CER-loven

CER-loven

CER-loven gennemfører EU's CER-direktiv om kritiske enheders modstandsdygtighed og trådte i kraft 1. juli 2025. Loven retter sig mod virksomheder og myndigheder, der leverer samfundsvigtige tjenester inden for transport, sundhed, drikkevand, fødevarer og seks andre sektorer. Bliver en enhed udpeget som kritisk, skal den lave en risikovurdering, en modstandsdygtighedsplan og sikre sig fysisk mod alt fra ekstremvejr til sabotage. Hvor NIS2 dækker det digitale, handler CER-loven om den fysiske modstandskraft.

De vigtigste krav

Risikovurdering af alle relevante risici

Den kritiske enhed skal vurdere alle relevante risici for sine væsentlige tjenester - både naturskabte og menneskeskabte, herunder ekstremvejr, ulykker, sabotage og afhængigheder af andre sektorer. Vurderingen skal holdes ajour.

§ 5

Modstandsforanstaltninger og modstandsdygtighedsplan

Enheden skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger - blandt andet fysisk sikring, krisestyring, genopretning og personalesikkerhed - og have en modstandsdygtighedsplan, der beskriver de trufne foranstaltninger.

§ 6

Underretning ved betydelige hændelser

Enheden skal underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller kan forstyrre leveringen af en væsentlig tjeneste.

§ 8

Kontaktperson over for myndigheden

Enheden skal udpege en kontaktperson og give den kompetente myndighed dennes kontaktoplysninger.

§ 7

Er I omfattet?

CER-loven gælder ikke for alle. Den omfatter virksomheder og offentlige myndigheder, som den sektoransvarlige myndighed udpeger som kritiske enheder inden for 10 samfundsvigtige sektorer. Udpegningen sker på baggrund af enhedens betydning for samfundet - ikke ud fra dens størrelse. Frem til at du eventuelt bliver udpeget og underrettet, gælder lovens pligter ikke for dig.

Henter typer ...

Vælg en type for at se kravene.

Sådan hjælper Forberedt

Beredskabsfundamentet på plads

  • Risiko- og sårbarhedsvurdering
  • Beredskabsplan med struktur og indhold
  • Indsatsplaner for de relevante hændelser
  • Øvelser og versionering til dokumentation

Den konkrete tilpasning løser vi med rådgivning. Kontakt os →

Centrale begreber

Sektoransvarsprincippet

Tilsynet er ikke samlet ét sted. Hver sektor har sin egen sektoransvarlige myndighed (kaldet kompetent myndighed), som udpeger kritiske enheder og fører tilsyn inden for sit område. Styrelsen for Samfundssikkerhed (SAMSIK) er koordinerende myndighed på tværs.

Kritisk enhed

En kritisk enhed er en virksomhed eller offentlig myndighed, som leverer en væsentlig tjeneste, og som en sektoransvarlig myndighed har udpeget. Pligterne i loven indtræder først, når enheden er udpeget og underrettet.

Tilsyn og ansvar

Sektoransvarlig (kompetent) myndighed fører tilsyn

Tilsynet følger sektoransvarsprincippet: den kompetente myndighed i den enkelte sektor (typisk det relevante ressortministerium eller en styrelse herunder) fører tilsyn med kritiske enheders overholdelse af loven og kan udstede påbud efter § 15. Der er ikke én samlet tilsynsmyndighed for alle sektorer.

Styrelsen for Samfundssikkerhed (SAMSIK) koordinerer

SAMSIK under Ministeriet for Samfundssikkerhed og Beredskab er koordinerende myndighed. Styrelsen understøtter samarbejdet mellem de sektoransvarlige myndigheder og vejleder, men fører ikke selv tilsyn med de enkelte enheder i sektorerne.

Frister og datoer

2025-07-01
CER-loven træder i kraft (§ 18).
2026-07-17
De sektoransvarlige myndigheder skal efter direktivet have udpeget kritiske enheder.
Løbende
Efter udpegning og underretning har enheden cirka 9-10 måneder til at opfylde lovens materielle krav (blandt andet risikovurdering og modstandsdygtighedsplan).

Samspil mellem reglerne

CER-loven dækker fysisk modstandsdygtighed for udpegede kritiske enheder, mens NIS2 dækker deres cybersikkerhed - de to følges typisk ad. Energisektoren er ikke omfattet af CER-loven, men reguleres separat via energiberedskabsloven. CER er bredere og mere strategisk end den almindelige beredskabsplanlægning efter beredskabsloven. For den finansielle sektor viger CER for DORA og NIS2, og for virksomheder med farlige stoffer suppleres billedet af Seveso-reglerne. ISO 22301 er en frivillig standard, der kan bruges som metodisk ramme til at opfylde kravene om risikovurdering og modstandsdygtighedsplan.

EU-direktiver og -forordningerNIS2 · CER · Seveso · DORA → gennemføres i dansk retFYSISK BEREDSKABBeredskabslovenEnergiberedskabSundhedsberedskabVandsektorEpidemilovenCYBER OG KRITISKE ENHEDERNIS2-lovenCER-lovenDORABYGGERI, ARBEJDE OG FARLIGE STOFFERBR18APVRisikobek. (Seveso)Frivillige standarder: ISO 22301 · ISO 31000Understøtter alle reglerne med metode til risikostyring og forretningskontinuitet

Ofte stillede spørgsmål

Hvornår trådte CER-loven i kraft?

CER-loven (lov nr. 433 af 6. maj 2025) trådte i kraft 1. juli 2025. Lovens pligter gælder dog først for en enhed, når den er blevet udpeget som kritisk enhed og underrettet om det. De sektoransvarlige myndigheder skal efter direktivet udpege kritiske enheder senest 17. juli 2026.

Er min virksomhed omfattet af CER-loven?

Kun hvis den sektoransvarlige myndighed udpeger jer som kritisk enhed inden for en af de 10 sektorer. Udpegningen sker ud fra jeres betydning for samfundet, ikke jeres størrelse. Bliver I udpeget, modtager I en underretning, og pligterne om risikovurdering, modstandsdygtighedsplan med videre indtræder herefter. Bemærk, at energisektoren ikke er omfattet af CER-loven, men reguleres separat via energiberedskabsloven.

Hvad er forskellen på CER-loven og NIS2?

CER-loven handler om fysisk modstandsdygtighed - sikring mod fysiske trusler, ulykker, ekstremvejr og sabotage. NIS2 handler om cybersikkerhed. Bliver din enhed udpeget som kritisk efter CER, er den som udgangspunkt også omfattet af NIS2-kravene. De to regelsæt supplerer hinanden.

Skal I arbejde med jeres beredskab?

Få en uforpligtende gennemgang af, hvad der gælder for jer, og hvordan I dokumenterer beredskabet.

Kontakt for en gennemgang