kraft?

16 januari 2023: EU-Direktivet träder i kraft

CER-direktivet trädde formellt i kraft på EU-nivå. Medlemsländerna fick fram till 17 oktober 2024 på sig att införa nödvändiga nationella regler.

Våren 2026: Den svenska lagen träder i kraft

Då föreslås den nya lagen om motståndskraft hos kritiska verksamhetsutövare börja gälla i Sverige. Från och med då kan ansvariga myndigheter börja utse vilka organisationer som ska omfattas.

Under 2026: Identifiering

När lagen är på plats kommer ett stort arbete ske för att peka ut kritiska verksamheter i de elva sektorerna. Varje utpekad aktör meddelas formellt.

Efter att man blivit identifierad har man en begränsad tidsfrist (cirka 9–10 månader) att uppfylla kraven.

Det innebär praktiskt att under 2026 behöver de flesta berörda genomföra sina sårbarhetsanalyser, ta fram planer och implementera åtgärder.

Senast 2027: Full efterlevnad

År 2027 är den tänkta slutpunkten för införandet. Då ska samtliga krav vara uppfyllda och varje kritisk verksamhet ska rapportera sin CER-status till tillsynsmyndigheterna.

Från detta år riskerar man också sanktioner om man inte lever upp till reglerna, vilket skapar ett tydligt incitament att bli klar i tid.

Observera att ovan tidsplan gäller den svenska implementeringen. Andra EU-länder kan ha liknande tidsscheman för nationella lagar. För dig som chef innebär det att 2026 blir ett intensivt år att rusta din organisation för att klara kraven.

Exempel: Så kan olika verksamheter påverkas

För att göra det mer konkret följer här några exempel på vad CER-direktivet kan innebära i praktiken för olika typer av samhällskritiska verksamheter:

Kommuner ansvarar ofta för dricksvatten, avlopp och lokal infrastruktur. En kommun med eget vattenverk måste enligt CER se till att vattenförsörjningen fungerar även vid långvarigt elavbrott – till exempel genom reservkraftaggregat som kan driva pumpar och reningsverk i minst två veckor.

Kommunen behöver också ha planer för hur man håller igång grundläggande tjänster som äldreomsorg, information till medborgare och räddningstjänst under kriser.

Offentlig förvaltning räknas som en kritisk sektor, så kommunledningen måste utse ansvariga för beredskapen och samverka med länsstyrelse/MSB ifall krisen eskalerar.

Sjukhus, vårdcentraler och omsorgsboenden är kritiska för befolkningens välbefinnande. En region eller en privat vårdgivare som driver sjukhus måste enligt direktivet ha kontinuitetsplaner för vården – hur säkerställer man livsuppehållande behandling om strömmen bryts eller IT-system ligger nere? Lösningar kan inkludera kraftfulla UPS:er och generatorer för el, extra lager av mediciner och förnödenheter, och tydliga protokoll för personalen vid krisläge.

Personalfrågan är central i vården: CER kräver att även om många anställda själva drabbas av krisen (t.ex. pandemier) ska det finnas beredskap att omlokalisera resurser eller kalla in extra personal. Att öva katastrofmedicinska scenarier blir en viktig del av arbetet.

Exempel: Ett större sjukhus behöver kunna drivas på reservkraft under ett långvarigt strömavbrott, och ha manuella rutiner för journalsystem om nätet ligger nere.

Transport och logistik är en annan kategori där avbrott snabbt påverkar hela samhället. Bolag som driver järnvägar, kollektivtrafik, hamnar eller flygplatser kommer att pekas ut som kritiska. De måste arbeta med både fysiskt skydd (t.ex. säkra att signalsystem, ställverk och trafikledningscentraler är skyddade mot intrång och sabotage) och redundans (alternativa kommunikationsvägar, reservfordon, extra personal i beredskap).

En stor hamn eller flygplats behöver planer för att hantera köer och omläggningar om delar av infrastrukturen slås ut. Incidentrapportering är också viktig här – t.ex. om en cyberattack eller brand påverkar tågtrafiken ska det rapporteras inom 24 timmar enligt CER.

Exempel: Ett regionalt kollektivtrafikbolag kan behöva samordna med elnätsbolag för att säkra strömförsörjningen till spårtrafik och ha nödlösningar för kommunikation med resenärer vid systembortfall.

Energisektorn (el, gas, fjärrvärme) och vattentjänster är själva ryggraden i andra samhällsfunktioner. Företag i dessa sektorer förväntas enligt CER ha mycket hög robusthet. Det innebär bl.a. att elbolag ska kunna driva delar av elnätet i ö-drift vid nationella elavbrott, ha skydd mot fysiska attacker på ställverk samt redundanta kontrollsystem.

Vattenbolag måste säkra att rent vatten fortsatt distribueras även om ordinarie el eller IT går ner – t.ex. genom mobila generatorer och manuella bypass-lösningar.

Exempel: Ett elnätsföretag kan behöva investera i blackstart-kapacitet (förmåga att starta upp elnätet utan extern kraftkälla) och se till att viktiga transformatorstationer har både fysiskt skalskydd och kameraövervakning. Ett kommunalt VA-bolag kan utöver reservkraft skaffa nödlager av kemikalier för vattenrening och ta fram rutiner för vattendistribution om det ordinarie systemet skadas.

Dessa exempel illustrerar att kraven varierar något mellan sektorer, men grundprincipen är densamma: varje kritisk aktör måste ha en plan B, C och D för att kunna leverera sin samhällsviktiga tjänst under svåra förhållanden.

Om el, vatten, vård, transporter, livsmedel etc. stannar av, så drabbas hela samhället – därför är det avgörande att bygga in motståndskraft. Det innebär investeringar i rätt utrustning, tydliga rutiner och övning av personalen.

Börja i god tid!

Att uppfylla CER-direktivets krav är inget man gör över en natt. Erfarenheter från liknande regelverk visar att det tar tid att bygga upp ny kapacitet, genomföra analyser, utbilda personal och eventuellt anskaffa utrustning.

Vänta inte på att bli formellt utpekad som kritisk aktör, utan starta arbetet i förväg.

Börja med att kartlägga er nuvarande beredskap och identifiera gap gentemot de nya kraven. Ta fram en handlingsplan och säkra budget och resurser för de kommande årens arbete. EU-direktivet må ge ett visst tidsfönster, men experter rekommenderar att organisationer i riskzonen ”börjar förbereda sig snart”.

Genom att komma igång i tid minskar ni stressen mot deadline och – viktigast av allt – ni höjer er organisations motståndskraft redan nu. På så vis står ni trygga och redo när nästa kris väl inträffar.

Uppmaning till dig som chef: Ta ägarskap över CER-förberedelserna

Skapa en arbetsgrupp, involvera rätt avdelningar (säkerhet, IT, drift, HR m.fl.) och börja stegvis införa förbättringar. Ju tidigare ni agerar, desto bättre rustade kommer ni vara att klara framtida prövningar och uppfylla lagen.

Att bygga motståndskraft är en investering i trygghet – för er verksamhet och för samhället i stort.