Två direktiv, en samhällsviktig population
CER (EU 2022/2557) och NIS2 (EU 2022/2555) antogs samma dag och är medvetet utformade som ett par. NIS2 adresserar cyberhot mot nät och informationssystem. CER adresserar fysiska och operativa hot mot leveransen av samhällsviktiga tjänster. Tillsammans täcker de både den digitala och den fysiska motståndskraften hos samma kärngrupp av aktörer.
De elva CER-sektorerna speglar NIS2:s sektorer. I praktiken innebär det att en entitet som pekas ut som kritisk under CER i de allra flesta fall också är väsentlig eller viktig under NIS2. För svenska deployer är detta inte en börda att hantera i två stuprör, utan en möjlighet: en gemensam stomme kan bära båda regelverken om den byggs rätt.
När omfattas du av båda samtidigt?
Den vanliga situationen för en samhällsviktig aktör är dubbel omfattning. Du blir väsentlig eller viktig under NIS2 via sektor och storlek, och du pekas ut som kritisk entitet under CER via en nationell riskbedömning. Då gäller båda regelverken parallellt, med olika krav.
- Endast NIS2. Du når NIS2:s tröskel men pekas inte ut som kritisk entitet under CER. Du hanterar cybersäkerhet, inte CER:s fysiska krav.
- Endast CER. Ovanligare, men möjligt om utpekningen sker men NIS2-tröskeln inte nås.
- Både CER och NIS2. Den typiska situationen för utpekade kritiska entiteter. Du hanterar både cyber och fysisk resiliens.
- Sektorspecifik specialreglering. Finanssektorn har dessutom DORA, som har företräde för ICT-risk. Se [DORA](/dora).
Cyber kontra fysisk resiliens: vad skiljer kraven
Den centrala poängen är att CER och NIS2 överlappar i entiteter men inte i innehåll. Att klara det ena gör inte automatiskt det andra. Tabellen visar hur samma företeelse adresseras olika i de två regelverken.
| Område | NIS2 (cyber) | CER (fysisk och operativ) |
|---|---|---|
| Riskbedömning | Cyber- och informationssäkerhetsrisker | Fysiska, naturliga och av människan orsakade risker |
| Skyddsåtgärder | Säkerhet i nät och informationssystem | Perimeterskydd, redundans, reservkraft, kontinuitet |
| Personal | Säkerhetsmedvetande och utbildning | Bakgrundskontroller i känsliga roller |
| Incident | Betydande cyberincident via CERT-SE | Störning av samhällsviktig tjänst |
| Beroenden | Leverantörskedjans cybersäkerhet | Fysiska och sektorsövergripande beroenden |
| Styrning | Ledningens ansvar och tillsyn | Resiliensplan och kontaktpunkt mot myndighet |
Återanvänd governance: en stomme, två regelverk
Det effektiva svaret på dubbel omfattning är att bygga en gemensam stomme i stället för två parallella program. Flera grundkomponenter tjänar både CER och NIS2 direkt, även om det specifika innehållet kompletteras per regelverk.
- Riskregister. Samma register håller både cyberrisker (NIS2) och fysiska risker (CER). CER lägger till naturliga och av människan orsakade hot samt sektorsövergripande beroenden.
- Leverantörs- och beroenderegister. NIS2 kräver kartlagd leverantörskedja, CER kräver kartlagda beroenden. Samma register bär båda perspektiven.
- Kontinuitetsplan. En testad plan för fortsatt drift vid störning är central i CER och förutsätts i praktiken av NIS2.
- Incidentprocess. En process med definierade trösklar, roller och rapporteringsvägar täcker både cyberincidenter och fysiska störningar.
- Styrelseunderlag. Ledningen ska kunna visa styrning över både cyber och fysisk resiliens. Ett gemensamt underlag undviker dubbelarbete.
Gemensam incidenthantering
Incidentrapportering är det område där samordning ger störst effekt. NIS2 kräver rapportering av betydande cyberincidenter, i svensk kontext via CERT-SE under Myndigheten för civilt försvar (MCF). CER kräver rapportering av incidenter som väsentligt stör, eller riskerar att störa, leveransen av en samhällsviktig tjänst.
Många verkliga incidenter har både en cyber- och en fysisk dimension. Ett angrepp kan slå ut fysisk drift; en fysisk störning kan börja som ett tekniskt fel. En entitet som omfattas av båda regelverken behöver därför en incidentprocess som klassificerar en händelse mot båda regelverken samtidigt och avgör vilken rapportering som ska gå vart. CER och NIS2 ålägger medlemsstaterna att samordna tillsyn och informationsutbyte, vilket sänker risken för att samma incident hanteras dubbelt på myndighetssidan.
- En klassificering, två regelverk. Bedöm varje incident mot både cybertröskeln (NIS2) och störningströskeln (CER).
- Tydliga rapporteringsvägar. Veta i förväg vart en cyberincident, en fysisk störning respektive en kombinerad händelse ska rapporteras.
- Gemensam erfarenhetsåterföring. Lärdomar från en incident matas tillbaka i både cyber- och resiliensåtgärder.
Svensk tillsyn: samordning sektorsvis
Både CER och NIS2 har sektorsvis tillsyn i Sverige. NIS2 genomförs genom Cybersäkerhetslagen (SFS 2025:1506) med sektorsmyndigheter som tillsynsmyndigheter inom sina områden, exempelvis PTS, Finansinspektionen och länsstyrelser. CER införs genom ny nationell lagstiftning som kompletterar Cybersäkerhetslagen, och tillsynen över kritiska entiteter sker också sektorsvis.
Myndigheten för civilt försvar (MCF), tidigare MSB, har en samordnande roll för civilt försvar och samhällets motståndskraft och tar emot incidenter via CERT-SE. Den exakta svenska myndighetsfördelningen för CER fastställs i den nationella lagstiftningen. Eftersom samma sektorsmyndigheter ofta är inblandade i båda regelverken finns en naturlig samordning, vilket gör det ännu mer värdefullt att presentera en gemensam stomme i stället för två skilda dokumentationsspår.
Praktisk ordning: NIS2 först, CER som komplement
För de flesta svenska entiteter är det rationellt att bygga NIS2-stommen först och lägga CER som komplement i samma underlag. NIS2:s svenska lagstiftning är på plats genom Cybersäkerhetslagen, och de cyberinriktade kraven driver fram register och processer som CER sedan återanvänder.
- Börja med NIS2-status och NIS2-stommen. Riskregister, leverantörsregister, incidentprocess och styrelseunderlag.
- Komplettera med fysisk riskbedömning. Lägg till naturliga och av människan orsakade hot och sektorsövergripande beroenden.
- Lägg till fysiska resiliensåtgärder. Perimeterskydd, redundans, reservkraft och en testad kontinuitetsplan.
- Bredda incidentprocessen. Inkludera störningar av samhällsviktig tjänst, inte bara cyberincidenter.
- Håll allt i samma styrning. Ett styrelseunderlag som täcker både cyber och fysisk resiliens.