Sådan bliver i klar til CER loven?
Nye krav til risikovurdering, robusthed og beredskab for kritiske funktioner.
CER skal være - implementeret om: -- dage - --:--:--CER‑loven og CER‑direktivet
Fundamentet for robuste samfundskritiske funktioner
CER‑loven er den danske implementering af EU’s CER‑direktiv (Critical Entities Resilience). Formålet er at sikre, at organisationer som leverer samfundskritiske tjenester kan forebygge, modstå, håndtere og genoprette driften efter alvorlige hændelser.
For virksomheder og offentlige organisationer betyder det, at arbejdet med robusthed ikke længere kun er et spørgsmål om god praksis. CER stiller konkrete krav til risikovurdering, modstandsdygtighed, hændelseshåndtering og beredskabsplanlægning.
I praksis bliver CER derfor ofte det regulatoriske fundament under arbejdet med blandt andet:
- risikovurdering
- modstandsdygtighedsforanstaltninger
- beredskabsplaner
- krisestyring
- kontinuitet i kritiske tjenester
Denne side giver et samlet overblik over CER‑direktivet, den danske CER‑lov og hvordan organisationer omsætter kravene til praktisk styring.
Overblik over CER‑direktivet
CER regulerer organisationer der leverer væsentlige tjenester for samfundet.
Direktivet har til formål at sikre, at kritiske funktioner kan fortsætte – også under alvorlige hændelser som naturkatastrofer, tekniske sammenbrud, sabotage eller andre driftsforstyrrelser.
På siden gennemgår vi blandt andet:
Spørgsmål om CER?
Er du i tvivl om, hvorvidt jeres organisation kan blive omfattet af CER‑loven, eller hvordan kravene omsættes til praksis?
Bluecircle rådgiver organisationer om risikovurdering, robusthed og beredskabsplanlægning i kritiske miljøer.
Kontakt os for en uforpligtende dialog
Hvad er CER
CER står for Critical Entities Resilience og er EU’s ramme for modstandsdygtighed i kritiske enheder.
Direktivet blev vedtaget for at styrke beskyttelsen af samfundskritiske tjenester på tværs af EU. Det sker ved at stille krav til, hvordan organisationer identificerer risici, beskytter kritiske funktioner og sikrer kontinuitet i deres drift.
CER handler derfor ikke kun om sikkerhed eller compliance. Direktivet handler om robust drift.
Organisationer der udpeges som kritiske enheder skal blandt andet kunne dokumentere:
- systematisk risikovurdering
- modstandsdygtighedsforanstaltninger
- beredskabsplaner
- hændelsesrapportering
Målet er at sikre, at samfundets vigtigste funktioner kan opretholdes – også under ekstraordinære hændelser.
Hvad er CER‑loven?
CER‑loven er den danske implementering af EU’s CER‑direktiv.
Loven fastlægger blandt andet:
- hvordan kritiske enheder identificeres
- hvilke krav organisationer skal leve op til
- hvordan myndigheder fører tilsyn
- hvordan hændelser skal rapporteres
Den danske implementering betyder, at organisationer i en række sektorer kan blive udpeget som kritiske enheder og dermed skal leve op til CER‑kravene.
For mange organisationer vil CER derfor blive en central ramme for arbejdet med:
Hvornår træder CER‑loven i kraft?
Nedenfor ses de vigtigste milepæle i implementeringen af CER‑direktivet i Danmark samt de frister, der gælder for organisationer, der udpeges som kritiske enheder.
14. december 2022
CER‑direktivet vedtages i EU
29. april 2025
CER‑loven vedtages i Danmark
1. jul 2025
CER‑loven træder i kraft
Januar 2026
Kompetente myndigheder udpeges
17. januar 2026
National CER‑strategi vedtages
Hvad betyder det for den enkelte virksomhed?
17. juli 2026 —
Kritiske enheder identificeres
17. August 2026
Senest 1 måned efter — Organisationer underrettes
Virksomheden udpeges formelt som kritisk enhed
17. Maj 2027
9 måneder efter — Risikovurdering skal være gennemført
17. Juni 2027
10 måneder efter underretning
CER‑krav skal være implementeret
Hvad er forskellen på CER, CER‑direktivet og CER‑loven?
