Nyheder fra DBI
Vær altid opdateret
Gå til Nyhedsoversigten

”I virkeligheden er CER-direktivet jo bare udtryk for sund fornuft”

Udgivet: 30. oktober 2024

Det er grundlæggende en god idé at forberede sin virksomhed på kriser, uanset om et EU-direktiv kræver det, og uanset om man er en del af såkaldt kritisk infrastruktur. Så se at komme i gang med opgaven, lød budskabet på DBI’s konference om CER-direktivet.

Gem artikel Artikel gemt
Vej på landet oversvømmet med vand, og afspærret med skilt og hegn.

- Okay, op med hænderne: Hvor mange af jer har preppet lidt derhjemme? Hvor mange af jer har vand og mad til tre dage, hvis strømmen går? lyder det fra lederen af DBI’s afdeling for sikring og resiliens, Jesper Florin, da det bliver hans tur til at holde oplæg på DBI’s velbesøgte konference om CER-direktivet.

Et hurtigt blik ud over forsamlingen afslører, at et pænt flertal af deltagerne har fulgt Beredskabsstyrelsens anbefalinger om at kunne klare sig i tre døgn derhjemme, hvis krisen skulle ramme.

- Super. For det er jo et scenarie, regeringen anser for realistisk. Men hvor mange af jer har så nedskrevne planer for, hvordan jeres virksomhed kan klare sig i tre dage uden strøm? fortsætter Jesper Florin.

»Hvor mange af jer har vand og mad til tre dage, hvis strømmen går?«

Denne gang er der ikke mange labber i vejret, og øjnene flakker nervøst rundt i lokalet hos dem med hænderne nede, da de bliver ramt af erkendelsen af, at strømmen på arbejdet nok også er væk, hvis den mangler hjemme i privaten.

Men Jesper Florin er ikke færdig med at gnubbe salt i såret:

- Jeg ved godt, at mange af jer har en UPS (Uninteruptible Power Supply eller batteribackup, red.) i virksomheden. Men har I testet, om it-afdelingen kan nå at lukke serverne ned i god ro og orden, før batterierne dør? Jeg kan f.eks. fortælle, at DBI nu har dobbelt så mange batterier i UPS’en, som før jeg testede.

Virksomhedens overlevelse er på spil
Pointen i ovenstående lille udveksling fra DBI’s CER-konference 27. september er ikke til at tage fejl af. Uanset om ens virksomhed bliver omfattet af CER-direktivet eller ej, er virksomhedens resiliens – dvs. evnen til at tilpasse sig skiftende forhold og opståede kriser – vigtig for, at virksomheden overlever på langt sigt.

CER-direktivet (Critical Entities Resilience Directive) stiller krav til modstandsdygtighed for udpegede kritiske enheder. Kravene indebærer både tekniske og organisatoriske tiltag, og direktivet er et vigtigt element i arbejdet mod et mere robust og resilient EU. Implementeringen i dansk lovgivning er endnu en gang blevet forsinket, og forventningen er nu, at en række lovforslag for de forskellige berørte sektorer skal i folketingssalen til februar 2025.

- Det kan godt være, at det lyder tungt og bureaukratisk med direktiver, høringsfrister og lovforslag. Men i virkeligheden er CER-direktivet – og for den sags skyld også NIS2-direktivet – jo bare udtryk for sund fornuft. Alle virksomheder og organisationer bør tage stilling til, hvordan man forholder sig i en krisesituation, siger Jesper Florin.

CER direktiv
Nyt CER-direktiv skal styrke kritisk infrastruktur i EU

Gå i gang med forberedelserne nu

I alt forventes det, at myndighederne vil udpege omkring 1.000 danske virksomheder til at være kritisk infrastruktur og dermed omfattet af loven. Men selvom den endelige lovtekst altså stadig mangler, og den endelige udpegning først vil ske i juli 2026, opfordrer Jesper Florin til, at man som virksomhed går i gang med at forberede sig allerede nu.

»CER-direktivet stiller krav om, at de omfattede kritiske enheder har en plan for modstandsdygtighed.«

- CER-direktivet stiller krav om, at de omfattede kritiske enheder har en plan for modstandsdygtighed, og at den også kan anvendes i praksis. En sådan plan kan bl.a. indbefatte risiko- og sårbarhedsvurderinger, beredskabsplaner, krisestyring, planer for fortsat drift, fysisk sikring, adgangskontrol, sikkerhedskultur og baggrundstjek af medarbejdere, så der er sådan set rigeligt at gå i gang med, siger Jesper Florin.

25.000 danske virksomheder bliver ramt

Og hvis du tror, at du kan ånde lettet op, fordi din virksomhed eller organisation ikke vil havne blandt de anslået 1.000-1.500 udpegede, kan du godt tro om igen. For selvom CER-direktivet ikke direkte stiller mindstekrav til de udpegede virksomheders forsyningskæder, er det ifølge Jesper Florin i praksis meget svært at forestille sig, at leverandørsikkerhed ikke kommer til spille en betydelig rolle, når det gælder om at sikre modstandsdygtige forsyningskæder.

- Vi forventer, at lovgivningen vil have en afsmittende effekt på op mod 25.000 underleverandører. De udpegede virksomheder vil utvivlsomt stille en hulens masse krav om alt fra at følge f.eks. ISO 223XX-standarderne om Security and Resilience til krav om planer for håndtering af insiderproblematikker, eller måske stille krav til virksomhedens fysiske sikring i udbudsmaterialer, lyder det fra Jesper Florin. Han påpeger, at man ultimativt risikerer at blive fravalgt som leverandør, hvis ikke virksomheden lever op til de stillede krav.

Tilbage i konferencesalen er dagen ved at være slut. Spørgelysten har dagen igennem været stor, men fordi den danske lovgivning dels lider under at være forsinket, dels skal implementeres som separat lovgivning i 10 sektorer, har de ellers meget kompetente og kyndige oplægsholdere i en del tilfælde måttet returnere spørgsmålet med et ”Det ved vi ikke endnu” eller et ”Når loven er på plads, bliver vi meget klogere”.

Læs mere om tidsplanen for implementering af CER-direktivet og om de krav, CER-direktivet stiller til din virksomhed HER


CER & NIS2BeredskabResiliensSikring
Jesper Florin
Jesper Florin Afdelingsleder - Sikringsafdelingen Eksamineret Sikringsleder®, Certified CBCP, DRII
51 35 37 07 jfl@brandogsikring.dk

Relaterede artikler

Se alle
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

Nyt EU-direktiv skærper kravet til cybersikkerhed
CER direktiv

Nyt CER-direktiv skal styrke kritisk infrastruktur i EU

NIS2 nærmer sig: Er din virksomhed klar?
NIS2: Sådan fortsætter du driften, hvis skaden sker

NIS2: Sådan fortsætter du driften, hvis skaden sker
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

NIS2: Ved du, hvordan du skal håndtere hændelser?

Ny DBI-konference giver indsigt i CER-krav
Den nye minister for samfundssikkerhed og beredskab Torsten Schack Pedersen (t.h.) bliver budt velkommen i ministerkredsen af forsvarsminister Troels Lund Poulsen.

DBI hilser ministerium for samfundssikkerhed og beredskab velkommen
NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler

NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler
NIS2: Kryptering er et krav

NIS2: Kryptering er et krav

Relaterede kurser

Se alle
Resiliens: Fra beredskab og krisestyring til fortsat drift

I en verden præget af stigende usikkerhed, globale kriser og uforudsigelige hændelser bliver beredskabsplanlægning, krisestyring og fortsat drift stadig vigtigere for virksomheder og organisationer.Dette forløb består af tre kurser og giver deltagerne praktiske værktøjer og strategier til at navigere i et komplekst risikobillede, herunder naturkatastrofer, cyberangreb, pandemier og andre kritiske hændelser, der truer virksomhedernes evne til at operere og eksistere.Modul 1: Beredskabsplanlægning i praksis: Beredskabsplanlægning handler om at udvikle et robust internt beredskab med dertilhørende planer, der gør din virksomhed/organisation i stand til at forberede sig på og reagere effektivt over for forskellige risici.I en tid, hvor trusler kan opstå fra både interne og eksterne kilder, vil deltagerne på kurset lære at identificere relevante risici og udarbejde strategier, der minimerer deres potentielle påvirkning på den daglige drift. Modul 2: Krisestyring i praksis: Krisestyring træner deltagerne i hurtigt og effektivt at håndtere krisesituationer for at beskytte virksomhedens/organisationens medarbejdere, værdier og omdømme. I en verden præget af uforudsigelige hændelser er det afgørende at kunne organisere en effektiv krisestyring og kommunikere klart under pres. Kurset i krisestyring i praksis har i høj grad fokus på håndtering af en kritisk hændelse på ledelsesniveau. Modul 3: Business Continuity: Med et kursus i plan for fortsat drift sikres det, at virksomheder/organisationer kan opretholde deres vigtigste aktiviteter og fortsætte driften, selv når de står over for alvorlige forstyrrelser. I en globaliseret økonomi, hvor sammenbrud i forsyningskæder og markedsfluktuationer er udbredte, er det vitalt at have en plan for fortsat drift for at beskytte virksomhedens bundlinje og fastholde kunderne.Kursusmål: At styrke deltagernes evne til at udvikle og implementere effektive strategier inden for beredskabsplanlægning, krisestyring og forretningskontinuitet. Målet er, at de kan beskytte deres virksomhed eller organisation mod et bredt spektrum af globale udfordringer og sikre deres langsigtede succes.Du sparer 5.663 kr. ved at købe kurserne/modulerne som en samlet pakke, men de kan også tages enkeltvis:BeredskabsplanlægningKrisestyringBusiness Continuity

Krisestyring i praksis

Krisestyring i praksis er et kursus for dig, der har ingen eller kun lidt erfaring med at håndtere hændelser, som kan true virksomhedens evne til at producere eller eksistere.Kurset er designet til at styrke dine kompetencer inden for krisestyring og tænke ”next step”, hvilket bidrager til at beskytte virksomhedens ansatte, værdier og bundlinje.Krisestyring er et strategisk og taktisk værktøj til at sikre virksomhedens fortsatte drift på bedst mulig vis ved påvirkning af en potentiel kritisk hændelse.Som deltager får du effektive værktøjer til at opbygge, organisere og gennemføre krisestyring i overensstemmelse med virksomhedens beredskabsplan.

Business Continuity (fortsat drift)

Et kursus i fortsat drift styrker virksomhedens evne til at levere produkter og service kontinuerligt, selv under kriser, og bidrager til at fastholde eksisterende kunder samt tiltrække nye forretningsmuligheder. En effektiv plan for fortsat drift beskytter ikke kun bundlinjen, men også virksomhedens forretningsinteresser, hvilket gør det til en hjørnesten i god virksomhedsstyring og en klog forretningsinvesteringDeltagerne på dette kursus får praktiske værktøjer til at sikre medarbejdere og driften under krisesituationer, samt træning i at opretholde kritiske leverancer med minimal påvirkning af de væsentligste forretningsaktiviteter.

Beredskabsplanlægning i praksis

Effektiv beredskabsplanlægning beskytter ikke kun virksomhedens ansatte og værdier, men sikrer også forretningskontinuiteten. En stærk beredskabskultur er hjørnestenen i håndteringen af hændelser og udgør samtidig en klog forretningsinvestering.Beredskabsplanlægning i praksis er et kursus for dig, uanset om du er nybegynder eller har flere års erfaring i opbygningen af et beredskab, og som ønsker at styrke dine faglige kompetencer inden for beredskabsplanlægning.Du får effektive værktøjer til at identificere risici ved hændelser, som kan påvirke driften, til at planlægge beredskabet ved sådanne hændelser, og til at maksimere læring og forbedringer gennem evalueringer efter en hændelse

OPRET DIG SOM BRUGER OG HOLD DIG OPDATERET PÅ NYHEDER OM BRAND OG SIKRING