Ramverk

Att förstå den danska CER: Vad kritiska enheter behöver veta

Läs mer om hur Danmarks CER-lag påverkar kritiska enheter, vilka krav på motståndskraft den inför, hur utnämningen går till och hur regelverket skiljer sig från NIS2 när det gäller tillämpningsområde, rapporteringskrav och efterlevnadskrav.

Cyberday
5 juni 2026
@

Artikelns innehåll

ISO 27001 insamling
Att förstå den danska CER: Vad kritiska enheter behöver veta
NIS2 samling
Att förstå den danska CER: Vad kritiska enheter behöver veta
Cyberday blogg
Att förstå den danska CER: Vad kritiska enheter behöver veta

Danmarks lag om kritiska enheters motståndskraft (Lov om kritiske enheders modstandsdygtighed, ofta kallad den danska CER-lagen) trädde i kraft den 1 juli 2025. Lagen genomför EU:s direktiv om kritiska enheters motståndskraft (CER-direktivet) och fastställer krav för organisationer som tillhandahåller samhällsviktiga tjänster.

Syftet med ramverket är tydligt: kritiska tjänster måste kunna fortsätta att fungera även vid allvarliga störningar. Dessa störningar kan orsakas av cyberattacker, fysiskt sabotage, extremväder, störningar i leveranskedjan, olyckor, folkhälsokriser eller andra hot.

Eftersom den danska CER-förordningen trädde i kraft samtidigt som Danmark införde NIS2 har organisationer ofta svårt att förstå hur de två regelverken hänger ihop. Även om båda syftar till att stärka motståndskraften, behandlar de olika typer av risker och ställer olika krav.

I den här artikeln förklaras vilka som kan beröras av det danska CER-systemet, vad efterlevnaden innebär och hur regelverket skiljer sig från NIS2.

Danska CER omfattar kritiska enheter

Den danska CER-förordningen gäller för organisationer som är verksamma inom sektorer som tillhandahåller samhällsviktiga tjänster. Dessa sektorer överensstämmer i stort sett med dem som anges i EU:s CER-direktiv och omfattar:

  • Energi
  • Transport
  • Bank- och finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Offentlig förvaltning
  • Utrymme
  • Livsmedelsproduktion, bearbetning och distribution

Enheterna identifierar inte sig själva enligt den danska CER-förordningen. Den behöriga ministern inom respektive sektor utser formellt kritiska enheter efter nationella riskbedömningar. Besluten om utnämning måste vara fattade senast den 17 juli 2026.

När myndigheterna utvärderar organisationer beaktar de faktorer som:

  • De grundläggande tjänster som tillhandahålls
  • De potentiella samhälleliga konsekvenserna av omvälvande förändringar
  • Samband mellan olika sektorer
  • Geografisk täckning
  • Tillgång till alternativa tjänsteleverantörer

Vissa organisationer som är verksamma i flera EU-medlemsstater kan dessutom utses till kritiska enheter av särskild europeisk betydelse.

Undantag för energisektorn

Energisektorn omfattas av ett separat beredskapssystem enligt lagen om förstärkt beredskap inom energisektorn, som genom särskild sektorsspecifik lagstiftning genomför både kraven i CER-direktivet och NIS2-direktivet. Detta innebär att energiföretag i allmänhet inte regleras direkt enligt den danska CER-lagen. Sektorsspecifika bestämmelser för energi- och telekomsektorn förväntas ställa krav som går utöver minimikraven i CER-direktivet.

Vad kräver den danska CER-standarden?

Den danska CER-modellen bygger på en helhetsstrategi för motståndskraft. Istället för att enbart fokusera på cybersäkerhet måste organisationerna förbereda sig för en rad olika hot som kan störa samhällsviktiga tjänster.

När en kritisk enhet har utsetts måste den:

Genomför en riskbedömning

Organisationer måste identifiera och utvärdera risker som kan påverka deras förmåga att tillhandahålla samhällsviktiga tjänster. Dessa bedömningar bör beakta följande:

  • Naturkatastrofer
  • Olyckor
  • Sabotage och terrorism
  • Interna hot
  • Folkhälsokriser
  • Hybridhot
  • Störningar i leveranskedjan

Riskbedömningen utgör grunden för alla efterföljande åtgärder för att stärka motståndskraften.

Utarbeta och upprätthålla en beredskapsplan

Utifrån riskbedömningen måste organisationerna upprätta en kontinuitetsplan som beskriver hur de ska förebygga, hantera, reagera på och återhämta sig efter störningar.

Vidta lämpliga åtgärder för att stärka motståndskraften

Ramverket kräver åtgärder som står i proportion till organisationens risker och roll i samhället. Dessa omfattar vanligtvis:

  • Fysiska säkerhetsåtgärder
  • Rutiner för hantering av incidenter
  • Åtgärder för krishantering
  • Åtgärder för återställning och kontinuitet
  • Säkerhetsåtgärder för personalen
  • Samordningsförfaranden med myndigheter

Utse en kontaktperson

Viktiga enheter måste utse en kontaktperson som ansvarar för kommunikationen med den behöriga myndigheten.

Motståndskraft är mer än bara verksamhetskontinuitet

En av de vanligaste missuppfattningarna om CER är att det i första hand är ett ramverk för verksamhetskontinuitet.

I själva verket är verksamhetskontinuitet bara en del av motståndskraften.

Enligt den danska CER-modellen avser resiliens en organisations övergripande förmåga att:

  • Förhindra störningar
  • Klara av incidenter
  • Svara på ett effektivt sätt
  • Återställningsåtgärder
  • Anpassa sig till framtida hot

Planering för verksamhetskontinuitet stödjer insats- och återställningsfaserna, men för att uppfylla kraven krävs även mer omfattande åtgärder, såsom fysisk säkerhet, personalsäkerhet, förebyggande åtgärder och krishantering.

En väl utarbetad kontinuitetsplan räcker inte i sig för att uppfylla CER:s krav. Det som krävs är en resiliensplan som täcker hela livscykeln för störningar

Danska CER jämfört med NIS2: Vad är skillnaden?

Även om den danska CER-förordningen och NIS2 är nära besläktade, behandlar de olika risker och skyldigheter.

När måste incidenter anmälas?

Enligt den danska CER-lagen måste kritiska enheter rapportera incidenter som väsentligt stör, eller som skulle kunna väsentligt störa, tillhandahållandet av samhällsviktiga tjänster.

Rapporteringen följer i allmänhet följande tidsplan:

  • Anmälan inom 24 timmar
  • En utförlig rapport inom en månad

NIS2 tillämpar en annan process vid cyberincidenter:

  • Tidigt varning inom 24 timmar
  • Anmälan av incidenter inom 72 timmar
  • Slutrapport inom en månad

Kan båda ramverken tillämpas?

Ja.

En cyberattack som stör en samhällsviktig tjänst kan medföra skyldigheter enligt både CER och NIS2.

Till exempel:

  • En ransomware-attack som stör sjukhusets verksamhet kan behöva anmälas enligt båda regelverken.
  • En översvämning som skadar ett vattenreningsverk skulle i regel endast omfattas av CER.
  • En cyberincident som drabbar en organisation som omfattas av NIS2 men som inte har utsetts till en kritisk enhet skulle endast utlösa rapporteringsskyldigheter enligt NIS2.

En viktig skillnad är att kritiska enheter enligt CER inte är detsamma som väsentliga enheter enligt NIS2. Kategorierna överlappar varandra, men de fastställs genom olika rättsliga mekanismer och tjänar olika syften.

Läs mer om incidentrapportering enligt NIS2 i vårt separata blogginlägg.

Gratis verktyg för jämförelse av ramverk

Se hur två cybersäkerhetsramverk överlappar och skiljer sig åt.

Prova det kostnadsfria verktyget

Tidsplan och nästa steg

Den danska CER-förordningen trädde i kraft den 1 juli 2025, men utnämningsprocessen pågår fram till och med 2026.