Begreberne CER, CER‑direktivet og CER‑loven henviser til forskellige niveauer af den samme regulering.
CER
Den generelle betegnelse for EU’s ramme for modstandsdygtighed i kritiske enheder (Critical Entities Resilience).
CER‑direktivet
EU‑direktiv 2022/2557, som fastlægger de overordnede krav til beskyttelse og robusthed i kritiske sektorer på tværs af medlemsstater.
CER‑loven
Den danske implementering af CER‑direktivet. Loven fastlægger, hvordan direktivet anvendes i Danmark, herunder udpegning af kritiske enheder og de krav organisationer skal leve op til.
Kort sagt:
Hvem er omfattet af CER?
CER‑direktivet omfatter en række sektorer, hvor driftsforstyrrelser kan få væsentlige konsekvenser for samfundets funktion.
Transport
Luftfart, jernbane, vejtransport og havneinfrastruktur.
Energi
Elproduktion, transmission, distribution og energiinfrastruktur.
Finans
Banker og kreditinstitutter med centrale finansielle funktioner.
Finansielle markeder
Betalingssystemer og markedspladser og transaktioner.
Sundhed
Hospitaler, sundhedsydelser og producenter af medicinsk udstyr.
Drikkevand
Produktion, behandling og distribution af drikkevand.
Spildevand
Indsamling, behandling og bortledning af spildevand.
Digital infrastruktur
Datacentre, cloud‑tjenester og netværksinfrastruktur.
Det offentlige
Myndigheder med samfundskritiske funktioner.
Fødevaresektoren
Produktion, forarbejdning og distribution af fødevarer.
Rumsektoren
Infrastruktur og tjenester relateret til satellitkommunikation.
Transport
Luftfart, jernbane, vejtransport og havneinfrastruktur.
Energi
Elproduktion, transmission, distribution og energiinfrastruktur.
Finans
Banker og kreditinstitutter med centrale finansielle funktioner.
Finansielle markeder
Betalingssystemer og markedspladser og transaktioner.
Sundhed
Hospitaler, sundhedsydelser og producenter af medicinsk udstyr.
Drikkevand
Produktion, behandling og distribution af drikkevand.
Spildevand
Indsamling, behandling og bortledning af spildevand.
Digital infrastruktur
Datacentre, cloud‑tjenester og netværksinfrastruktur.
Det offentlige
Myndigheder med samfundskritiske funktioner.
Fødevaresektoren
Produktion, forarbejdning og distribution af fødevarer.
Rumsektoren
Infrastruktur og tjenester relateret til satellitkommunikation.
Hvilke krav stiller CER til organisationer?
Organisationer der udpeges som kritiske enheder, skal leve op til en række krav i CER‑loven. Kravene har til formål at sikre, at samfundskritiske tjenester kan opretholdes – også under alvorlige hændelser.
I praksis indebærer CER‑loven, at organisationen skal arbejde systematisk med følgende områder:
Disse krav danner rammen for arbejdet med robust drift og kontinuitet i kritiske funktioner.
Kompetente myndigheder
Implementeringen og tilsynet med CER‑loven varetages af kompetente myndigheder i de enkelte sektorer.
Disse myndigheder har ansvar for at identificere kritiske enheder, føre tilsyn med kravene og koordinere arbejdet med modstandsdygtighed i deres respektive områder.
Herunder de aktuelle kompetente myndigheder i Danmark:
Risikovurdering
CER‑loven kræver, at kritiske enheder gennemfører en systematisk risikovurdering. Formålet er at identificere de hændelser, der kan påvirke leveringen af en samfundskritisk tjeneste.
Hvilke funktioner er afgørende for organisationens drift.
Naturhændelser, tekniske fejl, forsyningssvigt eller bevidste handlinger.
Hvor er organisationen mest udsat.
Hvad sker der hvis en kritisk funktion svigter.
