CER-direktivet: Nye fysiske sikkerhetskrav for kritiske virksomheter
Mens NIS2-direktivet har fått mye oppmerksomhet for sine omfattende cybersikkerhetskrav, innfører EU nå parallelt et like viktig regelverk for fysisk sikkerhet og operasjonell motstandsdyktighet: Critical Entities Resilience Directive (CER-direktivet 2022/2557) som trådte i kraft i januar 2023 og stiller krav som går langt utover digital sikkerhet.
Direktivene gjelder utpekte virksomheter innen en rekke samfunnssektorer, som energi, transport, bank og finans, helse, drikkevann, digital infrastruktur og offentlig sektor. For norske virksomheter som opererer i slike samfunnskritiske sektorer, eller som leverer til slike, er det viktig å forstå hvordan dette direktivet vil påvirke deres virksomhet.
To direktiver, ett perspektiv på sikkerhet
Der NIS2 fokuserer på cybertrusler, tar CER-direktivet for seg fysiske og operasjonelle risikoer som naturkatastrofer, sabotasje, terrorangrep og systemsvikt. Sammen utgjør disse direktivene EUs helhetlige tilnærming til beskyttelse av kritisk infrastruktur. Fristen for nasjonal implementering i EU var 17. oktober 2024, og EU-Kommisjonen skal rapportere på medlemsstatenes etterlevelsesgrad innen 17. juli 2027.
I Norge vil direktivet gjennomføres i norsk lov gjennom EØS-avtalen. Tidspunktet for når dette vil skjer er ikke avklart. For alle virksomheter som leverer til virksomheter i EU, vil likevel direktivet får betydning gjennom kravene kunden vil stille.
Formålet med CER-direktivet er å sikre leveransen av tjenester i det indre marked, som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter, og å styrke motstandskraften til enheter som tilbyr slike tjenester. CER er utvidet til å dekke hele 11 sektorer med tilhørende undersektorer.
Hvem blir utpekt som kritisk?
Systemet i CER-direktivet er at virksomheter innen sektorene dekket av direktivet skal utpekes (identifiseres) som kritiske. Se tabellen under.
Identifiseringsprosessen følger en totrinns modell. Først kartlegger medlemsstatene kritiske sektorer basert på direktivets vedlegg. Deretter vurderes virksomheter mot spesifikke terskelkriterier, som inkluderer:
- antall brukere som påvirkes ved bortfall,
- økonomisk og samfunnsmessig betydning,
- markedsandel,
- geografisk dekning, og ikke minst
- gjensidig avhengighet med andre sektorer.
Denne systematiske tilnærmingen sikrer at myndighetene identifiserer virksomheter som virkelig er kritiske for samfunnets funksjon, ikke bare store aktører generelt.
I tabellen under fremgår hvilke sektorer som er omfattet av CER, med en sammenligning med NIS2.
| SEKTOR | CER (Annex I) | NIS2 (Annex I&II) | FORSKJELLER |
| Energi | Elektrisitet, olje, gass, hydrogen | Samme + fjernvarme/kjøling | NIS2 inkluderer fjernvarme |
| Transport | Luft, jernbane, vann, vei, kollektivtransport | Luft, jernbane, vann, vei, | CER dekker kollektivtransport |
| Bank/finans | Banker, finansmarkeder | Samme | Identisk dekning |
| Helse | Helsetjenester, legemidler, medisinsk utstyr | Samme + innehavere av distribusjonslisenser | CER dekker innehavere av distribusjonslisenser |
| Vann | Drikkevann, avløpsvann | Samme | Identisk dekning |
| Digital infrastruktur | IXP, DNS, TLD, cloud, datasenter, CDN | Samme + trust services | NIS2 inkluderer trust services |
| Offentlig forvaltning | Sentrale | Samme + og regional forvaltning | NIS2 dekker regional forvalting |
| Romfart | Bakkebasert infrastruktur | Samme | Identisk dekning |
| Mat | Produksjon, foredling, distribusjon | Samme | Identisk dekning |
| Kjemikalier | Ikke dekket | Produksjon, distribusjon | Kun i NIS2 |
| Avfall | Ikke dekket | Avfallshåndtering dekket i NIS2 | CER har bredere dekning |
| Post/kurer | Ikke dekket | Dekket i NIS2 | Kun i NIS2 |
| Industriproduksjon | Ikke dekket | Dekket i NIS2 | Kun i NIS2 |
Kjemikalier er ikke listet opp som en kritisk sektor i CER, men selskaper som leverer kjemikalier kan vel likevel "indirekte" identifiseres som en kritisk virksomhet hvis de leverer tjenester eller produkter til utpekte CER-virksomheter, som f.eks. drikkevann eller helse.
Overraskende nok er heller ikke industriproduksjon dekket direkte av CER.
Konkrete forpliktelser og standarder
Virksomheter som blir identifisert som kritiske enheter må gjennomføre omfattende tiltak for å sikre motstandsdyktighet (resiliens) basert på en risikovurdering. Dette innebærer ikke bare en tradisjonelle risikovurdering, men helhetlige analyser som dekker alle relevante trusler – fra ekstremvær til hybride angrep. Kravene er listet opp i seks grupper, med fokus på å hindre og respondere på fysiske hendelser. Basert på analysen skal en plan for motstandsdyktighet utarbeides og dokumenteres.
