Anvendelsesområde og formål med CER loven samt samspil med NIS2
Folketinget har vedtaget lov om kritiske enheders modstandsdygtighed med ikrafttræden 1. juli 2025. Regimet gennemfører EU’s CER direktiv og skal styrke den fysiske robusthed i virksomheder og myndigheder, der leverer ydelser af væsentlig samfundsmæssig betydning. Loven er vedtaget parallelt med NIS2 loven, som adresserer cybersikkerhed; CER retter sig mod fysisk modstandsdygtighed og beredskab.
Loven dækker bl.a. transport, sundhed, drikke og spildevand, offentlig forvaltning, rumsektoren samt visse fødevareled. Bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur omfattes i praksis af identifikation og myndighedsstøtte, men mødes ikke af nye driftskrav, da de allerede er reguleret. Energisektoren er uden for denne lov, fordi sektorspecifikke beredskabskrav er gennemført særskilt.
Udpegning som kritisk enhed og centrale pligter
Virksomheder i de omfattede sektorer kan udpeges som kritiske enheder, hvis de leverer væsentlige tjenester. Udpegning sker af sektormyndighederne efter en vurdering af betydningen for samfundets funktioner, og både større virksomheder og SMV’er kan blive omfattet. Identifikation forventes at omfatte et begrænset antal danske aktører.
Efter udpegning har virksomheden ni måneder til at gennemføre en helhedsorienteret risikovurdering, der omfatter alle relevante trusler som klimahændelser, ulykker, spionage, pandemier og fysiske angreb. Inden yderligere en måned skal nødvendige modstandsforanstaltninger være implementeret og samlet beskrives i en plan for modstandsdygtighed. Risikovurderingen skal opdateres mindst hvert fjerde år.
Derudover skal virksomheden arbejde systematisk med intern awareness, udpege en myndighedskontakt og opfylde underretnings og oplysningspligt over for den relevante tilsynsmyndighed. Manglende efterlevelse kan udløse bøder, hvilket skærper behovet for tidlig planlægning og ledelsesforankret governance.
Tidslinje, myndighedsgrundlag og sanktioner
En national strategi og en national risikovurdering skal foreligge senest 17. januar 2026. På den baggrund skal myndighederne identificere de første kritiske enheder senest 17. juli 2026. Tidsrammen indebærer, at udpegede virksomheder på under et år skal etablere eller genbesøge risikostyring og iværksætte passende modstandsforanstaltninger.
Tilsynet varetages af de relevante sektormyndigheder i samspil med de centrale sikkerhedsaktører, herunder Justitsministeriets ressort. Overtrædelser kan sanktioneres med bøde, og myndighederne kan kræve oplysninger og opfølgning. Virksomheder uden formel udpegning kan indirekte blive berørt gennem kontraktuelle krav fra kunder eller leverandører, hvilket anbefaler forberedelse på tværs af forsyningskæder.
Praktiske compliance skridt og kontraktuelle implikationer
Virksomheder, der realistisk kan blive udpeget, bør starte risikoafdækning og ressourceplanlægning nu. En moden initial risikovurdering giver bedre prioritering, mulighed for gradvis implementering og reducerer sanktionsrisiko. Eksisterende analyser kan eventuelt genbruges, hvis de opdateres til CER krav og forankres i topledelsen.
Udpegning vil ofte nødvendiggøre justeringer i leverandørstyring, beredskabsklausuler og serviceaftaler. Det kan kræve ændringer i SLA’er, audit og rapporteringsrutiner samt dokumentation af fysiske sikkerhedsforanstaltninger og kontinuitetsplaner. En struktureret kontraktstrategi kan desuden understøtte samspillet med NIS2 og sikre en helhedsorienteret robusthed på tværs af fysisk og digital drift.
