Kritiske enheters motstandskraft.

Hvordan skiller CER seg fra NIS2?

CER dekker fysisk og operasjonell motstandskraft, mens NIS2 dekker cybersikkerhet. De er komplementære og må implementeres sammen.

Hvem bestemmer hvilke organisasjoner som er "kritiske enheter"?

Medlemsstatene utpeker enheter basert på tjenesteskala, gjensidig avhengighet og grenseoverskridende påvirkning.

Hva er straffene for manglende overholdelse?

Straffene fastsettes nasjonalt, men de må være effektive, forholdsmessige og avskrekkende.

Hva om vi opererer i flere EU-land?

Enheter som er aktive i seks eller flere medlemsstater mottar rådgivende støtte på EU-nivå.

Hvordan bør organisasjoner forberede seg?

Utfør en CER/NIS2-beredskapsvurdering, kartlegg avhengigheter, integrer robusthet i styringen, og begynn å samarbeide med nasjonale myndigheter nå.

Robuste samfunn og levbarhet

Karin Palmblad, Mads Østerby

29. oktober 2025

EU CER‑direktivet: Forstå det grunnleggende

Forstå EU CER‑direktivet 2022/2557. I denne artikkelen går vi gjennom alt fra omfang, forpliktelser og tidslinjer til hvorfor resiliens nå er et styreansvar for kritiske virksomheter.

Del på facebook Del på linkedin Del på twitter

Den europeiske unions direktiv om motstandsdyktige kritiske enheter (CER‑direktivet, EU 2022/2557) er en milepæl som skal styrke Europas evne til å håndtere systemiske forstyrrelser. Direktivet trådte i kraft i januar 2023 og gjelder for 11 samfunnsviktige sektorer, blant annet energi, helse, finans, digital infrastruktur og transport.

Men dette direktivet er mer enn et nytt punkt på en compliance‑liste. Det markerer et strategisk skifte i styringen av resiliens. For første gang løftes resiliens opp til et styreansvar – likestilt med økonomisk kontroll og ESG.

> Les mer om dette paradigmeskiftet

Hvis organisasjonen din opererer innenfor noen av de aktuelle sektorene, kan CER-direktivet fundamentalt endre dine driftsforpliktelser i løpet av de kommende årene. Nasjonale myndigheter vil snart begynne å utpeke hvilke organisasjoner som anses som "kritiske enheter", og når dette er avklart, vil overholdelse være obligatorisk innen ni måneder.

For ledere representerer CER-direktivet både en utfordring og en mulighet:

En utfordring fordi direktivet krever at organisasjoner beveger seg utover tradisjonell risikostyring og implementerer en helhetlig, all-hazards-tilnærming.
En mulighet fordi organisasjoner som handler proaktivt, kan gjøre overholdelse til en kilde til konkurransefortrinn — ved å bygge motstandsdyktighet som investorer, regulatorer og kunder i økende grad etterspør.

På denne siden kan du lære mer om hva CER-direktivet innebærer, hvem det gjelder for, hvilke nøkkelforpliktelser og tidsfrister som gjelder, og hvordan organisasjoner kan gjøre overholdelse til en del av sin strategiske motstandsdyktighet.

Hvorfor CER-direktivet er aktuelt nå

Europa står overfor en tid preget av samvirkende risikoer. Klimaendringer fører til hyppigere flommer, hetebølger og stormer. Geopolitiske spenninger skaper forstyrrelser i globale forsyningskjeder for energi og mat. Cyberangrep fører i økende grad til alvorlige konsekvenser i den fysiske verden, fra rørledningsbrudd til stengte sykehus. Disse risikoene er ikke lenger isolerte; de er sammenkoblede og sprer seg på tvers av sektorer og landegrenser.

CER-direktivet er EUs svar på denne nye virkeligheten. Det skifter fokus fra ren eiendomsbeskyttelse til systemmotstandsdyktighet, og krever at både offentlige og private aktører evner å forutse, tåle og komme seg etter forstyrrelser.

3 måter direktivet påvirker organisasjoner

Fakta:
1. Juridisk forpliktelse
Hvis virksomheten blir utpekt som en kritisk enhet, er det obligatorisk å etterleve kravene, og disse kan håndheves på nasjonalt nivå.