Landene skal oppfordre til bruk av etablerte europeiske og internasjonale standarder. ISO 22301 for Business Continuity Management blir sentral, sammen med ISO 31000 for risikostyring og ISO/IEC 27001 for informasjonssikkerhet (hvor sistnevnte overlapper med NIS2).
Bakgrunnsjekk
Direktivet åpner videre for bakgrunnssjekk av personell som sitter i sensitive roller, kan operere driftssystemer eller vurderes for ansettelse. Visse vilkår må oppfylles.
Leverandørkjedekrav
Et særlig viktig aspekt er kravene til leverandørkjedesikkerhet. Virksomhetene må kartlegge kritiske leverandører, etablere beredskapsplaner ved leverandørsvikt, og identifisere alternative leverandørkjeder. Dette betyr at norske underleverandører til EU-baserte kritiske enheter kan bli pålagt omfattende dokumentasjons- og sikkerhetskrav, selv om de selv ikke er direkte omfattet av direktivet.
Hendelsesrapportering blir obligatorisk, med strenge tidsfrister og detaljerte krav til hva som skal rapporteres. Myndighetene får utvidede tilsyns- og kontrollmuligheter, inkludert mulighet for stedlige tilsyn og pålegg om korrigerende tiltak.
Implementeringsstatus i Europa
Så langt synes Danmark, Estland, Hellas, Ungarn, Irland, Italia, Litauen, Portugal, Romania, Slovakia og Slovenia å ha vedtatt den nasjonale gjennomføringsrettsakten, slik at CER vil gjelde i disse landene.
Hvorfor norske virksomheter bør handle nå
Selv uten formell EØS-implementering vil mange norske selskaper merke konsekvensene. Virksomheter med datterselskaper eller filialer i EU må overholde kravene direkte. Leverandører til EU-baserte kritiske enheter vil kunne møte strenge kontraktskrav om motstandsdyktighet og dokumentasjon. Markedsadgang kan bli betinget av etterlevelse, særlig i regulerte sektorer som energi og transport.
Å vente til eventuell norsk implementering kan gi konkurranseulemper og økte implementeringskostnader.
Minste sanksjonsnivå fremgår ikke av direktivet, men skal bestemmes av de ulike landene.
Handlingspunkter for virksomhetene
Umiddelbare tiltak:
- Utpek en person ansvarlig for sikkerhet i virksomheten, om ikke allerede gjort
- Gjennomfør en vurdering av om virksomheten kan defineres som kritisk basert på direktivets kriterier
- Kartlegg eksponering via EU-operasjoner og leverandør- og kundeforhold
- Gjennomgå og oppdater eksisterende leverandøravtaler med tanke på motstandsdyktighet
Forberedelser innen 2025:
- Gjennomfør risikovurderinger i tråd med ISO 31000
- Etabler prosedyrer for hendelsesrapportering som tilfredsstiller direktivets krav
- Oppdater beredskapsplaner for å møte ISO 22301-standard
Mot etterlevelsesfristen i 2026:
- Dokumenter og test resiliensmålsetninger
- Gjennomfør fullskala beredskapsøvelser
- Etabler kontinuerlig forbedring av resilienssystemer
CER-direktivet representerer et paradigmeskifte i hvordan vi tenker om kritisk infrastruktur. Fra et fokus på reaktiv krisehåndtering beveger vi oss mot proaktiv motstandsdyktighet. For norske virksomheter betyr dette at forberedelsene bør starte nå – uavhengig av når og hvordan Norge implementerer direktivet.
Har du spørsmål knyttet til regelverket? Ta kontakt med Kristian Foss i Bull.
Vi har et av landets fremste team innen Teknologi, IT og AI, du kan lese mer om oss her.
Relaterte artikler
EU Data Act: Industridata blir nå tilgjengelige på nye vilkår, og digital uavhengighet forenkles
Fra 12. september 2025 gjør EU Data Act industridata tilgjengelige på nye vilkår, med mål om å styrke dataøkonomien og fremme et rettferdig datamarked.
Les mer
Cyber Resilience Act: Nye sikkerhetskrav i endelig versjon av forordningen
EUs Cyber Resilience Act (CRA) er nå endelig vedtatt, og trådde i kraft 10. desember 2024. Forordningen vil påvirke s...
Les mer
NIS2: Personlig ansvar for ledelsen og ansatte
NIS2-direktivet er en ny EU-regulering som skjerper kravene til cybersikkerhet og innfører et personlig ansvar for le...
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.
Kompetanse
- Anskaffelser
- Arbeidsliv
- Arv, dødsbo og generasjonsskifte
- Energi
- Entreprise
- Familierett, vergemål og samlivsbrudd
- Fast eiendom
- Foreldretvister og barnefordeling
- Forsikring og ansvar
- Granskning og compliance
- Immaterialrett og markedsføringsrett
- Industri, handel og service
- Klima, miljø, avfall og bærekraft
- Konkurranserett, statsstøtte og EU/EØS
- Life science og helseteknologi
- Logistikk og transportrett
- Media, underholdning og kultur
- Personvern
- Restrukturering, insolvens og konkurs
- Rettssaker og tvisteløsning
- Revisjon og regnskap
- Selskapsrett og transaksjoner
- Skatt og avgift
- Space
- Teknologi, IT og AI