Resultatet af risikovurderingen danner grundlag for arbejdet med modstandsdygtighed, beredskab og kontinuitet i kritiske tjenester.
Modstandsdygtighed
Under CER‑loven skal kritiske enheder sikre, at kritiske funktioner kan opretholdes – også under alvorlige driftsforstyrrelser.
For organisationer med teknisk infrastruktur handler modstandsdygtighed i praksis om at sikre stabil drift af de systemer, som leverer den kritiske tjeneste.
Det kan blandt andet omfatte:
Sikring af stabil strømforsyning, nødstrøm og redundante energisystemer.
Redundante systemer og komponenter, der reducerer risikoen for driftsstop.
Sikring af adgang, overvågning og beskyttelse af kritiske installationer.
Planer og procedurer for at opretholde driften under fejl, nedbrud eller hændelser.
Systemer der identificerer fejl og afvigelser før de udvikler sig til driftsforstyrrelser.
Sikring af stabil strømforsyning, nødstrøm og redundante energisystemer.
Redundante systemer og komponenter, der reducerer risikoen for driftsstop.
Sikring af adgang, overvågning og beskyttelse af kritiske installationer.
Planer og procedurer for at opretholde driften under fejl, nedbrud eller hændelser.
Systemer der identificerer fejl og afvigelser før de udvikler sig til driftsforstyrrelser.
Sikring af stabil strømforsyning, nødstrøm og redundante energisystemer.
Redundante systemer og komponenter, der reducerer risikoen for driftsstop.
Sikring af adgang, overvågning og beskyttelse af kritiske installationer.
Planer og procedurer for at opretholde driften under fejl, nedbrud eller hændelser.
Systemer der identificerer fejl og afvigelser før de udvikler sig til driftsforstyrrelser.
Modstandsdygtighed i kritiske funktioner afhænger i høj grad af stabile tekniske forsyninger og driftsmiljøer.
For mange organisationer omfatter dette blandt andet sikring af strømforsyning, redundante energisystemer og løbende vedligeholdelse af kritisk infrastruktur.
Læs mere om:
👉 UPS‑anlæg →Sikring af stabil strømforsyning i kritiske miljøer.
👉 Service og vedligehold →Forebyggende service af kritiske installationer.
Hændelsesrapportering
CER‑loven kræver, at alvorlige hændelser, der påvirker leveringen af en kritisk tjeneste, rapporteres til den relevante kompetente myndighed.
For organisationer med teknisk infrastruktur handler det i praksis om hurtigt at kunne identificere, håndtere og eskaleredriftsforstyrrelser, der kan påvirke kritiske funktioner.
Derfor skal organisationer etablere klare procedurer for hændelseshåndtering i praksis:
Identifikation af hændelser
Overvågning og registrering af fejl, afvigelser og driftsforstyrrelser.
Intern eskalation
Klare ansvarsroller og beslutningsveje ved alvorlige hændelser.
Varsling af myndigheder
Rapportering til den relevante sektormyndighed ved hændelser med betydelig påvirkning.
Kommunikation
Koordinering mellem drift, ledelse og eksterne parter.
Dokumentation
Registrering af hændelsesforløb og tekniske observationer.
Efteranalyse og læring
Evaluering af hændelsen og implementering af forbedringer.
Resultatet indgår som en del af organisationens beredskabsplan og hændelseshåndtering.
👉 Læs mere om beredskabsplan.CER vs NIS2
CER og NIS2 er to centrale EU‑direktiver, der stiller krav til organisationer, som leverer samfundskritiske tjenester. De adskiller sig primært ved deres fokusområder, som kort og overordnet skitseres nedenfor.
