Frameworks

Comprendre le CER danois : ce que les entités critiques doivent savoir

Découvrez comment la loi danoise sur la résilience des entités critiques (CER Act) s'applique aux entités critiques, quelles obligations en matière de résilience elle impose, comment fonctionne la désignation, et en quoi ce cadre diffère de la directive NIS2 en termes de champ d'application, d'obligations de déclaration et d'obligations de conformité.

Cyberday
5 juin 2026
@

Contenu de l'article

Collection ISO 27001
Comprendre le CER danois : ce que les entités critiques doivent savoir
Collection NIS2
Comprendre le CER danois : ce que les entités critiques doivent savoir
Cyberday blog
Comprendre le CER danois : ce que les entités critiques doivent savoir

La loi danoise sur la résilience des entités critiques (Lov om kritiske enheders modstandsdygtighed, communément appelée « CER danoise ») est entrée en vigueur le 1er juillet 2025. Cette loi transpose la directive européenne relative à la résilience des entités critiques (CER) et définit les exigences applicables aux organisations qui fournissent des services essentiels à la société.

L'objectif de ce cadre est clair : les services essentiels doivent rester opérationnels même en cas de perturbations majeures. Ces perturbations peuvent résulter de cyberattaques, d'actes de sabotage physique, de conditions météorologiques extrêmes, de défaillances de la chaîne d'approvisionnement, d'accidents, d'urgences sanitaires ou d'autres menaces.

Étant donné que la loi danoise sur la sécurité des réseaux d'information (CER) est entrée en vigueur parallèlement à la mise en œuvre de la directive NIS 2 au Danemark, les organisations ont souvent du mal à comprendre les liens entre ces deux cadres. Si tous deux visent à renforcer la résilience, ils traitent de types de risques différents et imposent des obligations distinctes.

Cet article explique qui peut être concerné par le CER danois, en quoi consiste la mise en conformité et en quoi ce cadre diffère de la directive NIS2.

Le CER danois couvre les entités critiques

Le CER danois s'applique aux organisations opérant dans des secteurs qui fournissent des services essentiels à la société. Ces secteurs correspondent en grande partie à ceux énumérés dans la directive européenne sur le CER et comprennent :

  • L'énergie
  • Transport
  • Infrastructures bancaires et des marchés financiers
  • Soins de santé
  • Eau potable
  • Eaux usées
  • Infrastructure numérique
  • Administration publique
  • L'espace
  • Production, transformation et distribution alimentaires

Dans le cadre du CER danois, les entités ne s'auto-désignent pas. C'est le ministre compétent de chaque secteur qui désigne officiellement les entités critiques à l'issue d'évaluations nationales des risques. Les décisions de désignation doivent être prises avant le 17 juillet 2026.

Lorsqu'elles évaluent des organisations, les autorités prennent en compte des facteurs tels que :

  • Les services essentiels fournis
  • L'impact sociétal potentiel de la disruption
  • Interdépendances entre les secteurs
  • Couverture géographique
  • Existence d'autres prestataires de services

Certaines organisations opérant dans plusieurs États membres de l'UE peuvent en outre être désignées comme des entités critiques revêtant une importance particulière au niveau européen.

Exception concernant le secteur de l'énergie

Le secteur de l'énergie s'inscrit dans un cadre de préparation distinct, régi par la loi sur le renforcement de la préparation dans le secteur de l'énergie, qui met en œuvre les exigences de la directive CER et de la directive NIS 2 par le biais d'une législation sectorielle spécifique. De ce fait, les opérateurs du secteur de l'énergie ne sont généralement pas soumis directement à la directive danoise CER. Les réglementations sectorielles applicables aux secteurs de l'énergie et des télécommunications devraient imposer des exigences supérieures aux seuils minimaux fixés par la directive CER.

Quelles sont les exigences du CER danois ?

Le CER danois repose sur une approche de la résilience couvrant tous les types de risques. Plutôt que de se concentrer uniquement sur la cybersécurité, les organisations doivent se préparer à faire face à un large éventail de menaces susceptibles de perturber les services essentiels.

Une fois désignée, une entité critique doit :

Réaliser une analyse des risques

Les organisations doivent identifier et évaluer les risques susceptibles d'affecter leur capacité à fournir des services essentiels. Ces évaluations doivent tenir compte des éléments suivants :

  • Risques naturels
  • Accidents
  • Sabotage et terrorisme
  • Menaces internes
  • Urgences de santé publique
  • Menaces hybrides
  • Perturbations de la chaîne d'approvisionnement

L'évaluation des risques constitue la base de toutes les mesures de résilience qui en découlent.

Élaborer et mettre à jour un plan de résilience

Sur la base de l'évaluation des risques, les organisations doivent mettre en place un plan de résilience décrivant comment elles comptent prévenir les perturbations, y faire face, y réagir et s'en remettre.

Mettre en place des mesures de résilience adaptées

Ce cadre exige la mise en place de mesures proportionnées aux risques encourus par l'organisation et à son rôle dans la société. Ces mesures comprennent généralement :

  • Mesures de sécurité physique
  • Procédures d'intervention en cas d'incident
  • Dispositifs de gestion de crise
  • Mesures de reprise et de continuité
  • Mesures de sécurité relatives au personnel
  • Procédures de coordination avec les autorités

Nommer un agent de liaison

Les entités critiques doivent désigner un interlocuteur chargé d'assurer la communication avec l'autorité compétente.

La résilience ne se limite pas à la continuité des activités

L'une des idées fausses les plus répandues concernant le CER est qu'il s'agit avant tout d'un cadre de continuité des activités.

En réalité, la continuité des activités n'est qu'un élément parmi d'autres de la résilience.

Dans le cadre du CER danois, la résilience désigne la capacité globale d'une organisation à :

  • Éviter les perturbations
  • Résister aux incidents
  • Répondre efficacement
  • Opérations de récupération
  • S'adapter aux menaces futures

La planification de la continuité des activités soutient les phases d'intervention et de reprise, mais la conformité exige également des mesures plus larges, telles que la sécurité physique, la sécurité du personnel, les activités de prévention et la gestion de crise.

Un plan de continuité des activités solide ne suffit pas à lui seul à satisfaire aux exigences de la CER. Le document requis est un plan de résilience qui couvre l'ensemble du cycle de vie des perturbations

CER danois vs NIS2 : quelle est la différence ?

Bien que les directives danoises CER et NIS2 soient étroitement liées, elles portent sur des risques et des obligations différents.

Quand faut-il signaler les incidents ?

En vertu de la loi danoise sur la résilience (CER), les entités critiques sont tenues de signaler les incidents qui perturbent de manière significative, ou sont susceptibles de perturber de manière significative, la fourniture de services essentiels.

Le processus de rapport suit généralement le calendrier suivant :

  • Notification initiale dans les 24 heures
  • Rapport détaillé dans un délai d'un mois

La directive NIS 2 prévoit une procédure différente pour les incidents de cybersécurité :

  • Alerte précoce dans les 24 heures
  • Notification des incidents dans les 72 heures
  • Rapport final dans un délai d'un mois

Ces deux cadres peuvent-ils s'appliquer ?

Oui.

Une cyberattaque qui perturbe un service essentiel peut entraîner des obligations au titre à la fois de la CER et de la directive NIS2.

Par exemple :

  • Une attaque par ransomware qui perturbe les services d'un hôpital peut devoir être signalée en vertu des deux cadres réglementaires.
  • Une inondation endommageant une station d'épuration relèverait généralement de la compétence exclusive de la CER.
  • Un incident cybernétique touchant une organisation relevant de la directive NIS 2 mais qui n'est pas désignée comme entité critique n'entraînerait que les obligations de notification prévues par la directive NIS 2.

Il convient de noter une distinction importante : les entités critiques au sens de la directive CER ne sont pas les mêmes que les entités essentielles au sens de la directive NIS2. Si ces catégories se recoupent, elles sont toutefois définies par des mécanismes juridiques différents et poursuivent des objectifs distincts.

Pour en savoir plus sur la notification des incidents NIS2, consultez notre article de blog dédié.