Fakta:
2. Strategisk imperativ
Motstandsdyktighet er nå et strategisk ansvar, ikke bare en teknisk ettertanke.
Fakta:
3. Konkurransefortrinn
Tidlige aktører kan bruke motstandsdyktighet som en del av sin markedsposisjonering, sine investorrelasjoner og sin attraktivitet i verdikjeden.

Kort oppsummert er det å forstå CER ikke en valgmulighet. Hvis selskapet eller organisasjonen din leverer essensielle tjenester innen EU, bør det å lære hvordan man overholder — og utnytter fordelene av — være en strategisk prioritet.

Hva er CER-direktivet?

CER-direktivet (EU 2022/2557) erstatter European Critical Infrastructure Directive (2008/114/EC), som tidligere kun omfattet energi- og transportinfrastruktur. Det gamle direktivet var snevert, hadde fokus på eiendeler, og var dårlig tilpasset dagens komplekse og sammenkoblede risikobilde.

CER utvider både rekkevidden og ambisjonene, og omfatter nå 11 sektorer:

Direktivet introduserer en all-hazards-tilnærming. I stedet for kun å fokusere på terrorisme eller fysisk sabotasje, dekker det et bredt spekter av risikoer: naturkatastrofer, industrielle ulykker, cyber-fysiske angrep, systemiske forsyningskjedeutfordringer og geopolitiske sjokk.

Det viktigste er at CER er utformet for å supplere NIS2-direktivet. Sammen utgjør de to lovverkene Europas mest helhetlige rammeverk for motstandsdyktighet — CER adresserer fysisk og operasjonell motstandsdyktighet, mens NIS2 fokuserer på cybersikkerhet.

Få CER Quick Guide

Finn all viktig informasjon om CER-direktivet i vår hurtigguide. Guiden er tilgjengelig kostnadsfritt. Lær mer om de sentrale enhetene og CER-direktivet.

Tilgang raskveiledning

Hvem omfattes?

Ikke alle organisasjoner i en dekket sektor vil bli definert som "kritiske." Direktivet gir medlemsstatene ansvaret for å identifisere hvilke enheter som kvalifiserer, basert på risikobaserte kriterier.

Utpekingen bygger på:

Omfanget av tjenesteleveransen og antallet brukere som er avhengige av tjenesten.
Geografisk spredning, inkludert grenseoverskridende aktivitet.
Graden av gjensidig avhengighet med andre essensielle tjenester.
Tilgjengeligheten av alternativer dersom tjenesten svikter.

Enheter som opererer i seks eller flere medlemsstater får rådgivende støtte på EU-nivå for å reflektere deres pan-europeiske betydning.

Denne tilnærmingen anerkjenner at motstandsdyktighet er et felles europeisk ansvar. En forstyrrelse i én medlemsstat kan få ringvirkninger på tvers av grenser, noe som gjør koordinert tilsyn avgjørende.

Nøkkeltidslinje for CER

Direktivets utrulling er planlagt i faser for å gi regjeringer og organisasjoner tid til å forberede seg:

16. januar 2023 – Direktivet trer i kraft.
18. oktober 2024 – Medlemsstatene må innlemme CER i nasjonal lovgivning.
17. januar 2026 – Medlemsstatene må fullføre nasjonale risikovurderinger.
17. juli 2026 – Medlemsstatene begynner å utpeke kritiske enheter.
9 måneder etter utpeking – Kritiske enheter må oppfylle forpliktelsene.

Disse datoene gir et strukturert veikart. Likevel er etterlevelsesvinduet kort: Når enheter er utpekt, har de mindre enn ett år på seg til å oppfylle alle forpliktelser. Dette gjør tidlig forberedelse helt avgjørende.

Overholdelsesforpliktelser for organisasjoner

CER-direktivet innfører et dobbeltnivå av forpliktelser: de som gjelder for medlemsstatene og de som gjelder for enhetene som er utpekt som kritiske.

Forpliktelser for medlemsstatene:

Utvikle en nasjonal strategi for motstandsdyktighet.
Gjennomføre en omfattende nasjonal risikovurdering.
Identifisere og varsle kritiske enheter.
Etablere kompetente myndigheter for å overvåke og sikre overholdelse.

Utpekte organisasjoner må iverksette et robust sett med tiltak for å styrke motstandsdyktigheten.

