CER loven: Om at sikre modstandsdygtighed i kritisk infrastruktur

Hvad er CER loven?

Den 1. juli 2025 trådte loven om kritiske enheders modstandsdygtighed (CER loven) i kraft og implementerede CER direktivet i dansk ret.   

EU vedtog CER direktivet for at sikre mere robuste krav til risikostyring i EU samt at håndtere stigende sårbarhed i kritiske enheder og kritisk infrastruktur. Lovgivningen skal sikre, at virksomheder kan modstå og sikre genopretning efter en hændelse og fortsætte med at levere væsentlige tjenester, der er afgørende for samfundets funktioner (herefter benævnt “væsentlige tjenester”).  

CER loven anerkender, at de trusler og risici, virksomheder står overfor, er mere varierede, hyppige og komplekse end nogensinde før. Derfor skal virksomheder, industrien og samfundet være i stand til at reagere på en hændelse.   

Hvem er omfattet af CER loven?

Den myndighed, der varetager funktionen som kompetent myndighed inden for en given sektor, skal benytte en risikobaseret tilgang til at udvælge “kritiske enheder” senest den 17. juli 2026. Derefter har de udvalgte kritiske enheder 9 måneder til at gennemføre en risikovurdering og 10 måneder til at leve op til kravene i CER loven.  

Kritiske sektorer i CER loven

CER loven omfatter 11 kritiske sektorer: 

• Energi – Elektricitet, fjernvarme & fjernkøling, olie, gas og brint. For dele af energisektoren gælder der særregulering gennem lov om styrket beredskab i energisektoren. 
• Transport – Luft, jernbane, vand, vejtransport og offentlig transport. 
• Bankvirksomhed - Centrale finansielle funktioner.
• Finansiel markedsinfrastruktur - Betalingssystemer og finansielle markedsinfrastrukturer. 
• Sundhed - Hospitaler og andre essentielle sundhedstjenester. 
• Drikkevand - Produktion og distribution. 
• Spildevand - Inkluderer indsamling, behandling og bortskaffelse af spildevand.
• Digital infrastruktur - Datacentre, cloud-tjenester og netværksinfrastruktur. 
• Offentlig forvaltning – Myndigheder med kritiske funktioner. 
• Rummet - Satellitkommunikation og relaterede tjenester. 
• Fødevarer - Produktion, tilvirkning og distribution.  

Hvilke krav stiller CER loven til din organisation?

Efter underretning om udpegning har de kritiske enheder 9 måneder til at gennemføre en risikovurdering og 10 måneder til at implementere kravene i CER loven som bl.a. omfatter:  

• Forebyggelse af hændelser, herunder hændelser relateret til katastrofer og konsekvenser af klimaændringer.
• Beredskabsplaner for håndtering af kriser, herunder evakuering og opretholdelse eller genetablering af driften. 
• Uddanne og træne medarbejdere i krisehåndtering og løbende test af beredskabsplaner. 
• Sikring af bygninger, anlæg og anden infrastruktur, der er nødvendig for at levere de væsentlige tjenester. 
• Klare procedurer for risikostyring, kriseledelse og varsling. 
• Planer for genopretning efter en hændelse, herunder alternative leverandører og forsyningskæder. 
• En styrket medarbejdersikkerhed med fx adgangskontrol, baggrundstjek og målrettet sikkerhedsuddannelse.
• En fast kontaktperson over for den relevante myndighed.  
• Underrette myndighederne ved hændelser, der i væsentlig grad forstyrrer leveringen af de væsentlige tjenester.  

Hvordan fører myndigheder tilsyn og håndhæver CER loven? 

Den kompetente myndighed fører tilsyn med, om de kritiske enheder overholder loven. Det kan omfatte uanmeldte inspektioner, audits, krav om oplysninger og adgang til relevant dokumentation. Samtidig skal myndigheden oplyse formål og hvilke oplysninger, der efterspørges, og kan stille krav til i hvilket format dokumentationen skal afleveres.  

Visse kritiske enheder kan klassificeres som enheder af særlig europæisk betydning. For sådanne enheder skal rådgivende EU-delegationer gives adgang til nødvendige oplysninger, systemer og faciliteter.  

Den kompetente myndighed kan påbyde en kritisk enhed at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe konstateret overtrædelse af loven eller regler fastsat heri. 

Hvad sker der, hvis CER loven ikke overholdes?

Hvis en kritisk enhed ikke lever op til kravene i CER loven, kan det medføre bødestraf. Det gælder både ved brud på bestemmelser om modstandsdygtighed, hændelsesrapportering og samarbejde med myndighederne.  

Myndighederne kan også give bøder, hvis en virksomhed:  

• Undlader at efterkomme krav om oplysninger, audits eller dokumentation. 
• Ikke følger et påbud om at rette op på en overtrædelse.  
• Forsøger at forhindre myndigheden i at føre tilsyn.  

Selskaber kan holdes strafferetligt ansvarlige efter reglerne i straffeloven og bødestraf kan fastsættes i regler, der udstedes under loven.

Sammenhængen mellem CER loven og NIS2

NIS2 og CER loven fokuserer på forskellige, men komplementære aspekter af sikkerhed for kritisk infrastruktur, og supplerer derfor hinanden. NIS2 fokuserer på cybersikkerhed og digital modstandsdygtighed, mens CER loven har fokus på modstandsdygtighed mod trusler såsom sabotage, naturkatastrofer og terrorangreb.  

Mange virksomheder, der udpeges som kritiske enheder under CER loven, vil samtidig være omfattet af NIS2-reglerne. Dette er med til at skabe et samlet og forstærket beredskabsregime for kritisk infrastruktur i EU.  

Baggrundstjek som del af kravene i CER loven

Der skal foretages baggrundstjek (minimum kontrol af ID og straffeattest) for personer, der ”varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed”, “personer der er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed” samt personer der overvejes ansat i stillinger, hvor de vil have adgang til ovenstående.