| Område | CER |
|---|---|
| Fokus | Fysiske og operationelle risici |
| Formål | Sikre kontinuitet i samfundskritiske tjenester |
| Hændelser | Naturhændelser, driftsforstyrrelser, sabotage |
| Krav | Risikovurdering, modstandsdygtighed, beredskab |
| Regulering | Kritiske enheder i samfundskritiske sektorer |
| NIS2 |
|---|
| Cyber- og informationssikkerhed |
| Beskyttelse netværk og informationssystemer |
| Cyberangreb, systemnedbrud, databrud |
| IT-sikkerhed, cyberberedskab, hændelsesrapportering |
| Væsentlige og vigtige digitale enheder |
| Område | CER | NIS2 |
|---|---|---|
| Fokus | Fysiske og operationelle risici | Cyber- og informationssikkerhed |
| Formål | Sikre kontinuitet i samfundskritiske tjenester | Beskyttelse netværk og informationssystemer |
| Hændelser | Naturhændelser, driftsforstyrrelser, sabotage | Cyberangreb, systemnedbrud, databrud |
| Krav | Risikovurdering, modstandsdygtighed, beredskab | IT-sikkerhed, cyberberedskab, hændelsesrapportering |
| Regulering | Kritiske enheder i samfundskritiske sektorer | Væsentlige og vigtige digitale enheder |
For mange organisationer vil arbejdet med CER og NIS2 være tæt forbundet, da både fysisk infrastruktur og digitale systemer er afgørende for leveringen af kritiske tjenester.
Implementering
Bluecircle bistår organisationer med den praktiske implementering af CER i kritiske driftsmiljøer.
Arbejdet kan blandt andet omfatte:
Identifikation af kritiske funktioner
Fastlæggelse af hvilke tjenester, processer og systemer der er afgørende for organisationens drift.
Kortlægning af afhængigheder
Analyse af afhængigheder til fx strømforsyning, IT‑systemer, leverandører, lokationer og personale.
Risikovurdering
Vurdering af trusler, sårbarheder og konsekvenser for de identificerede kritiske funktioner.
Modstandsdygtigheds- foranstaltninger
Tekniske og organisatoriske tiltag der reducerer risikoen for driftsforstyrrelser i kritiske funktioner.
Beredskabs- og kontinuitetsplanlægning
Etablering af procedurer for håndtering af hændelser og genetablering af kritiske tjenester.
Test og verifikation
Gennemgang og test af beredskab, redundans og kritiske installationer.
Identifikation af kritiske funktioner
Fastlæggelse af hvilke tjenester, processer og systemer der er afgørende for organisationens drift.
Kortlægning af afhængigheder
Analyse af afhængigheder til fx strømforsyning, IT‑systemer, leverandører, lokationer og personale.
Risikovurdering
Vurdering af trusler, sårbarheder og konsekvenser for de identificerede kritiske funktioner.
Modstandsdygtigheds- foranstaltninger
Tekniske og organisatoriske tiltag der reducerer risikoen for driftsforstyrrelser i kritiske funktioner.
Beredskabs- og kontinuitetsplanlægning
Etablering af procedurer for håndtering af hændelser og genetablering af kritiske tjenester.
Test og verifikation
Gennemgang og test af beredskab, redundans og kritiske installationer.
Har I spørgsmål til, hvordan vi kan hjælpe?
CER i tekniske miljøer
CER stiller krav til, at organisationer kan opretholde drift af kritiske tjenester – også under fejl, hændelser eller større forstyrrelser. I mange tilfælde afhænger dette direkte af stabil drift i de tekniske miljøer, hvor tjenesterne produceres og understøttes.
Datacentre, serverrum, produktionsanlæg og andre tekniske installationer udgør derfor ofte en central del af organisationens modstandsdygtighed.
I praksis betyder det, at følgende områder typisk bliver afgørende:
Strømforsyning - Sikker og redundant energiforsyning gennem UPS‑anlæg, generatorer og korrekt dimensionerede fordelingssystemer.
Overvågning og alarmer - Kontinuerlig overvågning af installationer og forsyninger, så fejl opdages tidligt.
Køling og miljøkontrol - Stabil temperaturstyring, redundante kølesystemer og overvågning af miljøforhold.
Service og vedligehold - Planlagt service, test og dokumentation af kritiske installationer.
Netværk og kommunikation - Robuste netværksforbindelser og redundante kommunikationsveje til kritiske systemer.
Typiske fejl i implementering af CER
CER-direktivet stiller en række konkrete krav til organisationer, der udpeges som kritiske enheder. I praksis ser man ofte, at implementeringen fejler i forhold til nogle af de centrale områder i direktivet.
Art 12. Utilstrækkelig risikovurdering - Risikovurderingen gennemføres for overordnet og uden tilstrækkelig analyse af tekniske installationer, forsyninger og driftsafhængigheder.
Art 13. Mangelfuld modstandsdygtighed - Tekniske systemer som strømforsyning, redundans, køling eller overvågning er ikke dimensioneret til at opretholde drift under fejl eller hændelser.
Art 14. Uklar hændelsesrapportering - Organisationen mangler klare procedurer for identifikation, eskalation og rapportering af alvorlige hændelser.
Art 15. Mangelfuld koordinering med myndigheder - Roller, ansvar og kommunikationslinjer til den kompetente myndighed er ikke tilstrækkeligt defineret.
CER og beredskabsplan
For organisationer der udpeges som kritiske enheder, bliver beredskabsplanen et centralt værktøj til at omsætte CER-kravene til praktisk drift.
Mens CER fastlægger krav til risikovurdering, modstandsdygtighed og hændelseshåndtering, beskriver beredskabsplanen hvordan organisationen konkret håndterer alvorlige hændelser i praksis.
Det omfatter blandt andet:
Ansvar og beslutningsstruktur under hændelser
Håndtering af driftsforstyrrelser
Eskalation og kommunikation
Genetablering af kritiske funktioner
For mange organisationer fungerer beredskabsplanen derfor som det operationelle fundament, hvor CER-kravene samles i en samlet struktur.
👉 Læs mere om beredskabsplan.Centrale begreber i CER
CER
Forkortelse for Critical Entities Resilience. EU-ramme for beskyttelse af samfundskritiske tjenester og infrastruktur.
CER-direktivet
Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 om kritiske enheders modstandsdygtighed. Direktivet fastsætter krav til risikovurdering, modstandsdygtighed og hændelsesrapportering.
Læs mere om CER-direktivet....
CER-loven
Den danske implementering af CER-direktivet, som fastlægger krav til organisationer, der udpeges som kritiske enheder i Danmark.
Find CER-loven her.
Kritisk enhed
En organisation, der leverer en væsentlig tjeneste, og hvis drift er afgørende for samfundets funktioner.
Væsentlig tjeneste
En tjeneste, som er afgørende for opretholdelsen af samfundets vitale funktioner, økonomi, sikkerhed eller sundhed.
Kritisk infrastruktur
Aktiver, faciliteter, systemer eller netværk, der er nødvendige for leveringen af en væsentlig tjeneste.
Modstandsdygtighed
En organisations evne til at forebygge, modstå, håndtere og genoprette efter hændelser, der påvirker kritiske tjenester.
Hændelse
En begivenhed der forstyrrer - eller kan forstyrre - leveringen af en væsentlig tjeneste.
Risiko
Kombinationen af sandsynligheden for en hændelse og dens potentielle konsekvenser for kritiske tjenester.
Risikovurdering
En systematisk proces til at identificere trusler, sårbarheder og konsekvenser for organisationens kritiske funktioner.
Læs mere om risikovurdering.
Kompetent myndighed
Den myndighed, der er ansvarlig for at identificere kritiske enheder, føre tilsyn og håndhæve CER-reglerne inden for en sektor.
Gå til afsnittet om kompetente myndigheder.
NIS2
EU-direktiv (EU) 2022/2555 om cybersikkerhed i netværks- og informationssystemer. NIS2 og CER supplerer hinanden.
