CER: Find og luk hullerne for at begrænse adgangen til din virksomhed
Udgivet: 3. april 2025CER-direktivet om kritiske enheders modstandsdygtighed kræver, at virksomheder inden for kritisk infrastruktur skal have tilstrækkelig fysisk sikring. Men direktivet siger ikke, hvordan man løser det. Jesper Florin, leder af DBI’s sikring- og resiliensafdeling, giver svarene.

Hvad går fysisk sikring (hegn, låse og adgangskontrol, overvågning mm.) ud på i CER-direktivet?
CER-direktivet kræver, at virksomheder foretager en risikovurdering og vurderer, hvordan de bedst sikrer sig fysisk i forhold til det konkrete trusselsniveau. Det kan beskrives i en sikringsplan, der understøtter de punkter, som CER-direktivet stiller krav om. Der skal være tilstrækkelig fysisk sikring, men direktivet definerer ikke præcist, hvordan det skal udføres. Har virksomheden en størrelse, hvor man anvender en politik til at beskrive, hvordan man understøtter udmøntningen af sin sikring, vil en sikringsplan i struktur ligge under politikken.
Fysisk sikring handler grundlæggende om at holde uvedkommende ude, kunne detektere forsøg på indtrængen og kunne verificere, hvad der er sket. Det betyder, at sikringsløsninger typisk omfatter en ydre beskyttelse, som kan bestå af hegn, TV-overvågning og afstand til bygninger. Hertil kommer adgangskontrol gennem låger og døre ved bygningens indgange og en alarm inde i bygningen.
Hvordan virksomhederne vælger at gribe det an, afhænger helt af deres risikovurderinger og de sektoransvarsområder, hvor der kommer vejledninger og guidelines. Nogle har måske allerede en receptionist, der registrerer gæster, hvilket umiddelbart kan opfylde nogle af kravene til adgangskontrol. Men hvad så, hvis en dør står ulåst, eller en port til produktionsområdet konsekvent står åben? Så er der huller i adgangskontrollen.
Hvad skal virksomhederne helt konkret gøre?
Virksomhederne skal starte med en risiko- og sårbarhedsvurdering, hvor de analyserer, hvordan deres medarbejdere, bygninger, produktion og viden kan tilgås, og hvordan de bedst kan beskytte sig. En god, lavpraktisk øvelse er at stille sig foran virksomheden og tænke: ”Hvis jeg nu skulle komme ind, hvordan ville jeg gøre det?” Mange virksomheder har aldrig før skullet forholde sig til at være en del af kritisk infrastruktur, og derfor kan det være en fordel at inddrage eksterne rådgivere med erfaring inden for sikring og sikkerhed.
Vurderingen skal også omhandle beredskabsplanlægningen for drift og leverancer af ydelser, ligesom virksomhederne skal have planer for, hvad der skal ske, hvis deres sikringssystemer fejler. Går en portstyring f.eks. i stykker, og adgangskontrollen dermed sættes ud af drift, hvad er så alternativet? Skal der sættes en vagt på stedet? Hvordan sikrer man, at systemet hurtigt genoprettes? Det er vigtigt, at virksomheder ikke bare installerer sikringssystemer uden at tænke i konsekvenser, hvis systemerne svigter.
CER-direktivet lægger også vægt på, at virksomhedens sikkerhedskultur skal dyrkes og trænes. Det handler ikke kun om sikring af bygninger, men også om adfærd og procedurer. Det nytter jo ikke noget at have adgangskontrol, hvis folk alligevel bare sætter en kile i døren, fordi de synes, at det er for bøvlet at bruge deres kort. Hvis ingen håndhæver sikringsprocedurerne, risikerer virksomhederne, at systemerne mere bliver en formalitet end en reel beskyttelse.
Hvad er en god fremgangsmåde?
En effektiv fremgangsmåde er at arbejde med en lagdelt sikringsmodel, hvor perimetersikring med hegn og overvågning fungerer som den første barriere. Herefter kommer adgangskontrol på døre og porte samt registrering af, hvem der kommer og går. Overvågning og detektering skal sikre, at uønsket aktivitet opdages, mens en plan for verifikation og reaktion sikrer, at der tages hånd om hændelser, når de opstår.
Fysisk sikring som hegn bør ikke stå alene, men kobles sammen med elektroniske løsninger. Overvågning skal ikke kun bruges til at registrere hændelser, men også til at reagere i realtid. Hvis et kamera registrerer en person på et område uden tilladelse, skal der være en klar procedure for, hvordan dette bliver håndteret. Skal der f.eks. sendes en vægter? Skal politiet kontaktes? Og hvor hurtigt skal der reageres?
Det er også vigtigt at afstemme forventningerne med sikringsleverandører. Hvis en virksomhed bestiller 100 kameraer, men ikke overvejer blinde vinkler, eller hvordan overvågningen bruges i praksis, kan man stå med en løsning, der ikke dækker behovet. På den ene side skal man lytte til og drage nytte af leverandørernes ekspertise. På den anden side skal man som virksomhed også involvere sig og sikre sig, at løsningerne passer til risikovurderingen og de konkrete behov.
Derudover er løbende kontrol og test nødvendig. Virksomhederne bør mindst én gang om året efterprøve, om deres sikring fungerer som forventet. Det kan f.eks. ske ved, at man tester, om adgangskontrollen faktisk fungerer, om alarmerne reagerer rigtigt, og om folk rent faktisk følger de regler, der er lavet.
Er der faldgruber, man skal være opmærksom på?
En af de største faldgruber er, at virksomheder kan risikere at investere i dyre sikringsløsninger uden at sikre, at de reelt dækker deres behov. Det giver ikke meget mening at have kameraer sat op, hvis der alligevel ikke er nogen, der reagerer, når alarmen går. Virksomheder bør altid spørge sig selv, hvad formålet med en given sikringsforanstaltning er, og om den reelt opfylder sit formål.
Derudover er der det adfærdsmæssige aspekt. Hvis ikke medarbejderne forstår, hvorfor der er adgangskontrol, finder de deres egne smutveje. Man skal have medarbejderne med i processen, så de forstår nødvendigheden. På den anden side skal sikringstiltagene heller ikke være så bøvlede, at de modarbejder den daglige drift.
Sidst, men ikke mindst skal virksomheder være opmærksomme på, at fysisk sikring ikke kun handler om at forhindre indtrængen, men også om at sikre driften. Derfor bør den fysiske sikring beskrives i en sikringsplan og tænkes sammen med en beredskabsplan.