Vad är CER-direktivet?

CER-direktivet, Directive (EU) 2022/2557 om kritiska entiteters motståndskraft, är EU:s regelverk för fysisk och operativ resiliens i samhällsviktiga sektorer. Direktivet ersätter det tidigare ECI-direktivet (2008/114/EG) och vidgar fokus från enbart energi och transport till elva sektorer. Syftet är att kritiska entiteter ska kunna förebygga, motstå, hantera och återhämta sig från incidenter som hotar leveransen av samhällsviktiga tjänster.

CER reglerar det fysiska och organisatoriska: perimeterskydd, kontinuitetsplanering, personalsäkerhet, beroenden mellan entiteter och förmågan att upprätthålla drift vid störning. Det skiljer CER från NIS2, som reglerar cybersäkerhet. De två direktiven beslutades parallellt och pekar i hög grad ut samma kritiska entiteter, men adresserar olika hotbild. Transponeringsdeadline var 17 oktober 2024 och kraven tillämpas från 18 oktober 2024.

Vem omfattas av CER?

CER-bilagan listar elva sektorer. Medlemsstaterna pekar ut vilka konkreta entiteter inom varje sektor som är kritiska, utifrån att de tillhandahåller en samhällsviktig tjänst och att en störning skulle få betydande negativa effekter. Sektorerna är:

  • Energi, inklusive el, fjärrvärme och fjärrkyla, olja, gas och vätgas.
  • Transport, inklusive luft-, järnvägs-, sjö- och vägtransport.
  • Bankverksamhet, kreditinstitut enligt unionsrätten.
  • Finansmarknadsinfrastruktur, handelsplatser och centrala motparter.
  • Hälso- och sjukvård, vårdgivare, laboratorier och vissa läkemedelsaktörer.
  • Dricksvatten, leverantörer av dricksvatten för mänsklig konsumtion.
  • Avloppsvatten, insamling, bortledning och rening av avloppsvatten.
  • Digital infrastruktur, exempelvis IXP, DNS, molntjänster och datacenter.
  • Offentlig förvaltning, vissa statliga myndigheter enligt nationell utpekning.
  • Rymden, drift av markbaserad infrastruktur för rymdbaserade tjänster.
  • Livsmedel, produktion, bearbetning och distribution i större skala.
Att tillhöra en CER-sektor gör dig inte automatiskt kritisk entitet. Medlemsstaten gör utpekningen efter en nationell riskbedömning. En entitet får besked om att den pekats ut, och först då aktiveras CER-skyldigheterna i sin fulla omfattning. Se [Vem omfattas av CER](/cer/omfattas) för storlekskriterier och utpekningsprocess.

De centrala skyldigheterna i CER

En utpekad kritisk entitet bär fyra grundläggande skyldigheter. De bygger på samma logik som NIS2, men riktas mot fysisk och organisatorisk motståndskraft i stället för cyber.

  • Riskbedömning. Entiteten ska genomföra en egen riskbedömning som tar hänsyn till relevanta naturliga och av människan orsakade risker, inklusive sektorsövergripande beroenden, sabotage, terrorism och hybridhot.
  • Resiliensåtgärder. Tekniska, säkerhetsmässiga och organisatoriska åtgärder för att förebygga incidenter, säkra lokaler och kritisk utrustning, hantera störningar och återställa drift. Hit hör fysiskt skydd, redundans och kontinuitetsplaner.
  • Incidentrapportering. Entiteten ska utan onödigt dröjsmål rapportera incidenter som väsentligt stör, eller riskerar att störa, leveransen av den samhällsviktiga tjänsten till behörig myndighet.
  • Bakgrundskontroller. Entiteten får begära bakgrundskontroller av personal i känsliga roller, inom de ramar nationell rätt sätter.
Skyldigheterna kompletteras av krav på en utsedd kontaktpunkt och på samarbete med myndigheter. Medlemsstaten ska i sin tur ta fram en nationell resiliensstrategi och göra en nationell riskbedömning som ligger till grund för utpekningen.

CER och NIS2: samma entiteter, olika hotbild

CER och NIS2 är systerregelverk som antogs samma dag. NIS2 reglerar cybersäkerhet och informationssäkerhet. CER reglerar fysisk och operativ motståndskraft. De överlappar i vilka entiteter som omfattas, men inte i innehållet i kraven.

I praktiken innebär det att en entitet som pekas ut som kritisk under CER i många fall också är väsentlig eller viktig under NIS2. Direktiven kräver att medlemsstaterna samordnar tillsyn och informationsutbyte, så att en entitet inte hanteras i två helt separata stuprör. För svenska deployer betyder det att samma styrning, samma register och samma incidentprocess kan tjäna båda regelverken, om de byggs rätt från början. Se [CER och NIS2: så hänger de ihop](/cer/nis2-overlapp) för en fullständig genomgång.

DimensionCER (EU 2022/2557)NIS2 (EU 2022/2555)
HotbildFysisk och operativ störningCyberhot och informationssäkerhet
KärnkravRiskbedömning, resiliensåtgärder, fysiskt skydd, kontinuitetRiskhanteringsåtgärder, säkerhet i nät och system
IncidentrapporteringStörning av samhällsviktig tjänstBetydande incidenter via CERT-SE
PersonalBakgrundskontroller i känsliga rollerUtbildning och säkerhetsmedvetande
EntiteterUtpekade kritiska entiteterVäsentliga och viktiga entiteter

Svensk implementering och tillsyn

Sverige inför CER genom ny nationell lagstiftning som kompletterar Cybersäkerhetslagen (SFS 2025:1506, som genomför NIS2). I hög grad berörs samma kritiska entiteter av båda regelverken. Den svenska lagstiftningsprocessen för CER har följt parallellt med NIS2, men CER och NIS2 är två skilda regelverk med skilda krav.