1 juli 2025: Det danska CER-systemet träder i kraft

17 juli 2026: Myndigheterna slutför utnämningen av kritiska enheter

Beteckning + 9 månader: Riskbedömningen är slutförd

Beteckning + 10 månader: Åtgärdsplan för motståndskraft och åtgärder för motståndskraft har genomförts

Organisationer som förväntar sig att bli utsedda bör påbörja förberedelserna redan innan de får ett formellt meddelande. Att ta fram ett program för motståndskraft, genomföra riskbedömningar och dokumentera åtgärder för motståndskraft kräver ofta ett omfattande samarbete mellan säkerhets-, drifts-, efterlevnads- och ledningsgrupper.

Viktiga slutsatser

  • Det danska CER-systemet genomför EU:s CER-direktiv och har tillämpats sedan den 1 juli 2025.
  • Ramverket fokuserar på viktiga tjänsters motståndskraft mot alla typer av hot, inte bara cyberhot.
  • Kritiska enheter utses av myndigheterna.
  • Organisationer måste genomföra riskbedömningar, vidta åtgärder för att stärka motståndskraften och upprätthålla en beredskapsplan.
  • Kontinuitet i verksamheten är bara en del av det bredare begreppet resiliens.
  • CER och NIS2 fungerar parallellt, med separata rapporteringskanaler och skyldigheter.
  • Organisationer som förväntas bli utsedda bör påbörja sina förberedelser i god tid före tidsfristen för utnämningen i juli 2026.

Slutsats

Den danska CER-strategin inför en strukturerad metod för att skydda samhällsviktiga tjänster mot ett brett spektrum av hot. Den kompletterar visserligen NIS2, men tar upp en annan utmaning: att säkerställa att kritiska tjänster förblir tillgängliga oavsett om störningarna beror på cyberincidenter, fysiska attacker, naturkatastrofer eller driftsstörningar.

För organisationer som riskerar att klassas som kritiska enheter är den viktigaste prioriteringen att ta fram ett program för motståndskraft som sträcker sig längre än enbart verksamhetskontinuitet och som behandlar förebyggande åtgärder, skydd, insatser och återställning som en sammanhängande helhet.

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Fler artiklar i kategorin

05.06.2026

Att förstå den danska CER: Vad kritiska enheter behöver veta

Läs mer om hur Danmarks CER-lag påverkar kritiska enheter, vilka krav på motståndskraft den inför, hur utnämningen går till och hur regelverket skiljer sig från NIS2 när det gäller tillämpningsområde, rapporteringskrav och efterlevnadskrav.
09.04.2026

EU:s AI-lag: Vad den innebär och hur den ska tillämpas

Vägledning för efterlevnad av EU:s lag om artificiell intelligens (AI-lagen): kartlägg roller, hantera risker och styrning, klassificera AI med hög risk samt uppfylla skyldigheterna avseende öppenhet och CE-märkning.
01.04.2026

EU:s AI-lag och ISO 42001: skillnader, överlappningar och hur man använder dem tillsammans

EU:s AI-lagstiftning kontra ISO 42001: lär dig de viktigaste skillnaderna, var de överlappar varandra och hur du kan använda båda för att skapa en praktisk och regelkonform AI-styrning.
Enkel förbättring av efterlevnaden
EU:s bredaste ramverksbibliotek
Omfattande support

Skaffa din grundläggande kunskap om efterlevnads
er på några minuter.

Lär dig hur ett AI-drivet ISMS fungerar i praktiken.
Starta en kostnadsfri provperiod och se hur ditt compliancearbete kommer igång på några minuter.

Påbörja gratis provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapporteringFörtroendecenter
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Genom metodHantering av cyberriskerMedvetenhet hos anställdaRapportering av efterlevnadKontrollhanteringFörvaltning av tillgångarSekretesshanteringUtvärderingar av leverantörerInternrevisioner
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserFörtroendecenterInnehållsbibliotekGuiderNyhetsbrevLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
tcyberdayerday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet