Nyheder fra DBI
Vær altid opdateret
Gå til Nyhedsoversigten

CER: Håndtér hændelser effektivt med en beredskabsplan

Udgivet: 19. maj 2025

Essensen af CER-direktivets krav til hændelseshåndtering er at foretage en risikovurdering og udarbejde en beredskabsplan. Sikkerhedsrådgivere hos DBI, Mette Brusch Westergaard og Matilde Møller Christensen, giver gode råd.

Gem artikel Artikel gemt
En hånd bremser forskellige naturkatastrofer til at når frem til en virksomhed

Hvad går håndtering af hændelser ud på i CER-direktivet?

Håndtering af hændelser i CER-direktivet handler om at sikre, at virksomheder, der er omfattede af direktivet, har styr på deres beredskab, herunder en plan for håndtering af hændelser, der kan have en negativ konsekvens for virksomheden. Det handler det om at være på forkant med forebyggelse og håndtering af potentielle risici.

I praksis er det ikke helt nyt land. Mange virksomheder har allerede beredskabsplaner, men CER-direktivet gør det til et formelt krav for en række samfundskritiske instanser. Førhen var det primært virksomheder med særlige risici eller dem, der er underlagt beredskabsloven, der skulle tage stilling til det her, men nu breder kravene sig til flere brancher.

CER-direktivet stiller ikke kun krav til håndtering af hændelser, men også til, at virksomhederne rapporterer dem. Det vil sige, at når en relevant hændelse har fundet sted, skal der ske en struktureret og rettidig indberetning til den kompetente myndighed. Her er det vigtigt at understrege, at hændelser kun skal rapporteres til myndighederne, hvis konsekvenserne har betydning for levering af de kritiske tjenester.


Hvordan skal virksomhederne helt konkret gribe det an?

Det første skridt er at lave en risikovurdering, hvor der tages stilling til, hvilke aktiver der er essentielle og kritiske for virksomheden, samt hvilke sårbarheder og trusler, der kan give en negativ påvirkning. Der tages udgangspunkt i fem hovedområder: mennesker, bygningsmasse, drift, økonomi og omdømme. Eksempler på hændelser, der ofte optræder i risikovurderinger, kan her nævnes: brand, forsyningssvigt, terror og vejrlig (f.eks. stormflod).

Når risikovurderingen er på plads, skal virksomheden som et næste skridt udarbejde en beredskabsplan med konkrete procedurer med baggrund i de identificerede risici, så det er tydeligt, hvem der gør hvad, hvis en hændelse opstår. Det handler om at få kortlagt, hvad hændelsen påvirker, og derefter tage stilling til, hvordan man kan minimere konsekvenserne. Det gælder både internt – hvem gør hvad? – og eksternt – hvem skal informeres?

Det er en god idé at udvikle en intern proces, der hurtigt kan identificere, om en hændelse er rapporteringspligtig, og hvem i organisationen der har ansvaret for at rapportere. Rapporteringsprocessen bør indgå som en fast del af beredskabsplanen.

Medarbejderne skal også kende beredskabsplanen og herunder også hændelseshåndteringen. For hvis planen ikke er kendt og let tilgængelig, kan det ikke forventes, at der bliver handlet efter hensigten i en akut situation. Derfor skal medarbejderne trænes i, hvordan de håndterer hændelser, så det bliver en del af virksomhedens kultur.

Tredje skridt er at teste beredskabet i ‘fredstid’, evaluere, hvordan det gik, og lave de nødvendige tilpasninger. Den evaluering skal virksomheden også foretage efter en faktisk hændelse. Forløbet skal analyseres, og man skal identificere, hvad der fungerede, og hvor der var udfordringer. På den måde kan beredskabsplanen justeres og forbedres, så man står stærkere næste gang.

En beredskabsplan, der aldrig er blevet afprøvet, kan vise sig at være ubrugelig, når ballonen går op. Derfor er øvelser vigtige. Det kan være en krisestyringsøvelse, hvor ledelsen præsenteres for et scenarie og skal tage stilling til, hvordan de vil håndtere det, eller en evakueringsøvelse for at teste, hvordan medarbejderne reagerer i praksis. Pointen er, at man skal finde ud af, hvad der fungerer, og hvad der skal justeres.


Hvad er en god fremgangsmåde?

Det vigtigste er, at beredskabsarbejdet ikke bliver et skrivebordsprojekt, men noget, der lever i organisationen. En god start er at samle de rette folk og afsætte tid til at lave en grundig risikovurdering. Det kan være en workshop, hvor alle tænkelige hændelser kommer på bordet – fra dem, der har lav sandsynlighed, men stor konsekvens, til dem, der ofte er risiko for.

Det kan være en fordel at få en ekstern facilitator til at lede risikovurderingen. En udenforstående kan stille de spørgsmål, som måske ellers bliver overset internt, og hjælpe med at sikre, at alle væsentlige risici bliver vurderet objektivt.

Når man har fået overblik, gælder det om at prioritere. Hvad er de mest kritiske hændelser? Hvordan kan vi minimere risikoen? Hvor skal vi primært fokusere vores ressourcer? Det handler om at finde en balance mellem forebyggelse og håndtering. Man kan ikke gardere sig mod alt, men man kan sikre, at man er bedst muligt forberedt.

Virksomheder i samme branche kan med fordel sparre med hinanden om risikovurderinger og beredskabsplaner. Det kan give indsigt i, hvilke hændelser andre har været udsat for, og hvordan de blev håndteret. Netværket kan hjælpe virksomheder med at opdage risici, de måske ikke selv har tænkt på.


Er der ’faldgruber’, man bør være opmærksom på?

En klassisk fejl er at behandle beredskab som ren compliance, hvor man bare skal have en plan liggende for at kunne sætte et flueben. Hvis ingen kender planen eller har afprøvet den, stiller det virksomheden i en sårbar position i tilfælde af en kritisk hændelse.

Det er ligeledes væsentligt at have fokus på tilstrækkelig opbakning fra ledelsen. Hvis beredskabsplanen bliver en opgave for én medarbejder med et minimum af ressourcer eller mandat, vil det være vanskeligt at få vigtigheden til at runge igennem hele virksomheden. Beredskab kræver involvering fra ledelsen og en erkendelse af, at det er en nødvendig investering.

En anden faldgrube kan være, at virksomheder overser kravet om hændelsesrapportering. I en presset situation kan det være fristende at fokusere udelukkende på håndtering og drift, men i CER-direktivet er der krav om, at visse hændelser skal rapporteres til relevante myndigheder inden for en fastsat frist. Manglende rapportering kan medføre både juridiske og driftsmæssige konsekvenser. Derfor bør der altid være klare interne procedurer og ansvarsfordeling for, hvem der vurderer, om en hændelse er rapporteringspligtig – og hvem der rent faktisk foretager indberetningen.

Det er også en risiko, hvis virksomheden kopierer en beredskabsplan fra en anden virksomhed eller en standardberedskabsplan uden at tilpasse den. Det kan virke som den nemme løsning, men der er stor sandsynlighed for, at væsentlige forskelle bliver overset, fordi hver virksomhed har sine egne udfordringer og unikke forhold.

Endelig er det vigtigt at forstå, at beredskabsarbejde aldrig er færdigt. En plan, der var god i går, er ikke nødvendigvis god i morgen. Beredskabsplanen skal opdateres regelmæssigt, så den forbliver brugbar og følger med virksomhedens udvikling og ændringer i risikobilledet.

Læs mere om CER-direktivet 

Læs også om NIS2-direktivet


CER & NIS2BeredskabResiliensSikring
Mette B. Westergaard
Mette B. Westergaard Sikkerhedsrådgiver
50 80 65 27 mew@brandogsikring.dk
Matilde Møller Christensen Sikkerhedsrådgiver
50 80 78 35 mmc@brandogsikring.dk

Relaterede artikler

Se alle
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

Nyt EU-direktiv skærper kravet til cybersikkerhed
CER direktiv

Nyt CER-direktiv skal styrke kritisk infrastruktur i EU

NIS2 nærmer sig: Er din virksomhed klar?
NIS2: Sådan fortsætter du driften, hvis skaden sker

NIS2: Sådan fortsætter du driften, hvis skaden sker
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

NIS2: Ved du, hvordan du skal håndtere hændelser?

Ny DBI-konference giver indsigt i CER-krav
Den nye minister for samfundssikkerhed og beredskab Torsten Schack Pedersen (t.h.) bliver budt velkommen i ministerkredsen af forsvarsminister Troels Lund Poulsen.

DBI hilser ministerium for samfundssikkerhed og beredskab velkommen
NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler

NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler
NIS2: Kryptering er et krav

NIS2: Kryptering er et krav

Relaterede kurser

Se alle
Resilienskoordinator: Fra beredskab og krisestyring til fortsat drift

I en verden præget af stigende usikkerhed, globale kriser og uforudsigelige hændelser bliver beredskabsplanlægning, krisestyring og fortsat drift stadig vigtigere for virksomheder og organisationer.Dette forløb består af tre moduler og giver deltagerne praktiske værktøjer og strategier til at navigere i et komplekst risikobillede, herunder naturkatastrofer, cyberangreb, pandemier og andre kritiske hændelser, der truer virksomhedernes evne til at operere og eksistere.Modul 1: Beredskabsplanlægning i praksis: Beredskabsplanlægning handler om at udvikle et robust internt beredskab med dertilhørende planer, der gør din virksomhed/organisation i stand til at forberede sig på og reagere effektivt over for forskellige risici.I en tid, hvor trusler kan opstå fra både interne og eksterne kilder, vil deltagerne på kurset lære at identificere relevante risici og udarbejde strategier, der minimerer deres potentielle påvirkning på den daglige drift. Modul 2: Krisestyring i praksis: Krisestyring træner deltagerne i hurtigt og effektivt at håndtere krisesituationer for at beskytte virksomhedens/organisationens medarbejdere, værdier og omdømme. I en verden præget af uforudsigelige hændelser er det afgørende at kunne organisere en effektiv krisestyring og kommunikere klart under pres. Kurset i krisestyring i praksis har i høj grad fokus på håndtering af en kritisk hændelse på ledelsesniveau. Modul 3: Business Continuity: Med et kursus i plan for fortsat drift sikres det, at virksomheder/organisationer kan opretholde deres vigtigste aktiviteter og fortsætte driften, selv når de står over for alvorlige forstyrrelser. I en globaliseret økonomi, hvor sammenbrud i forsyningskæder og markedsfluktuationer er udbredte, er det vitalt at have en plan for fortsat drift for at beskytte virksomhedens bundlinje og fastholde kunderne.Formål: At styrke deltagernes evne til at udvikle og implementere effektive strategier inden for beredskabsplanlægning, krisestyring og forretningskontinuitet. Målet er, at de kan beskytte deres virksomhed eller organisation mod et bredt spektrum af globale udfordringer og sikre deres langsigtede succes.Du sparer 5.663 kr. ved at købe modulerne som en samlet pakke, men de kan også tages enkeltvis:BeredskabsplanlægningKrisestyringBusiness Continuity

Beredskabsplanlægning i praksis

Effektiv beredskabsplanlægning beskytter ikke kun virksomhedens ansatte og værdier, men sikrer også forretningskontinuiteten. En stærk beredskabskultur er hjørnestenen i håndteringen af hændelser og udgør samtidig en klog forretningsinvestering.Beredskabsplanlægning i praksis er et kursus for dig, uanset om du er nybegynder eller har flere års erfaring i opbygningen af et beredskab, og som ønsker at styrke dine faglige kompetencer inden for beredskabsplanlægning.Du får effektive værktøjer til at identificere risici ved hændelser, som kan påvirke driften, til at planlægge beredskabet ved sådanne hændelser, og til at maksimere læring og forbedringer gennem evalueringer efter en hændelse

Business Continuity (fortsat drift)

Et kursus i fortsat drift styrker virksomhedens evne til at levere produkter og service kontinuerligt, selv under kriser, og bidrager til at fastholde eksisterende kunder samt tiltrække nye forretningsmuligheder. En effektiv plan for fortsat drift beskytter ikke kun bundlinjen, men også virksomhedens forretningsinteresser, hvilket gør det til en hjørnesten i god virksomhedsstyring og en klog forretningsinvesteringDeltagerne på dette kursus får praktiske værktøjer til at sikre medarbejdere og driften under krisesituationer, samt træning i at opretholde kritiske leverancer med minimal påvirkning af de væsentligste forretningsaktiviteter.

OPRET DIG SOM BRUGER OG HOLD DIG OPDATERET PÅ NYHEDER OM BRAND OG SIKRING