Myndigheten för civilt försvar (MCF), som tidigare hette MSB och bytte namn 1 januari 2026, har en samordnande roll för civilt försvar och samhällets motståndskraft. Tillsynen över kritiska entiteter sker sektorsvis, av de sektorsmyndigheter som ansvarar för respektive område. Det följer samma logik som NIS2, där exempelvis PTS, Finansinspektionen och länsstyrelser är tillsynsmyndigheter inom sina sektorer. Den exakta svenska myndighetsfördelningen för CER fastställs i den nationella lagstiftningen.

Statusbesked: ange aldrig ett påhittat SFS- eller propositionsnummer för CER. Det säkra är att Sverige inför CER genom ny lag som kompletterar Cybersäkerhetslagen, att samma kritiska entiteter berörs i hög grad, och att tillsynen sker sektorsvis med MCF i en samordnande roll.

Sanktioner under CER

CER ålägger medlemsstaterna att fastställa effektiva, proportionella och avskräckande sanktioner. De konkreta sanktionsnivåerna sätts i svensk rätt, inte i direktivet. Direktivet ger tillsynsmyndigheter befogenhet att genomföra inspektioner, begära information, kräva rättelse och utfärda förelägganden.

OmrådeKonsekvens
Utebliven riskbedömning eller resiliensplanFöreläggande om rättelse, möjlig sanktionsavgift enligt svensk lag
Utebliven eller försenad incidentrapporteringTillsynsåtgärd och möjlig sanktionsavgift enligt svensk lag
Bristande samarbete med tillsynsmyndighetFöreläggande, vite eller sanktionsavgift enligt svensk lag
Upprepade eller allvarliga bristerSkärpta tillsynsåtgärder och högre avgifter enligt nationell reglering

Vad gör jag nu? Steg för svenska kritiska entiteter

Planen nedan fungerar för en svensk entitet som tillhandahåller en samhällsviktig tjänst i någon av de elva sektorerna och som rimligen kan pekas ut som kritisk. Om du redan arbetar med NIS2 är mycket av stommen på plats.

  • Avgör om du kan pekas ut. Kartlägg om verksamheten tillhandahåller en samhällsviktig tjänst i en CER-sektor och hur stor effekten av en störning skulle bli. Se [Vem omfattas av CER](/cer/omfattas).
  • Genomför en fysisk riskbedömning. Komplettera den cyberinriktade NIS2-riskbedömningen med naturliga och av människan orsakade fysiska risker, inklusive beroenden mot andra entiteter.
  • Kartlägg beroenden och leverantörer. Bygg eller återanvänd ett beroenderegister som visar vilka externa entiteter och leverantörer din leverans hänger på.
  • Etablera resiliensåtgärder och kontinuitetsplan. Fysiskt skydd, redundans, reservkraft och en testad plan för att upprätthålla drift vid störning.
  • Bygg en incidentprocess för fysiska störningar. Definiera tröskel, rapporteringsväg och kontaktpunkt mot tillsynsmyndighet.
  • Samordna med NIS2. Lägg CER och NIS2 i samma styrning, samma register och samma styrelseunderlag i stället för två parallella program.

Så täcker CyberKlar CER

CER Resiliens är en egen modul i plattformen, 18 000 kr per år exklusive moms som fristående tillägg eller som del av Komplett-paketet. Modulen ger ett beroenderegister för kritiska beroenden som el, vatten, telekom, lokaler, personal och leverantörer, scenariobedömningar av fysiska och operativa störningar samt åtgärdsuppföljning.

Modulen delar stomme med NIS2-arbetet: samma leverantörsregister, kontinuitetsplan, incidentprocess och styrelseunderlag tjänar båda regelverken. Det fysiska resiliensperspektivet läggs i samma underlag, inte som ett parallellt spår, så att en CER-utpekning inte tvingar fram en ny uppstart.

  • Beroenderegister. Kartlägg kritiska beroenden med kritikalitet, enskilda felpunkter och åtgärdsstatus.
  • Scenariobedömningar. Bedöm naturhändelser, antagonistiska hot, olyckor och försörjningsavbrott med sannolikhet och konsekvens på 5x5-skala.
  • Gemensam incidentprocess. Samma process och samma styrelseunderlag täcker både cyberincidenter (NIS2) och fysiska störningar (CER).
Se [plattformen](/plattform) för hur registren och incidentprocessen hänger ihop, och [priser](/priser) för CER Resiliens-modulen och Komplett-paketet.

Vanliga missuppfattningar om CER

CER är samma sak som NIS2. Nej. CER reglerar fysisk och operativ motståndskraft, NIS2 reglerar cybersäkerhet. De pekar i hög grad ut samma entiteter, men kraven har olika innehåll.

Vi tillhör en CER-sektor, alltså är vi kritisk entitet. Inte automatiskt. Medlemsstaten pekar ut konkreta kritiska entiteter efter en nationell riskbedömning. Skyldigheterna aktiveras fullt ut först när du fått besked om utpekning.

Om vi klarar NIS2 är vi klara med CER. Delvis fel. Mycket av stommen kan återanvändas, men CER kräver en fysisk riskbedömning, fysiska resiliensåtgärder och en incidentprocess för fysiska störningar som inte täcks av cyberkraven.

CER har en lång övergångsperiod. Den slutsatsen håller inte. Transponeringsdeadline var 17 oktober 2024 och kraven tillämpas från 18 oktober 2024. Det som dröjer i Sverige är den nationella lagstiftningen, inte EU-kraven.