Bæredygtige byer og samfund, der er gode at leve i
Karin Palmblad, Mads Østerby
29. oktober 2025
EU's CER-direktiv: Forstå det grundlæggende
Forstå EU's CER-direktiv 2022/2557. I denne artikel dækker vi alt fra omfang, forpligtelser, tidslinjer og hvorfor modstandsdygtighed nu er et ansvar på bestyrelsesniveau for kritiske enheder.
EU's direktiv om modstandsdygtighed over for kritiske enheder (CER-direktivet, EU 2022/2557 ) er en skelsættende forordning, der er designet til at styrke Europas evne til at modstå systemiske forstyrrelser. Det træder i kraft i januar 2023 og gælder på tværs af 11 vigtige sektorer, fra energi og sundhedspleje til finans, digital infrastruktur og transport.
Men dette direktiv er ikke bare endnu et afkrydsningsfelt for overholdelse. Det repræsenterer et strategisk skift i, hvordan resiliens styres. For første gang placeres robusthed som et ansvar på bestyrelsesniveau, der er lige så vigtigt som finansielt tilsyn og ESG.
Hvis din organisation opererer i en af de omfattede sektorer, kan CER-direktivet fundamentalt omforme dine driftsforpligtelser inden for de næste år. De nationale myndigheder vil snart begynde at udpege, hvilke organisationer der tæller som "kritiske enheder", og når de er udpeget, vil det være obligatorisk at overholde direktivet inden for ni måneder.
For ledere er CER-direktivet både en udfordring og en mulighed:
- En udfordring, fordi direktivet kræver, at organisationer bevæger sig ud over traditionel risikostyring og indfører en systemdækkende tilgang til alle farer.
- En mulighed, fordi organisationer, der handler tidligt, kan gøre compliance til en kilde til konkurrencefordele - og opbygge den modstandskraft, som investorer, myndigheder og kunder i stigende grad efterspørger.
På denne side kan du finde ud af, hvad CER-direktivet er, hvem det gælder for, de vigtigste forpligtelser og deadlines, og hvordan organisationer kan forvandle compliance til strategisk robusthed.
Hvorfor CER-direktivet er vigtigt nu
Europa oplever en tid med stigende risici. Klimaforandringerne medfører hyppigere oversvømmelser, hedebølger og storme. Geopolitiske spændinger forstyrrer de globale energi- og fødevareforsyningskæder. Cyberangreb forårsager i stigende grad forstyrrelser i den virkelige verden, fra rørledningsafbrydelser til hospitalslukninger. Disse risici er ikke længere isolerede; de er indbyrdes forbundne og forplanter sig på tværs af sektorer og grænser.
CER-direktivet er EU's svar på denne nye virkelighed. Det udvider fokus fra beskyttelse af aktiver til systemets modstandsdygtighed og kræver, at både offentlige og private operatører forudser, modstår og kommer sig efter forstyrrelser.
3 måder, hvorpå direktivet påvirker organisationer
- Fakta:
1. Juridisk forpligtelse
Hvis den udpeges som en kritisk enhed, er overholdelse obligatorisk og kan håndhæves på nationalt plan.
- Fakta:
2. Strategisk nødvendighed
Robusthed er nu et ledelsesmæssigt ansvar, ikke en teknisk eftertanke.
- Fakta:
3. Konkurrencedygtig differentiator
Early movers kan udnytte modstandsdygtighed som en del af deres markedspositionering, investorrelationer og tiltrækningskraft i forsyningskæden.
Kort sagt er det ikke valgfrit at forstå CER. Hvis din virksomhed eller organisation leverer vigtige tjenester i EU, bør det være en strategisk prioritet at lære, hvordan man overholder direktivet - og hvordan man får gavn af det.
Hvad er CER-direktivet?
CER-direktivet (EU 2022/2557) erstatter direktivet om europæisk kritisk infrastruktur (2008/114/EF), som kun omfattede energi- og transportaktiver. Det gamle direktiv var snævert, aktivfokuseret og dårligt egnet til nutidens sammenkoblede risikomiljø.
CER udvider både anvendelsesområdet og ambitionen, og det gælder for 11 sektorer:
Direktivet indfører en tilgang til alle risici. I stedet for kun at fokusere på terrorisme eller fysisk sabotage dækker det hele spektret af risici: naturkatastrofer, industriulykker, cyber-fysiske angreb, systemiske fejl i forsyningskæden og geopolitiske chok.
Det er vigtigt, at CER er designet til at supplere NIS2-direktivet. Tilsammen udgør de to love Europas mest omfattende ramme for modstandsdygtighed - CER dækker fysisk og operationel modstandsdygtighed, og NIS2 dækker cybersikkerhed.
Få en hurtig guide til CER
Find alle de nødvendige oplysninger om CER-direktivet i vores Quick Guide. Guiden er gratis tilgængelig. Få mere at vide om de kritiske enheder og CER-direktivet.
Hvem falder inden for anvendelsesområdet?
Ikke alle organisationer i en omfattet sektor vil blive udpeget som "kritiske". Direktivet giver medlemsstaterne ansvaret for at identificere, hvilke enheder der kvalificerer sig, ved hjælp af risikobaserede kriterier.
Udpegningen er baseret på:
- Omfanget af den leverede tjeneste og antallet af brugere, der er afhængige af den.
- Geografisk spredning, herunder grænseoverskridende aktivitet.
- Graden af indbyrdes afhængighed med andre væsentlige tjenester.
- Tilgængeligheden af alternativer, hvis tjenesten svigter.
Enheder, der er aktive i seks eller flere medlemsstater, får rådgivningsstøtte på EU-niveau for at afspejle deres paneuropæiske betydning.
Denne tilgang anerkender, at robusthed er et fælles europæisk anliggende. En afbrydelse i en medlemsstat kan forplante sig på tværs af grænserne, hvilket gør et koordineret tilsyn afgørende.
Vigtig tidslinje for CER
Udrulningen af direktivet sker i etaper for at give regeringer og organisationer tid til at forberede sig:
- 16. januar 2023 - Direktivet træder i kraft.
- 18. oktober 2024 - Medlemsstaterne skal omsætte CER til national lovgivning.
- 17. januar 2026 - Medlemsstaterne skal færdiggøre de nationale risikovurderinger.
- 17. juli 2026 - Medlemsstaterne begynder at udpege kritiske enheder.
- 9 måneder efter udpegning - Kritiske enheder skal overholde deres forpligtelser.
Disse datoer skaber en struktureret køreplan. Men fristen for overholdelse er kort: Når en organisation er udpeget, har den mindre end et år til at opfylde alle forpligtelser. Det gør tidlig forberedelse afgørende.
Compliance-forpligtelser for organisationer
CER-direktivet skaber et dobbelt lag af forpligtelser: dem for medlemsstaterne og dem for de enheder, de udpeger som kritiske.
Medlemsstaternes forpligtelser:
- Udvikle en national strategi for modstandsdygtighed.
- Gennemføre en omfattende national risikovurdering.
- Identificere og underrette kritiske enheder.
- Etablere kompetente myndigheder til at overvåge og håndhæve overholdelse.
Udpegede organisationer skal implementere et robust sæt af robusthedsforanstaltninger.
Forpligtelser for kritiske enheder omfatter:
- Risikovurderinger, der dækker et bredt spektrum af farer, herunder indbyrdes afhængige og grænseoverskridende risici.
- Robusthedsplanlægning og -foranstaltninger på tværs af ledelse, operationelle processer, forsyningskæder og fysisk infrastruktur.
- Anmeldelse afhændelser til myndighederne i tilfælde af væsentlige afbrydelser.
- Koordinering med NIS2-forpligtelser for at sikre integreret cyber-fysisk modstandsdygtighed.
CER adskiller sig ved at insistere på, at resiliens ikke er en engangsplan, men et kontinuerligt ledelsesansvar. Bestyrelser skal sikre, at resiliens er integreret i erklæringer om risikovillighed, investeringsbeslutninger og præstationsmålinger.
Kritiske enheder skal implementere robusthedsforanstaltninger på tværs af ledelse, forsyningskæder og infrastruktur.
Denne ledelsesoptik løfter modstandsdygtighed op på samme niveau som økonomistyring og bæredygtighed. Bestyrelser, der ikke tager ejerskab over robusthed, kan udsætte deres organisationer for lovgivningsmæssige, omdømmemæssige og strategiske risici.
Fra overholdelse til konkurrenceevne
CER-direktivet pålægger forpligtelser, men det skaber også muligheder. Modstandsdygtige organisationer har klare fordele:
- Reduceret nedetid og økonomisk tab i tilfælde af forstyrrelser.
- Øget tillid hos myndigheder, investorer og kunder.
- Forbedret positionering i forsyningskæden, da robusthed bliver et indkøbskriterium.
- Tilpasning til ESG og andre ikke-finansielle rapporteringsrammer.
For fremsynede organisationer handler CER-overholdelse ikke kun om at undgå sanktioner. Det handler om at fremtidssikre virksomheden og sikre en stærkere konkurrenceposition på ustabile markeder.
CER-direktivet handler ikke kun om at undgå bøder, men om at skabe konkurrencemæssige fordele.
Køreplan for at komme i gang
Forberedelse til CER-overholdelse kræver en struktureret tilgang. De vigtigste trin omfatter:
- Gap-analyse - Sammenlign den nuværende resilienspraksis med CER-forpligtelserne.
- Kortlægning af afhængighed - Identificer upstream-, downstream- og grænseoverskridende afhængigheder.
- Scenarieplanlægning og stresstest - Test modstandsdygtigheden i realistiske forstyrrelsesscenarier.
- Ledelsesforankring - Sørg for ansvarlighed på bestyrelsesniveau med KPI'er for resiliens.
- Samarbejde med myndigheder - Opbyg en tidlig dialog med tilsynsmyndigheder for at afstemme forventninger.
Opbygning af en stærk koalition
Når organisationer bevæger sig fremad, er det vigtigt at opbygge en stærk koalition centreret omkring de rigtige kompetencer. I den forbindelse vil det være en kritisk opgave for ledelsen at finde den rigtige projektleder.
Specialistviden, der skal inkluderes, kan være - men er ikke begrænset til:
- Risikoanalyse, risikostyring og jura
- Planlægning af forretningskontinuitet
- Uddannelse og kapacitetsopbygning
- Projekt- og programledelse
- Cybersikkerhed og NIS2
- Klimatilpasning og afbødning
- Planlægning af nødberedskab og indsats
- Fysisk sikkerhed, adgangskontrol og perimetersikkerhed
Organisationer, der starter nu, vil ikke kun være klar til at overholde reglerne, men vil også høste fordelene ved forbedret modstandsdygtighed hurtigere end konkurrenterne.
FAQ om CER-direktivet
Vil du vide mere?
Karin Palmblad
Local Service Lead, Resilience & Risk
+46 70 724 70 00
Mads Østerby
Market Director, Local Service Practice Lead Sustainable Consulting & ESG
+45 51 61 03 67
Patrick Moloney
Global Director, Sustainability Consulting & ESG
+45 51 61 66 46