Kontorsutrustning och branschtips - Din guide till kontorsvärlden

CER‑direktivet: så påverkar det din verksamhet

Det nya europeiska CER‑direktivet handlar om att skydda samhällsviktiga och viktiga tjänster mot störningar, avsiktliga angrepp och långvariga avbrott. Kort sagt ska el, vatten, transporter, hälso- och sjukvård, finans, digital infrastruktur och flera andra sektorer kunna leverera även när det oväntade sker. I den här artikeln får du en rak genomgång av vad direktivet innebär, hur du kan förbereda dig och vilka konkreta steg som skapar mest nytta på kort och lång sikt.

Vad är CER och vilka omfattas?

CER står för Critical Entities Resilience och kompletterar cybersäkerhetsregelverk som NIS2 genom att fokusera på fysisk och organisatorisk motståndskraft. Medlemsstater ska identifiera kritiska aktörer, ställa krav på riskhantering, incidentrapportering och kontinuitetsplanering samt säkerställa tillsyn. I praktiken omfattas aktörer i el- och fjärrvärme, gas, bank och finansmarknadsinfrastruktur, dricksvatten, avloppsvatten, hälso- och sjukvård, digital infrastruktur, transporter, rymdrelaterade tjänster samt offentlig förvaltning. Även leverantörskedjor och tredjepartsberoenden kommer i fokus, eftersom störningar ofta uppstår där.

För en svensk region kan det innebära att sjukhus behöver samordna fysisk säkerhet med IT, göra gemensamma övningar och säkerställa reservkraft bortom dagens miniminivåer. En medelstor vattenleverantör kan behöva uppdatera riskanalyser så att de täcker sabotage mot pumpar, längre torka och störningar i kemikalieleveranser. En betalningsförmedlare kan få krav på tydligare kontinuitetsplaner, snabbare incidentrapportering och testade scenarier för längre driftavbrott, inte bara korta IT-störningar.

Gör så här: från gap-analys till bevisad motståndskraft

Börja med en avgränsad gap-analys. Kartlägg vilka krav i cer direktivet som faktiskt berör din verksamhet utifrån din roll och sektor. Rangordna därefter åtgärder efter påverkan på verksamhetsförmåga: reservkraft och redundans för kritiska noder, fysisk åtkomstkontroll för känsliga utrymmen, förbättrad loggning och larmkedja, samt uppdaterad kontinuitetsplan. Sätt mätbara mål, till exempel maximal tillåten avbrottstid per tjänst, och följ upp dem kvartalsvis.

Testa planerna. En tabletop‑övning på två timmar med drift, säkerhet, kommunikation och ledning avslöjar snabbt otydligheter. I en kommun jag arbetat med upptäckte vi att reservnycklar fanns, men inte dokumenterats i driftpärmen och därför saknades i nattbemanningen. En enkel justering i rutinen, plus märkning och utbildning, kortade återställningstiden med över 40 minuter. Små förbättringar, rätt placerade, ger stor effekt vid verkliga incidenter.

Glöm inte beroenden. Lista kritiska leverantörer och specificera tillgänglighetskrav, övningskrav och rapportering i avtalen. Be om evidens, inte enbart intyg: testrapporter, övningsloggar och resultat från återställningstester. Komplettera med alternativa leveransvägar, exempelvis sekundära nätkopplingar eller avtal med närliggande kommuner för reservvatten. Bygg in flexibilitet: om komponenter har lång leveranstid, håll säkerhetslager eller definiera utbyteskomponenter som kan temporärt ersätta originaldelar.

Vanliga frågor: tidslinje, ansvar och kostnad

När behöver allt vara på plats? Tidslinjerna varierar per land och sektor, men räkna med stegvis införande med tidiga krav på riskanalys, rapportering och kontinuitet följt av fördjupade åtgärder. Vem äger frågan? Ledningen. Operativt arbete kan ligga hos säkerhetschef eller kontinuitetsansvarig, men utan tydliga mandat och budget blir motståndskraften teoretisk. Vad kostar det? Kostnaden styrs av gapet mellan nuläge och mål. En tumregel är att börja där driftsstoppet smärtar mest: kraftförsörjning, nätanslutning och reservrutiner för manuell hantering. Dessa investeringar har ofta kort återbetalningstid jämfört med förlorad intäkt och skadat förtroende vid längre avbrott.

Sammanfattningsvis handlar CER om att göra det nödvändiga synligt, prioriterat och bevisbart. Börja med en realistisk nulägesbild, öva det ni planerar och säkra avtal och beroenden. Vill du veta hur din organisation står sig idag och vilka tre åtgärder som ger störst effekt inom 90 dagar? Ta kontakt för en genomlysning och en konkret handlingsplan som stärker er leveransförmåga när det verkligen gäller.