Kontorsfakta och branschtips

CER-direktivet: så stärker du robustheten i samhällsviktiga och digitala tjänster

Det europeiska CER-direktivet är EU:s nya ramverk för att skydda samhällsviktiga och digitala tjänster mot störningar, sabotage och andra risker. Syftet är att säkerställa fungerande el, vatten, transporter, finansiella tjänster och annan kritisk infrastruktur även under press. I den här artikeln får du en genomgång av vad direktivet innebär, hur du som verksamhetsansvarig påverkas och hur du praktiskt kan ta nästa steg.

Vad innebär CER-direktivet i praktiken?

CER-direktivet ersätter och breddar delar av tidigare reglering genom att fokusera på resiliens, alltså verksamhetens förmåga att stå emot och återhämta sig från störningar. Det riktar sig till aktörer som tillhandahåller samhällsviktiga tjänster, exempelvis elnätsbolag, dricksvattenleverantörer, transporter, sjukvård, bank och finans, samt vissa digitala tjänster och datacenter. Direktivet ställer krav på riskanalys, proportionerliga säkerhetsåtgärder, incidentrapportering och kontinuitetsplanering. Målet är inte maximal säkerhet till varje pris, utan en riskbaserad nivå som står i rimlig proportion till hotbild och konsekvens.

I praktiken behöver organisationer kartlägga kritiska beroenden, exempelvis el- och nätförsörjning, nyckelleverantörer, fysiska skydd och tillgång till kompetens. Ett vanligt misstag är att fokusera på IT men underskatta fysiska risker, som intrång i anläggningar eller avbrott i logistik. En robust verksamhet binder samman informationssäkerhet, fysisk säkerhet, krisledning och leverantörsstyrning. Erfarenhetsmässigt fungerar gemensamma övningar med drift, säkerhet och ledning bäst för att identifiera praktiska brister innan skarpt läge uppstår.

Så kommer du igång: tre konkreta steg

1) Starta med en fokuserad risk- och beroendeanalys. Avgränsa till de processer som måste fungera inom 24 timmar för att undvika allvarlig påverkan på kunder eller samhälle. Kartlägg därefter tekniska och organisatoriska beroenden, inklusive personer i nyckelroller och deras ersättare. 2) Säkerställ grundläggande kontroller: redundans för kraft och nät, segmentering av kritiska system, åtkomststyrning, uppdateringsrutiner och fysiskt skydd. Små förbättringar som backup-tester varje månad och tydlig larmlista vid incidenter ger ofta stor effekt. 3) Förankra kontinuitetsplaner i ledningen och testa dem genom korta, realistiska övningar på 60 till 90 minuter. Dokumentera lärdomar, åtgärda gap och följ upp. Detta bygger både teknik- och beslutsförmåga över tid.

En regional vattenleverantör som vi arbetat med började med en endagsgenomlysning av sina mest kritiska processer. Analysen visade att deras största sårbarhet var en ensam kundtjänstväxel utan reservväg. Genom att införa en enkel omkoppling till en molnbaserad lösning och öva omställningstid med jouren minskade de risken för långa avbrott drastiskt. Poängen är att många åtgärder vilar på god planering och tydlig rollfördelning, inte bara dyr teknik.

Styrning, leverantörer och mätbara resultat

Många organisationer undrar hur de väver ihop styrning, kravställning mot leverantörer och uppföljning. Ett beprövat angreppssätt är att etablera ett litet styrningsramverk: policy för resiliens, roller och ansvar, minimikrav för skyddsåtgärder, samt en årlig plan för tester och revisioner. Integrera inköp tidigt så att avtal innehåller krav på redundans, svarstider vid incidenter och rätt att genomföra revision. På så vis blir efterlevnad en naturlig del av vardagen istället för ett separat projekt.

För att mäta framsteg kan du använda ett fåtal indikatorer: andel kritiska system med testad återställningstid, täckningsgrad för segmentering, tid till initial lägesbild vid incident och antal genomförda övningar per kvartal. Dessa nyckeltal driver rätt beteenden och gör det lättare för ledningen att prioritera. Här passar cer direktivet väl in, eftersom kraven uppmuntrar både mätbarhet och återkommande förbättring.

Sammanfattningsvis handlar CER-direktivet om att göra samhällsviktiga tjänster tåliga mot störningar utan att skapa onödig byråkrati. Börja med en skarp risk- och beroendeanalys, etablera grundläggande kontroller och bygg förmåga genom övning och uppföljning. Om du vill gå vidare, kartlägg din nuvarande mognad, sätt ett realistiskt årsprogram och involvera ledningen tidigt. Ta första steget idag och utforska hur din organisation kan arbeta mer strukturerat med CER-direktivets krav för att säkra leverans även när det oväntade inträffar.