Forpliktelser for kritiske enheter inkluderer:

Risikovurderinger som dekker et bredt spekter av farer, inkludert avhengigheter og grenseoverskridende risikoer.
Planlegging og tiltak for motstandsdyktighet innen styring, operasjonelle prosesser, forsyningskjeder og fysisk infrastruktur.
Hendelsesvarsling til myndigheter ved betydelige forstyrrelser.
Koordinering med NIS2-forpliktelser for å sikre en integrert cyber-fysisk motstandsdyktighet.

Det som skiller CER fra andre reguleringer, er kravet om at motstandsdyktighet ikke er en engangsplan, men et kontinuerlig styringsansvar. Styrene må sikre at motstandsdyktighet integreres i risikovillighetserklæringer, investeringsbeslutninger og resultatmålinger.

Kritiske enheter må implementere tiltak for motstandsdyktighet på tvers av styring, forsyningskjeder og infrastruktur.

> Finn ut hvordan du kan orkestrere denne transformasjonen.

Denne styringsvinkelen løfter motstandsdyktighet til samme nivå som økonomistyring og bærekraft. Styrer som ikke tar eierskap til motstandsdyktighet, kan utsette organisasjonene sine for regulatoriske, omdømmemessige og strategiske risikoer.

Fra etterlevelse til konkurranseevne

Selv om CER-direktivet pålegger forpliktelser, skaper det også en mulighet. Motstandsdyktige organisasjoner har klare fordeler:

Redusert nedetid og økonomisk tap ved forstyrrelser.
Styrket tillit hos regulatorer, investorer og kunder.
Bedre posisjonering i forsyningskjeden, ettersom motstandsdyktighet blir et innkjøpskriterium.
Tilpasning til ESG og andre ikke-finansielle rapporteringsrammeverk.

For fremtidsrettede organisasjoner handler CER-etterlevelse ikke bare om å unngå straff. Det handler om å fremtidssikre virksomheten og sikre en sterkere konkurranseposisjon i volatile markeder.

CER-direktivet handler ikke bare om å unngå straff, men om å skape konkurransefortrinn.

> Lær hvordan vi kan hjelpe deg med å drive en bærekraftig og motstandsdyktig transformasjon

Veikart for å komme i gang

Forberedelse til CER-overholdelse krever en strukturert tilnærming. Viktige trinn inkluderer:

Gap-analyse – Sammenlign nåværende motstandsdyktighetspraksis med CER-krav.
Avhengighetskartlegging – Identifiser oppstrøms-, nedstrøms- og grenseoverskridende avhengigheter.
Scenario-planlegging og stresstesting – Test motstandsdyktighet i realistiske forstyrrelsesscenarioer.
Forankring i ledelsen – Sørg for ansvar på styrenivå med KPI-er for motstandsdyktighet.
Engasjement med myndigheter – Bygg tidlig dialog med regulatorer for å tilpasse forventninger.

Bygge en sterk koalisjon

Etter hvert som organisasjoner beveger seg fremover, er det avgjørende å bygge en sterk koalisjon basert på de riktige kompetansene. Å finne riktig prosjektleder vil være en kritisk oppgave for ledelsen.

Spesialistkunnskap som kan inkluderes, men ikke er begrenset til:

Risikokartlegging, risikostyring og juridisk kompetanse
Forretningskontinuitetsplanlegging
Opplæring og kapasitetsbygging
Prosjekt-/programledelse
Cybersikkerhet og NIS2
Klimaadaptasjon og -mitigasjon
Beredskap og responsplanlegging
Fysisk sikkerhet, adgangskontroll og perimetersikkerhet

Organisasjoner som starter nå, vil ikke bare være klare for overholdelse, men vil også høste fordelene av økt motstandsdyktighet tidligere enn konkurrentene.

Vanlige spørsmål om CER

Vil du vite mer?

Karin Palmblad
Local Service Lead, Resilience & Risk
+46 70 724 70 00
Mads Østerby
Market Director, Local Service Practice Lead Sustainable Consulting & ESG
+45 51 61 03 67
Patrick Moloney
Global Director, Sustainability Consulting & ESG
+45 51 61 66 46

La oss tette gapet for motstandsdyktige samfunn

Ved å revurdere forholdene for liv i våre byer, kan vi skape levende og motstandsdyktige lokalsamfunn.