EU:s direktiv om kritiska enheters motståndskraft (CER-direktivet, EU 2022/2557 ) är en viktig förordning som syftar till att stärka Europas förmåga att motstå systemstörningar. Direktivet träder i kraft i januari 2023 och gäller för 11 viktiga sektorer, från energi och hälso- och sjukvård till finans, digital infrastruktur och transport.
Men detta direktiv är inte bara ytterligare en kryssruta för efterlevnad. Det innebär ett strategiskt skifte i hur resiliens styrs. För första gången positioneras resiliens som ett ansvar på styrelsenivå, lika viktigt som finansiell tillsyn och ESG.
Om din organisation är verksam inom någon av de sektorer som omfattas av CER-direktivet kan det leda till att dina verksamhetsskyldigheter omformas i grunden under de närmaste åren. Nationella myndigheter kommer snart att börja utse vilka organisationer som räknas som "kritiska enheter", och när de väl har utsetts kommer efterlevnad att vara obligatorisk inom nio månader.
För ledare innebär CER-direktivet både en utmaning och en möjlighet:
- En utmaning eftersom direktivet kräver att organisationerna går bortom den traditionella riskhanteringen och antar en systemomfattande strategi som tar hänsyn till alla risker.
- En möjlighet eftersom organisationer som agerar tidigt kan vända efterlevnaden till en källa till konkurrensfördelar - och bygga upp den motståndskraft som investerare, tillsynsmyndigheter och kunder i allt högre grad kräver.
På den här sidan får du reda på vad CER-direktivet är, vem det gäller, viktiga skyldigheter och tidsfrister samt hur organisationer kan omvandla efterlevnad till strategisk motståndskraft.
Varför CER-direktivet är viktigt nu
Europa befinner sig i en tid av ökande risker. Klimatförändringarna leder till mer frekventa översvämningar, värmeböljor och stormar. Geopolitiska spänningar stör de globala försörjningskedjorna för energi och livsmedel. Cyberattacker orsakar allt oftare störningar i den verkliga världen, från avbrott i rörledningar till nedstängningar av sjukhus. Dessa risker är inte längre isolerade; de är sammankopplade och sprider sig över sektorer och gränser.
CER-direktivet är EU:s svar på denna nya verklighet. Det breddar fokus från tillgångsskydd till systemresiliens och kräver att både offentliga och privata operatörer ska kunna förutse, motstå och återhämta sig från störningar.
3 sätt som direktivet påverkar organisationer
- :
1. Rättslig skyldighet
Om en kritisk enhet utses är efterlevnaden obligatorisk och kan genomdrivas på nationell nivå.
- :
2. Strategisk nödvändighet
Motståndskraft är nu ett styrningsansvar, inte en teknisk eftertanke.
- :
3. Konkurrenskraftig differentieringsfaktor
Tidiga aktörer kan utnyttja motståndskraften som en del av sin marknadspositionering, sina investerarrelationer och sin attraktionskraft i leveranskedjan.
Kort sagt, att förstå CER är inte valfritt. Om ditt företag eller din organisation tillhandahåller viktiga tjänster i EU bör det vara en strategisk prioritering att lära sig hur man följer direktivet - och hur man kan dra nytta av det.
Vad är CER-direktivet?
CER-direktivet (EU 2022/2557) ersätter det europeiska direktivet om kritisk infrastruktur (2008/114/EG), som endast omfattade energi- och transporttillgångar. Det gamla direktivet var snävt, tillgångsfokuserat och dåligt anpassat till dagens sammankopplade riskmiljö.
CER utvidgar både tillämpningsområdet och ambitionen, och det gäller 11 sektorer:
Direktivet inför en strategi som omfattar alla risker. I stället för att enbart fokusera på terrorism eller fysiskt sabotage täcker det hela spektrumet av risker: naturkatastrofer, industriolyckor, cyberfysiska attacker, systemfel i leveranskedjan och geopolitiska chocker.
Det är viktigt att CER utformas för att komplettera NIS2-direktivet. Tillsammans utgör de två lagarna Europas mest omfattande ramverk för motståndskraft - CER täcker fysisk och operativ motståndskraft, och NIS2 täcker cybersäkerhet.
Hämta CER:s snabbguide
I vår snabbguide hittar du all information du behöver om CER-direktivet. Guiden är tillgänglig kostnadsfritt. Läs mer om kritiska enheter och CER-direktivet.
Vem omfattas av tillämpningsområdet?
Alla organisationer i en sektor som omfattas av direktivet kommer inte att betecknas som "kritiska". Direktivet lägger ansvaret på medlemsstaterna att identifiera vilka enheter som kvalificerar sig, med hjälp av riskbaserade kriterier.
Utnämningen baseras på:
- Omfattningen av tjänsteleveransen och antalet användare som är beroende av den.
- Geografisk spridning, inklusive gränsöverskridande verksamhet.
- Graden av ömsesidigt beroende av andra samhällsviktiga tjänster.
- Tillgången till alternativ om tjänsten misslyckas.
Enheter som är verksamma i sex eller fler medlemsstater får rådgivningsstöd på EU-nivå för att återspegla deras paneuropeiska betydelse.
Detta tillvägagångssätt är ett erkännande av att motståndskraft är en gemensam europeisk angelägenhet. En störning i en medlemsstat kan sprida sig över gränserna, vilket gör det nödvändigt med samordnad tillsyn.
