”I virkeligheden er CER-direktivet jo bare udtryk for sund fornuft”
Udgivet: 30. oktober 2024Det er grundlæggende en god idé at forberede sin virksomhed på kriser, uanset om et EU-direktiv kræver det, og uanset om man er en del af såkaldt kritisk infrastruktur. Så se at komme i gang med opgaven, lød budskabet på DBI’s konference om CER-direktivet.
- Okay, op med hænderne: Hvor mange af jer har preppet lidt derhjemme? Hvor mange af jer har vand og mad til tre dage, hvis strømmen går? lyder det fra lederen af DBI’s afdeling for sikring og resiliens, Jesper Florin, da det bliver hans tur til at holde oplæg på DBI’s velbesøgte konference om CER-direktivet.
Et hurtigt blik ud over forsamlingen afslører, at et pænt flertal af deltagerne har fulgt Beredskabsstyrelsens anbefalinger om at kunne klare sig i tre døgn derhjemme, hvis krisen skulle ramme.
- Super. For det er jo et scenarie, regeringen anser for realistisk. Men hvor mange af jer har så nedskrevne planer for, hvordan jeres virksomhed kan klare sig i tre dage uden strøm? fortsætter Jesper Florin.
»Hvor mange af jer har vand og mad til tre dage, hvis strømmen går?«
Denne gang er der ikke mange labber i vejret, og øjnene flakker nervøst rundt i lokalet hos dem med hænderne nede, da de bliver ramt af erkendelsen af, at strømmen på arbejdet nok også er væk, hvis den mangler hjemme i privaten.
Men Jesper Florin er ikke færdig med at gnubbe salt i såret:
- Jeg ved godt, at mange af jer har en UPS (Uninteruptible Power Supply eller batteribackup, red.) i virksomheden. Men har I testet, om it-afdelingen kan nå at lukke serverne ned i god ro og orden, før batterierne dør? Jeg kan f.eks. fortælle, at DBI nu har dobbelt så mange batterier i UPS’en, som før jeg testede.
Virksomhedens overlevelse er på spil
Pointen i ovenstående lille udveksling fra DBI’s CER-konference 27. september er ikke til at tage fejl af. Uanset om ens virksomhed bliver omfattet af CER-direktivet eller ej, er virksomhedens resiliens – dvs. evnen til at tilpasse sig skiftende forhold og opståede kriser – vigtig for, at virksomheden overlever på langt sigt.
CER-direktivet (Critical Entities Resilience Directive) stiller krav til modstandsdygtighed for udpegede kritiske enheder. Kravene indebærer både tekniske og organisatoriske tiltag, og direktivet er et vigtigt element i arbejdet mod et mere robust og resilient EU. Implementeringen i dansk lovgivning er endnu en gang blevet forsinket, og forventningen er nu, at en række lovforslag for de forskellige berørte sektorer skal i folketingssalen til februar 2025.
- Det kan godt være, at det lyder tungt og bureaukratisk med direktiver, høringsfrister og lovforslag. Men i virkeligheden er CER-direktivet – og for den sags skyld også NIS2-direktivet – jo bare udtryk for sund fornuft. Alle virksomheder og organisationer bør tage stilling til, hvordan man forholder sig i en krisesituation, siger Jesper Florin.
Gå i gang med forberedelserne nu
I alt forventes det, at myndighederne vil udpege omkring 1.000 danske virksomheder til at være kritisk infrastruktur og dermed omfattet af loven. Men selvom den endelige lovtekst altså stadig mangler, og den endelige udpegning først vil ske i juli 2026, opfordrer Jesper Florin til, at man som virksomhed går i gang med at forberede sig allerede nu.
»CER-direktivet stiller krav om, at de omfattede kritiske enheder har en plan for modstandsdygtighed.«
- CER-direktivet stiller krav om, at de omfattede kritiske enheder har en plan for modstandsdygtighed, og at den også kan anvendes i praksis. En sådan plan kan bl.a. indbefatte risiko- og sårbarhedsvurderinger, beredskabsplaner, krisestyring, planer for fortsat drift, fysisk sikring, adgangskontrol, sikkerhedskultur og baggrundstjek af medarbejdere, så der er sådan set rigeligt at gå i gang med, siger Jesper Florin.
25.000 danske virksomheder bliver ramt
Og hvis du tror, at du kan ånde lettet op, fordi din virksomhed eller organisation ikke vil havne blandt de anslået 1.000-1.500 udpegede, kan du godt tro om igen. For selvom CER-direktivet ikke direkte stiller mindstekrav til de udpegede virksomheders forsyningskæder, er det ifølge Jesper Florin i praksis meget svært at forestille sig, at leverandørsikkerhed ikke kommer til spille en betydelig rolle, når det gælder om at sikre modstandsdygtige forsyningskæder.
- Vi forventer, at lovgivningen vil have en afsmittende effekt på op mod 25.000 underleverandører. De udpegede virksomheder vil utvivlsomt stille en hulens masse krav om alt fra at følge f.eks. ISO 223XX-standarderne om Security and Resilience til krav om planer for håndtering af insiderproblematikker, eller måske stille krav til virksomhedens fysiske sikring i udbudsmaterialer, lyder det fra Jesper Florin. Han påpeger, at man ultimativt risikerer at blive fravalgt som leverandør, hvis ikke virksomheden lever op til de stillede krav.
Tilbage i konferencesalen er dagen ved at være slut. Spørgelysten har dagen igennem været stor, men fordi den danske lovgivning dels lider under at være forsinket, dels skal implementeres som separat lovgivning i 10 sektorer, har de ellers meget kompetente og kyndige oplægsholdere i en del tilfælde måttet returnere spørgsmålet med et ”Det ved vi ikke endnu” eller et ”Når loven er på plads, bliver vi meget klogere”.
Læs mere om tidsplanen for implementering af CER-direktivet og om de krav, CER-direktivet stiller til din virksomhed HER