Outil gratuit de comparaison des cadres

Voir comment deux cadres de cybersécurité se chevauchent et diffèrent.

Essayez l'outil gratuit

Calendrier et prochaines étapes

Le CER danois est entré en vigueur le 1er juillet 2025, mais le processus de désignation se poursuivra jusqu'en 2026.

1er juillet 2025 : entrée en vigueur du CER danois

17 juillet 2026 : les autorités achèvent la désignation des entités critiques

Désignation + 9 mois : évaluation des risques terminée

Désignation + 10 mois : mise en œuvre du plan de résilience et des mesures de résilience

Les organisations qui s'attendent à être désignées devraient commencer leurs préparatifs avant même de recevoir une notification officielle. La mise en place d'un programme de résilience, la réalisation d'évaluations des risques et la documentation des mesures de résilience nécessitent souvent une coordination importante entre les équipes chargées de la sécurité, des opérations, de la conformité et de la direction.

Principaux enseignements

  • Le CER danois met en œuvre la directive européenne relative au CER et est applicable depuis le 1er juillet 2025.
  • Ce cadre met l'accent sur la résilience des services essentiels face à tous les types de menaces, et pas seulement aux cybermenaces.
  • Les entités critiques sont désignées par les autorités.
  • Les organisations doivent procéder à des évaluations des risques, mettre en œuvre des mesures de résilience et disposer d'un plan de résilience.
  • La continuité des activités n'est qu'un élément parmi d'autres du concept plus large de résilience.
  • Le CER et le NIS2 fonctionnent en parallèle, avec des canaux de notification et des obligations distincts.
  • Les organisations susceptibles d'être désignées devraient commencer leurs préparatifs bien avant la date limite de désignation fixée à juillet 2026.

Conclusion

Le CER danois propose une approche structurée visant à protéger les services essentiels contre un large éventail de menaces. Bien qu'il vienne compléter la directive NIS2, il répond à un défi différent : garantir la disponibilité des services critiques, que les perturbations soient dues à des cyberincidents, à des attaques physiques, à des catastrophes naturelles ou à des défaillances opérationnelles.

Pour les organisations susceptibles d'être désignées comme entités critiques, la priorité absolue est de mettre en place un programme de résilience qui aille au-delà de la continuité des activités et aborde la prévention, la protection, l'intervention et la reprise comme un tout cohérent.

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Plus d'articles dans la catégorie

05.06.2026

Comprendre le CER danois : ce que les entités critiques doivent savoir

Découvrez comment la loi danoise sur la résilience des entités critiques (CER Act) s'applique aux entités critiques, quelles obligations en matière de résilience elle impose, comment fonctionne la désignation, et en quoi ce cadre diffère de la directive NIS2 en termes de champ d'application, d'obligations de déclaration et d'obligations de conformité.
09.04.2026

La loi européenne sur l'IA : ce qu'elle implique et comment la mettre en œuvre

Guide de conformité à la loi européenne sur l'intelligence artificielle (loi sur l'IA) : définir les rôles, gérer les risques et la gouvernance, classer les IA à haut risque, respecter les obligations en matière de transparence et de marquage CE.
01.04.2026

La loi européenne sur l'IA et la norme ISO 42001 : différences, recoupements et comment les utiliser conjointement

La loi européenne sur l'IA face à la norme ISO 42001 : découvrez leurs principales différences, leurs points communs et comment les utiliser conjointement pour mettre en place une gouvernance de l'IA à la fois pratique et conforme.
Amélioration de la conformité sans effort
La plus grande bibliothèque de cadres de l'UE
Un soutien étendu

Obtenez votre base d'
s sur la conformité en quelques minutes.

Découvrez à quoi ressemble un ISMS basé sur l'IA dans la pratique.
Commencez un essai gratuit et voyez votre travail de conformité démarrer en quelques minutes.

Commencer un essai gratuit
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapportCentre fiduciaire
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsGestion de la vie privéeÉvaluation des fournisseursAudits internes
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoCentre fiduciaireBibliothèque de contenuGuidesBulletinLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité