Kort version

CER-direktivet genomförs i Sverige genom den föreslagna lagen om motståndskraft hos kritiska verksamhetsutövare (LOM). Lagförslaget bereds av Myndigheten för civilt försvar (MCF) med slutredovisning 1 augusti 2026. Bolag inom elva sektorer — energi, transport, dricksvatten, livsmedel med flera — kan få ett myndighetsbeslut om att de är kritiska. Beslutet medför krav på risk- och sårbarhetsanalys, motståndskraftsplan, incidentrapportering inom 24 timmar och en realistisk övning vartannat år. Den som redan har NIS2-koll men saknar fysisk beredskapsplanering har ett gap som behöver täppas innan identifieringsbesluten kommer 2027.

Utpekningsmodellen

Under NIS2 avgör bolaget självt om det omfattas och anmäler sig. CER fungerar tvärtom. MCF och sektorsmyndigheterna identifierar vilka verksamhetsutövare som är kritiska och skickar ett formellt beslut. Beslutet är överklagbart, men erfarenheten från andra EU-länder visar att invändningar sällan leder till undantag. Bolaget behöver räkna med att beslut kommer att baseras på marknadsandel, geografisk koncentration och om verksamheten saknar realistiska substitut vid bortfall.

De fem kärnkraven

  1. Risk- och sårbarhetsanalys minst vart fjärde år och vid väsentliga förändringar. Inte en IT-riskanalys — den ska täcka fysiska hot, klimatrisker, insiderhot och försörjningsberoenden.
  2. Motståndskraftsplan som beskriver perimeterskydd, redundans för kritiska funktioner, personalsäkerhet och samverkansrutiner med andra aktörer och myndigheter.
  3. Incidentrapportering till tillsynsmyndigheten: 24 timmar för tidig varning, 72 timmar för fullständig rapport. Tidsramarna speglar NIS2, men händelserna som triggar rapportering är fysiska: intrång, sabotage, naturhändelser, strömavbrott.
  4. Säkerhetsprövning av nyckelpersonal. Utökat ansvar att verifiera personer i kritiska roller. Prövningen ska följa GDPR (EU:s dataskyddsförordning), men den ska göras — och dokumenteras.
  5. Övning minst vartannat år, med realistiskt scenario och deltagande av relevanta myndigheter. Kravet avser praktiska övningar, inte enbart skrivbordsövningar.

CER och NIS2 — samordning i praktiken

Bolag som omfattas av båda regelverken ska inte bygga parallella system. Den fysiska skyddsdelen och den digitala skyddsdelen samordnas i samma riskanalys och samma beredskapsplan. Tillsynen samordnas per sektor. Men det förutsätter att bolaget redan har en integrerad syn. De som har separata organisationer för informationssäkerhet (under CISO, Chief Information Security Officer) och fysisk säkerhet utan gemensam riskprocess behöver integrera dessa innan tillsynen börjar.

Vad bolag bör göra

  1. Gör en intern bedömning: finns ni inom de elva sektorerna, har ni dominerande marknadsandel eller saknar verksamheten substitut vid bortfall? Om svaret är ja på två av tre, planera för att ni blir utpekade.
  2. Granska den befintliga NIS2-riskanalysen. Täcker den fysiska hot, klimatrelaterade risker och personalrelaterade scenarier? Om inte, utvidga den före ett eventuellt identifieringsbeslut.
  3. Identifiera nyckelpersoner som saknar dokumenterad säkerhetsprövning. Börja med de roller som har obevakad fysisk åtkomst till kritisk infrastruktur.
  4. Lägg in CER-anpassade krav i nya kontrakt med driftsleverantörer: krav på redundans, incidentrapporteringsplikt och rätt till insyn vid tillsynsärenden.

Källor