CER-direktivet

CER står för Critical Entities Resilience och direktivet kompletterar cybersäkerhetslagen. Det förväntas träda i kraft under 2026 med tillhörande förordning och föreskrifter.

Verksamheter som omfattas av CER-direktivet 

Till skillnad från cybersäkerhetslagen finns ingen regel satt utifrån företagets storlek. En verksamhet ska identifieras som kritisk och därmed omfattas av lagen om den: 

• tillhandahåller en samhällsviktig tjänst i eller till Sverige genom att ingå i någon av sektorerna i bilagan till CER-direktivet  
• har kritisk infrastruktur i Sverige  
• riskerar att orsaka betydande störningar vid incident.  

Om en verksamhetsutövare meddelats att de utgör en kritisk verksamhetsutövare enligt CER gäller: 

• 9 månader för att genomföra riskbedömning
• 10 månader för att uppfylla övriga krav. 

Därefter kan tillsynsmyndigheten utöva tillsyn. Utredningen bedömer att Energimyndigheten ska vara tillsynsmyndighet för sektorn energi.

CER- och NIS2-direktivet (cybersäkerhetslagen) kompletterar varandra. Det innebär att om er verksamhet omfattas av CER-direktivet, så omfattas ni även av cybersäkerhetslagen.

Krav som ställs på kritiska verksamhetsutövare

Verksamheter som identifierats som kritiska ska enligt utredningens förslag:

1. Göra en riskbedömning som
   • omfattar alla relevanta risker
   • uppdateras vid behov, minst vart fjärde år.
2. Vidta åtgärder baserat på riskbedömningen för att
   • förhindra incidenter
   • reagera på och begränsa konsekvenserna från incidenter
   • skydda lokaler och kritisk infrastruktur
   • säkerställa ändamålsenlig personalsäkerhet
   • öka kunskapen om motståndskraft inom organisationen.
3. Upprätta och tillämpa en plan för dessa åtgärder.
4. Rapportera incidenter som kan medföra betydande störningar.

Under våren förväntas lagrådsremissen och propositionen publiceras. På Myndigheten för civilt försvars webbplats kan ni läsa mer om tidsplanen och CER-direktivet.

CER-direktivet (mcf.se)