CER-direktivet: Ny lagstiftning om motståndskraft på väg under 2026

Publicerat av: Daniel Löfstedt ·

EU:s direktiv om kritiska entiteters motståndskraft, det så kallade CER‑direktivet, innebär nya krav på hur samhällsviktiga verksamheter ska arbeta med fysisk säkerhet, personalsäkerhet och förmåga att upprätthålla verksamheten vid allvarliga störningar. I Sverige pågår nu det sista steget i arbetet med att införa direktivet i nationell lagstiftning. Regeringen har gett Myndigheten för civilt försvar (MCF) i uppdrag att förbereda genomförandet av CER‑direktivet i svensk rätt.

I det svenska förslaget pekas Myndigheten för civilt försvar ut som samordnande myndighet, medan Energimyndigheten föreslås få tillsynsansvar för energisektorn. Inom energisektorn berörs exempelvis el‑, gas‑ och fjärrvärmeverksamhet.

Inom ramen för regeringsuppdraget ska Myndigheten för civilt försvar, i dialog med andra berörda myndigheter, nu förbereda arbetet med att ta fram föreskrifter inom fem centrala områden:

  1. Vad som ska räknas som en incident
  2. Vad som utgör en betydande störande effekt
  3. Vilka åtgärder som krävs för att stärka motståndskraften, inklusive bakgrundskontroller
  4. Hur riskbedömningar ska genomföras
  5. Hur incidenter ska rapporteras

Uppdraget ska muntligen slutredovisas till regeringskansliet senast den 1 augusti 2026.

Nya krav för kritiska verksamhetsutövare

När CER‑direktivet genomförts i svensk lag kommer verksamheter som identifieras som kritiska entiteter att omfattas av nya skyldigheter. Det handlar bland annat om att:

  • Genomföra och regelbundet uppdatera riskbedömningar som omfattar alla relevanta hot
  • Vidta organisatoriska, tekniska och säkerhetsmässiga åtgärder för att förebygga och hantera störningar
  • Arbeta systematiskt med personalsäkerhet och skydd av anläggningar
  • Rapportera incidenter som kan få betydande konsekvenser för verksamheten

Till skillnad från cybersäkerhetslagen (NIS2) finns inga storleksgränser – avgörande är om verksamheten tillhandahåller en samhällsviktig tjänst.

Nära koppling till NIS2-direktivet

CER‑direktivet är ett så kallat systerdirektiv till NIS2. Det innebär att verksamheter som omfattas av CER i praktiken också omfattas av kraven i cybersäkerhetslagen. Tillsammans syftar regelverken till att stärka både den digitala och den fysiska motståndskraften i samhällsviktiga verksamheter.

Vad bör företag göra nu?

– Trots att lagstiftningen ännu inte är beslutad, är det klokt att redan nu börja analysera hur CER-kraven kan påverka den egna verksamheten. För många företag blir nästa steg att fortsätta utveckla kontinuitetsplanering, personalsäkerhet och fysiskt skydd – och samtidigt säkerställa att detta arbete går hand i hand med de krav som ställs enligt nya cybersäkerhetslagen, säger Emma Johansson ansvarig för säkerhetsfrågor på Energiföretagen Sverige.

Energiföretagen följer lagstiftningsprocessen och återkommer med mer information och vägledning när den svenska regleringen är beslutad.

Mer information 

Regeringsuppdrag: Myndigheten för civilt försvar ska förbereda genomförandet av CER‑direktivet

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energi & Politik
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se