Viktig tidslinje för CER
Införandet av direktivet sker stegvis för att ge regeringar och organisationer tid att förbereda sig:
- 16 januari 2023 - Direktivet träder i kraft.
- 18 oktober 2024 - Medlemsstaterna måste införliva CER i nationell lagstiftning.
- 17 januari 2026 - Medlemsstaterna ska ha slutfört sina nationella riskbedömningar.
- 17 juli 2026 - Medlemsstaterna börjar klassificera kritiska enheter.
- 9 månader efter utpekandet - kritiska enheter måste uppfylla sina skyldigheter.
Dessa datum skapar en strukturerad färdplan. Men tiden för att uppfylla kraven är kort: när en organisation väl har utsetts har den mindre än ett år på sig att uppfylla alla skyldigheter. Därför är det viktigt med tidiga förberedelser.
Skyldigheter för organisationer att uppfylla kraven
CER-direktivet skapar ett dubbelt lager av skyldigheter: de för medlemsstaterna och de för de enheter som de utser som kritiska.
Medlemsstaternas skyldigheter:
- Utveckla en nationell strategi för resiliens.
- Genomföra en omfattande nationell riskbedömning.
- Identifiera och anmäla kritiska enheter.
- Inrätta behöriga myndigheter för att övervaka och genomdriva efterlevnad.
Utpekade organisationer måste genomföra en robust uppsättning åtgärder för motståndskraft.
Skyldigheter för kritiska enheter inkluderar:
- Riskbedömningar som täcker ett brett spektrum av faror, inklusive ömsesidigt beroende och gränsöverskridande risker.
- Planering och åtgärder för motståndskraft inom styrning, operativa processer, leveranskedjor och fysisk infrastruktur.
- Incidentrapportering till myndigheter i händelse av betydande störningar.
- Samordning med NIS2-skyldigheter för att säkerställa integrerad cyberfysisk motståndskraft.
Det som skiljer CER från mängden är att man insisterar på att motståndskraft inte är en engångsplan utan ett kontinuerligt styrningsansvar. Styrelser måste se till att motståndskraft integreras i riskaptituttalanden, investeringsbeslut och prestationsmått.
Kritiska enheter måste implementera åtgärder för motståndskraft i hela styrningen, leveranskedjorna och infrastrukturen.
Denna styrningslins lyfter upp resiliens till samma nivå som finansiell förvaltning och hållbarhet. Styrelser som inte tar ansvar för resiliens kan utsätta sina organisationer för regleringsrisker, ryktesrisker och strategiska risker.
Från efterlevnad till konkurrenskraft
CER-direktivet innebär skyldigheter, men det skapar också möjligheter. Motståndskraftiga organisationer åtnjuter tydliga fördelar:
- Minskade driftstopp och ekonomiska förluster i samband med störningar.
- Ökat förtroende hos tillsynsmyndigheter, investerare och kunder.
- Förbättrad positionering i leverantörskedjan, eftersom motståndskraft blir ett upphandlingskriterium.
- Anpassning till ESG och andra ramverk för icke-finansiell rapportering.
För framåtblickande organisationer handlar CER-efterlevnad inte bara om att undvika påföljder. Det handlar om att framtidssäkra verksamheten och säkra en starkare konkurrensposition på volatila marknader.
CER-direktivet handlar inte bara om att undvika påföljder utan också om att skapa konkurrensfördelar.
Färdplan för att komma igång
Att förbereda sig för CER-överensstämmelse kräver ett strukturerat tillvägagångssätt. Viktiga steg inkluderar:
- Gap-analys - Jämför nuvarande praxis för motståndskraft mot CER-skyldigheter.
- Kartläggning av beroenden - Identifiera uppströms-, nedströms- och gränsöverskridande beroenden.
- Scenarioplanering och stresstester - Testa motståndskraften i realistiska störningsscenarier.
- Ledarskapsförankring - Säkerställa ansvarstagande på styrelsenivå med nyckeltal för motståndskraft.
- Samarbete med myndigheter - Upprätta en tidig dialog med tillsynsmyndigheter för att anpassa förväntningarna.
Bygga en stark koalition
När organisationerna går vidare är det viktigt att bygga en stark koalition som är centrerad kring rätt kompetenser. Att hitta rätt projektledare kommer att vara en kritisk uppgift för ledningen.
Specialistkunskaper som bör inkluderas kan vara - men är inte begränsade till - följande
- Riskanalys, riskhantering och juridik
- Planering av verksamhetens kontinuitet
- Utbildning och kapacitetsuppbyggnad
- Ledning av projekt/program
- Cybersäkerhet och NIS2
- Anpassning till och begränsning av klimatförändringar
- Planering av beredskap och insatser vid nödsituationer
- Fysisk säkerhet, åtkomstkontroll och perimetersäkerhet
Organisationer som börjar nu kommer inte bara att vara redo för efterlevnad utan kommer också att skörda frukterna av förbättrad motståndskraft tidigare än konkurrenterna.
Vanliga frågor
Vill du veta mer?
Karin Palmblad
Local Service Lead, Resilience & Risk
+46 70 724 70 00
Mads Østerby
Market Director, Local Service Practice Lead Sustainable Consulting & ESG
+45 51 61 03 67
Patrick Moloney
Global Director, Sustainability Consulting & ESG
+45 51 61 66 46