NIS2 och CER – två EU-spår som möts i praktiken
CER (Critical Entities Resilience Directive) syftar till att stärka motståndskraften hos enheter som är kritiska för samhällsviktiga tjänster – över en bred palett av hot, där fysiska störningar, naturolyckor och andra risker står tillsammans med digital sårbarhet. NIS2 fokuserar på cybersäkerhet för samhällsviktiga och viktiga sektorer inom EU.
För många svenska aktörer är båda relevanta som kompletterande ramar: ni kan behöva visa både cybersäkerhetsmognad enligt NIS2 och bredare kontinuitet enligt CER-relaterat genomförande. Exakt hur kraven överlappar i svensk rätt följer lagstiftning och föreskrifter – använd den här sidan som översikt, inte som juridisk slutsats.
Primärkällor: CER-direktivet i EUR-Lex, NIS2-direktivet i EUR-Lex. MCF följer EU:s arbete: EU:s arbete inom cybersäkerhet (MCF).
Olika perspektiv, delvis samma aktörer
Organisationer som driver samhällsviktig infrastruktur kan samtidigt vara beroende av digitala system och av fysiska tillgångar – energi, transport, vattenförsörjning och mer. CER lyfter ofta frågor som tillgänglighet, redundans, skydd av anläggningar och krisledning, medan NIS2 driver systematiska cybersäkerhetsprocesser, incidentrapportering och leverantörsstyrning.
Genomförande i Sverige
CER genomförs genom nationell lagstiftning och myndighetspraxis. Följ utvecklingen via riksdag och berörda myndigheter. För NIS2-genomförandet, se NIS2 och cybersäkerhetslagen samt MCF:s roll.
Ett integrerat resilience-program
I stället för att bygga två isolerade compliance-program kan ledningen samla risker i en gemensam bild:
- Gemensam incidentledning med både IT och verksamhetskontinuitet.
- Övningar som blandar cyber-scenarier med fysiska störningar.
- Leverantörsbedömningar som tar hänsyn till både cybersäkerhet och fysisk leveransförmåga.
Läs vidare
NIS2 och Cyber Resilience Act (produktsäkerhet) · Vem omfattas av cybersäkerhetslagen?