Energimyndigheten Energiberedskap Informations- och cybersäkerhet Säkerhet i nätverk och informationssystem (NIS) Frågor och svar om informationssäkerhet CER

CER

Allmänna frågor och svar om CER

+

Vad är CER-direktivet?

CER kan i korthet sägas komplettera NIS2 genom att ställa krav på motståndskraft hos verksamhetsutövare (fysisk och personalsäkerhet). Den påminner om den första NIS-regleringen och utgår från samma principer bl.a. systematiskt riskarbete, regelbundna riskanalyser och åtgärdsplanering.

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande.  

+

Vilka omfattas av CER?

Till skillnad från NIS2 så finns ingen storleksregel för CER. Istället är det vissa kriterier som tillsynsmyndigheterna har att utgå från för att kunna besluta om identifiering av en verksamhetsutövare. Kriterierna är att verksamhetsutövaren:

  • tillhandahåller en samhällsviktig tjänst i eller till Sverige
  • omfattas av någon av sektorerna i bilagan till CER
  • har kritisk infrastruktur belägen i Sverige, samt
  • att en incident skulle kunna få en betydande störande effekt för
  • tillhandahållandet av den samhällsviktiga tjänsten.
+

När gäller CER?

CER-reglering är föreslagen att träda i kraft 1 aug 2025 och därefter ska tillsynsmyndigheterna senast den 17 juli 2026 genom beslut identifiera vilka verksamhetsutövare som ska omfattas av reglerna. Omfattas man av CER så omfattas man även av NIS2. Verksamhetsutövare som meddelats att de utgör en kritisk verksamhetsutövare enligt CER har 9 månader på sig att genomföra riskbedömning resp. 10 månader på sig att uppfylla övriga krav innan tillsynsmyndigheten kan utöva tillsyn.

+

Vad är de konkreta kraven på kritiska verksamhetsutövare?

De kritiska verksamhetsutövarna ska bland annat:

  • Göra en riskbedömning som ska inkludera alla relevanta risker som skulle kunna leda till incident, den ska uppdateras vid behov, minst var 4e år.
  • Vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder, på grundval av riskbedömningen och all annan relevant information inkludera åtgärder för att
    1. förhindra incidenter från att uppstå,
    2. reagera på, stå emot och begränsa konsekvenserna av incidenter,
    3. återhämta sig från incidenter,
    4. säkerställa ett tillfredsställande fysiskt skydd av lokaler och kritisk infrastruktur,
    5. säkerställa en ändamålsenlig hantering av personalsäkerhet, och
    6. öka kunskapen om åtgärderna för motståndskraft hos berörd personal.
  • Upprätta och tillämpa en plan för dessa åtgärder.
  • Rapportera incidenter som kan medföra en betydande störning.
Senast uppdaterad: 2025-06-04