- 22. september 2025
Nyheter
CER-Direktivet – Er du forberedt?
EU har vedtatt CER-direktivet (Critical Entities Resilience Directive), som skal styrke motstandsdyktigheten i kritiske samfunnsfunksjoner. Direktivet er allerede trådt i kraft i EU, men er ennå ikke innført i norsk rett. Regjeringen har varslet at det vil komme en ny lov om grunnsikring av samfunnsviktige virksomheter, som skal bygge på både CER og NIS2-direktivet.
Er din virksomhet en av disse?
CER gjelder for virksomheter i følgende sektorer:
- Energi (kraft, olje, gass, fjernvarme)
- Transport (luft, sjø, vei, bane)
- Helse (sykehus, legemidler, medisinsk utstyr)
- Drikkevann og avløp
- Digital infrastruktur (tele, datasentre, DNS, sky)
- Offentlig forvaltning
- Romsektoren (satellitt-tjenester)
- Bank og finansiell infrastruktur
- Enkelte deler av matsektoren (logistikk/engros og stor-skala produksjon)
Dersom din virksomhet opererer i en av disse sektorene, er det stor sannsynlighet for at dere vil omfattes av de nye kravene.
Norge har allerede arbeidet med å identifisere kritiske samfunnsfunksjoner. Direktoratet for samfunnssikkerhet og beredskap (DSB) publiserte i 2016 rapporten KIKS – Kritiske funksjoner i samfunnet, som peker på hvilke tjenester og sektorer som anses som avgjørende for samfunnets stabilitet og sikkerhet. CER-direktivet vil i stor grad bygge videre på, og formalisere, slike vurderinger.
Hva innebærer dette?
Virksomheter som blir identifisert som kritiske enheter må:
- Gjennomføre systematiske risiko- og resiliensvurderinger.
- Utarbeide og implementere beredskaps- og kontinuitetsplaner.
- Etablere tekniske, organisatoriske og fysiske sikringstiltak.
- Ha rutiner for hendelsesrapportering (innen 24 timer / full rapport innen 1 måned).
- Dokumentere tiltak og kunne vise til tilsynsmyndigheter hvordan de oppfyller kravene.
For enkelte roller og tilganger kan det også kreves bakgrunnssjekk, men alltid innenfor nasjonalt lovverk og eksisterende personvernregler.
Hvorfor starte nå?
Mange virksomheter oppfyller allerede deler av disse kravene gjennom sikkerhetsloven, kommunal beredskapsplikt, sektorregelverk eller standarder som ISO 27001. Men CER vil legge til et nytt lag med krav knyttet til helhetlig motstandsdyktighet, rapportering og tverrsektorielt samarbeid.
Å vente på norsk lovgivning kan være risikabelt. Har din virksomhet god grunn til å tro at dere blir omfattet, er det fornuftig å starte arbeidet nå – for å unngå dobbeltarbeid og sikre at dagens tiltak bygger direkte inn i fremtidens krav.
Intervju med artikkelforfatteren, Jon Borge Takle, konsulent i Proactima:
— Vi ser at mange virksomheter – særlig innen energisektoren – allerede jobber systematisk med å møte dagens trusselbilde, der sabotasje og innsidetrusler står sentralt. Når man likevel er i gang med å styrke sikringsregimet, kan det være svært hensiktsmessig å ta et helhetlig grep. På den måten sørger man for at tiltakene ikke bare møter dagens risiko, men også de kommende regulatoriske kravene fra CER-direktivet. Det gjør at man unngår dobbeltarbeid og bygger et robust regime som er bærekraftig over tid.
Hos Proactima bistår vi virksomheter med å analysere, planlegge og implementere tiltak som møter både dagens og morgendagens krav. På den måten slipper dere å gjøre jobben to ganger.
Hva med sanksjoner?
Dersom CER-direktivet blir innført åpner regelverket for administrative sanksjoner mot virksomheter som ikke oppfyller kravene. Direktivet beskriver imidlertid ikke et konkret bøteregime.
Et naturlig sammenligningspunkt er søsterdirektivet NIS2, som inneholder klare bestemmelser om økonomiske strafferammer: opptil 10 millioner euro eller 2 % av global årlig omsetning, avhengig av hva som er høyest. Flere EU-land vurderer å legge seg på tilsvarende nivåer også for CER, for å sikre konsistens. For norske virksomheter betyr dette at man bør legge til grunn at manglende etterlevelse kan medføre betydelige bøter og andre administrative reaksjoner, selv om den endelige utformingen av sanksjonsregimet først bestemmes når lovverket implementeres i Norge.
Er din virksomhet forberedt på CER?
Ta kontakt med oss i Proactima for en prat om hvordan vi kan hjelpe dere på veien.
DSB KIKS-rapporten
Regjeringens EØS-notat om CER-direktivet
Selve CER-direktivet (EU 2022/2557)
Kontaktperson
(+47) 992 87 743
Siste nytt
Industri
Viktig å kartlegge eksponering for kvarts
Arrangementer
Slik styrker vi tryggheten i norske kommuner: Bli med på våre webinarer om beredskap og HROS
Mobilitet og transport
Ny rammeavtale med Bane NOR
Mobilitet og transport
Proactima i gang med første prosjekt på rammeavtalen med Jernbanedirektoratet
Nyheter
Proactima støttet DSB under Digital2025 med et realistisk mediebilde
