Ny lov skærper krav til fysisk sikring af virksomheden

Ny EU-lovgivning stiller krav til en række tekniske virksomheder om at dokumentere, hvordan de håndterer fysisk sikkerhed og samfundskritiske risici. Det kan også påvirke mindre virksomheder, der leverer kritisk infrastruktur. 

CER-direktivet (Critical Entities Resilience) har til formål at sikre, at samfundskritiske funktioner som el, vand, fjernvarme og transport kan opretholdes, selv i tilfælde af fysiske hændelser som naturkatastrofer, cyberangreb eller sabotage. 

Direktivet blev vedtaget i EU i 2022 og 1. juli i år trådte den danske CER-lovgivning i kraft. Nu mangler den praktiske gennemførelse, der indebærer en national strategi og risikovurdering, som myndighederne skal have udarbejdet senest den 17. januar 2026. 

I juli 2026 vil de kritiske enheder blive udpeget, og virksomhederne har derefter ni måneder til at gennemføre egne risikovurderinger og foranstaltninger. 

– CER er i virkeligheden et paradigmeskifte. Det handler ikke om, hvor stor en virksomhed er, men om hvor vigtigt det, man laver, er for samfundet, siger Per Reinholdt, teknisk konsulent i TEKNIQ.

Mange er indirekte omfattet

For selvom de færreste SMV’er vil blive erklæret samfundskritiske, og dermed være direkte omfattet af CER-lovgivningen, vil mange blive indirekte omfattet som leverandører til store kunder.

CER-lovgivningen omfatter både offentlige og private virksomheder og gælder for i alt 11 sektorer – herunder energi, transport, drikkevand, spildevand, sundhed og digital infrastruktur. Også underleverandører og tjenesteudbydere kan blive omfattet, hvis deres ydelser er afgørende for samfundets funktion.

Et konkret eksempel kunne være en mindre installationsvirksomhed, der står for ladeinfrastruktur på et plejehjem. Hvis udrykning forhindres af systemfejl, kan det have alvorlige konsekvenser – og dermed udløse krav efter CER.

Nyt krav: Dokumenteret risikovurdering

Alle omfattede virksomheder skal gennemføre en risikovurdering af deres fysiske sikkerhed. Der er metodefrihed, men det er et krav, at virksomheden kan dokumentere sin tilgang og sikre, at relevante risici er identificeret og håndteret i forhold til samfundets afhængighed af virksomhedens drift.

– At leve op til CER-lovgivningen er ikke kun et spørgsmål om intern sikkerhed. Det handler om at vise, at man har overblik over sine kritiske funktioner – og hvordan man beskytter dem mod fysiske hændelser som nedbrud, sabotage eller ekstremt vejr, siger Per Reinholdt.

Risikovurderingen skal forankres i ledelsen og tage højde for både direkte og indirekte konsekvenser af driftsstop – f.eks. hvis en underleverandør bliver ramt. Det handler om at dokumentere sin modstandsdygtighed og sikre kontinuitet i kritiske funktioner.

Hvad skal man gøre nu?

Det nationale risikobillede, som er grundlaget for, hvem der bliver omfattet af kravene i CER-lovgivningen, skal være klar senest 17. januar 2026. Men virksomheder, der leverer ydelser med stor samfundsbetydning, bør allerede nu begynde forberedelserne.

– Man skal ikke vente på myndighederne. Hvis man vil være klar, er det nødvendigt at begynde med risikovurdering og sikre sig dokumentation allerede nu, lyder opfordringen fra Per Reinholdt.