När viktiga samhällsfunktioner störs påverkas allt från leveranser till vård och kommunikation. CER-direktivet, EU:s nya regelverk för kritisk infrastruktur, sätter ramar för hur organisationer ska arbeta systematiskt med riskhantering, robusthet och incidentberedskap. I den här artikeln får du en tydlig överblick över vad direktivet innebär, vem som berörs och hur du praktiskt kan komma i gång utan att tappa fart i vardagen.
CER står för Critical Entities Resilience och ersätter delvis tidigare regler om skydd av kritisk infrastruktur. Fokus ligger på att säkerställa att centrala verksamheter kan fortsätta leverera tjänster även vid störningar som cyberangrepp, naturhändelser, leverantörsbortfall eller social oro. Direktivet omfattar bland annat energi, transport, bank och finansmarknadsinfrastruktur, dricksvatten, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, rymdrelaterade tjänster samt livsmedelsproduktion och -distribution. Mindre aktörer kan också omfattas om deras tjänster är avgörande i samhällskedjan.
I praktiken kräver cer direktivet att ledningen tar ett aktivt ansvar för risk- och sårbarhetsarbete, att det finns dokumenterade processer för kontinuitet och incidentrapportering samt att man samarbetar med andra aktörer i ekosystemet. Myndigheter kan komma att genomföra tillsyn och ställa krav på förbättringar. För många organisationer blir detta ett moget nästa steg från informationssäkerhet och krisplaner till ett helhetsgrepp om verksamhetens resiliens.
1) Kartlägg beroenden och kritiska tjänster. Börja med att ringa in vilka tjänster som verkligen måste fungera. Lista interna beroenden som IT-system, nyckelpersoner och anläggningar, samt externa beroenden som molnleverantörer, transportörer och underleverantörer. Ett tips är att visualisera flöden från insatsvara till leverans och markera var ett avbrott skulle få störst effekt.
Ett konkret exempel: Ett regionalt vattenbolag identifierade tre kritiska beroenden för sin distributionstjänst, varav ett var ett gemensamt SCADA-system med flera kommuner. Genom att separera nätverk, införa segmentering och etablera en gemensam incidentkanal med jourlista minskade de återställningstiden från uppskattade 24 timmar till under 6. De gjorde också ett avtal med ett närliggande bolag om ömsesidig reservdelsbank, vilket gav snabbare återstart vid pumphaveri. Lärdomen var att små, koordinerade åtgärder ofta ger större effekt än stora teknikprojekt som tar månader.
Hur skiljer sig CER från NIS2? NIS2 fokuserar på cybersäkerhet i nätverk och informationssystem, medan CER tar ett bredare grepp om fysisk och organisatorisk resiliens, inklusive beroenden utanför IT. I praktiken överlappar de och bör hanteras ihop. Ett gott råd är att bygga en gemensam styrmodell: en policy för resiliens, en integrerad riskbild och ett samlat rapporteringsflöde. Det minskar dubbelarbete och gör revisioner enklare.
Hur får vi med leverantörerna? Börja med att riskklassa leverantörer efter påverkan på era kritiska tjänster. Ställ minimikrav i avtal, som svarstid vid incident, redundans för drift och krav på kontinuitetsplaner. Följ upp med enkla kontroller, till exempel attest på genomförd övning två gånger per år. Vid större partnerskap kan ni köra gemensamma scenarieövningar, till exempel ett simulerat strömavbrott som påverkar både lager och kundtjänst.
Sammanfattning och nästa steg: CER-direktivet handlar om att göra verksamheter robusta på riktigt, inte bara regelefterlevnad på papper. Börja med en överskådlig kartläggning, utvärdera risker och mognad, och sätt sedan kontinuitetsplaner i verket med regelbundna övningar. Vill du fördjupa dig, samla ledningen för en kort startworkshop och utse en ansvarig för resiliens med mandat att driva arbetet. Ta första steget i dag, så står ni starkare när det väl gäller.