Begreb | Forklaring |
|---|---|
CER | Forkortelse for Critical Entities Resilience. EU-ramme for beskyttelse af samfundskritiske tjenester og infrastruktur. |
CER-direktivet | Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 om kritiske enheders modstandsdygtighed. Direktivet fastsætter krav til risikovurdering, modstandsdygtighed og hændelsesrapportering. |
CER-loven | Den danske implementering af CER-direktivet, som fastlægger krav til organisationer, der udpeges som kritiske enheder i Danmark. |
Kritisk enhed | En organisation, der leverer en væsentlig tjeneste, og hvis drift er afgørende for samfundets funktioner. |
Væsentlig tjeneste | En tjeneste, som er afgørende for opretholdelsen af samfundets vitale funktioner, økonomi, sikkerhed eller sundhed. |
Kritisk infrastruktur | Aktiver, faciliteter, systemer eller netværk, der er nødvendige for leveringen af en væsentlig tjeneste. |
Modstandsdygtighed | En organisations evne til at forebygge, modstå, håndtere og genoprette efter hændelser, der påvirker kritiske tjenester. |
Hændelse | En begivenhed der forstyrrer - eller kan forstyrre - leveringen af en væsentlig tjeneste. |
Risiko | Kombinationen af sandsynligheden for en hændelse og dens potentielle konsekvenser for kritiske tjenester. |
Risikovurdering | En systematisk proces til at identificere trusler, sårbarheder og konsekvenser for organisationens kritiske funktioner. |
Kompetent myndighed | Den myndighed, der er ansvarlig for at identificere kritiske enheder, føre tilsyn og håndhæve CER-reglerne inden for en sektor. |
NIS2 | EU-direktiv (EU) 2022/2555 om cybersikkerhed i netværks- og informationssystemer. NIS2 og CER supplerer hinanden. |
Få vurderet om jeres organisation kan blive omfattet af CER
Få sparring på risikovurdering og beredskabsplan
Få vurderet om jeres organisation kan blive omfattet af CER
Få sparring på risikovurdering og beredskabsplan
Få vurderet om jeres organisation kan blive omfattet af CER
Få sparring på risikovurdering og beredskabsplan
Få vurderet om jeres organisation kan blive omfattet af CER
Få sparring på risikovurdering og beredskabsplan
Få vurderet om jeres organisation kan blive omfattet af CER
Få sparring på risikovurdering og beredskabsplan
Få vurderet om jeres organisation kan blive omfattet af CER
Få sparring på risikovurdering og beredskabsplan
FAQ – Spørgsmål og svar om CER‑loven
CER står for Critical Entities Resilience og er et EU‑direktiv, der har til formål at styrke modstandsdygtigheden i samfundets kritiske tjenester og infrastruktur.
Den danske CER‑lov trådte i kraft 1. juli 2025 som implementering af EU‑direktiv (EU) 2022/2557.
CER omfatter organisationer, der leverer væsentlige tjenester inden for blandt andet energi, transport, finans, sundhed, vandforsyning, digital infrastruktur og offentlig administration.
En kritisk enhed er en organisation, der leverer en væsentlig tjeneste, og hvis drift er afgørende for samfundets funktioner.
CER kræver blandt andet, at organisationer gennemfører risikovurderinger, etablerer modstandsdygtighedsforanstaltninger og rapporterer alvorlige hændelser til de relevante myndigheder.
CER fokuserer på beskyttelse af kritisk infrastruktur og samfundsvigtige tjenester, mens NIS2 primært fokuserer på cybersikkerhed i netværk og informationssystemer.
En væsentlig tjeneste er en tjeneste, som er afgørende for opretholdelsen af vitale samfundsfunktioner, økonomi, sikkerhed eller sundhed.
Tilsynet varetages af de kompetente myndigheder i de enkelte sektorer, som identificerer kritiske enheder og fører tilsyn med, at organisationer efterlever kravene i CER‑loven.
CER‑direktivet er EU‑direktiv (EU) 2022/2557, som fastlægger krav til medlemslandene om at styrke beskyttelsen og modstandsdygtigheden i kritisk infrastruktur og væsentlige tjenester.
Kritiske enheder identificeres af de kompetente sektormyndigheder på baggrund af nationale risikovurderinger og betydningen af den tjeneste, organisationen leverer.
Beredskabsplaner er en central del af arbejdet med CER, da de beskriver, hvordan organisationen håndterer hændelser og genetablerer kritiske tjenester.
Ja. Datacentre kan være omfattet, hvis de understøtter kritiske tjenester eller digital infrastruktur i en sektor, der er dækket af CER.