Nyheder fra DBI
Vær altid opdateret
Gå til Nyhedsoversigten

CER: Styr medarbejdernes adgang, og tjek deres baggrund

Udgivet: 21. oktober 2025

Medarbejdere bør kun have adgang til områder og systemer, der er relevante for deres arbejde. Og man bør foretage baggrundskontrol af betroede medarbejdere. Karin Castro, funktionsleder for Analyse i Sikring & Resiliens hos DBI, giver gode råd om styring af medarbejdere og baggrundstjek.

Gem artikel Artikel gemt
En mand scanner sit adgangskort ved et adgangspunkt

Hvad går styring af medarbejdere ud på i CER-loven?

Virksomheder, der er omfattet af CER-loven, har ansvar for at beskytte følsomme oplysninger og sikre, at samfundsvigtige funktioner kan opretholdes. Det kræver, at man har styr på, hvem der har adgang til hvad – og hvordan den adgang bliver brugt og kontrolleret.

Det handler både om interne medarbejdere, faste leverandører som rengøringspersonale og kantinefolk og eksterne som f.eks. gæster, håndværkere og teknisk support. Man skal vide, hvem der har adgang, hvor og hvornår – og sørge for, at det er den rigtige adgang med de rette begrænsninger. Det kræver både teknisk og fysisk adgangskontrol – og ikke mindst baggrundstjek.

Hvad skal virksomhederne helt konkret gøre?

Første skridt er at kigge på sin drift og organisation: Hvilke funktioner er vigtige for, at virksomheden kan levere sin del til samfundet? Når man har overblik over dem, skal man vurdere, hvor kritiske de er – og hvem der har adgang til dem.

Herfra handler det om at finde ud af, hvilke personer – både ansatte og eksterne – der har adgang til de forskellige funktioner, og hvilke rettigheder de har. Har de adgang til noget, de ikke behøver? Og hvordan styrer man, at kun de rette personer har adgang?

Samtidig skal man vurdere de kritiske funktioners risici. Hvad vil man beskytte? Hvem eller hvad kan true det? Og hvilke sårbarheder er der? Når man har det billede, kan man vælge, hvilke sikringstiltag der skal til – både tekniske, fysiske og organisatoriske.

Et eksempel: Hvis man har et kontrolrum, der styrer driften, skal man beslutte, hvem der overhovedet har grund til at komme derind. Skal f.eks. rengøringspersonale have adgang? Hvis ja – så kan man begrænse deres adgang, så rengøringspersonalets adgangsmedium kun låser døren op i det tidsrum det er planlagt at de skal der ind. Det er den tekniske og fysiske del. Den organisatoriske del handler om, hvem der har hvilke opgaver – og hvornår de skal kunne udføre dem. Skal eksternt rengøringspersonale overhovedet have uledsaget adgang til kontrolrummet, hvornår på døgnet skal de gøre rent etc.?

Når man har sat tiltagene i gang, stopper arbejdet dog ikke dér. De skal driftes, vedligeholdes og justeres, når noget ændrer sig – f.eks. når der kommer nyt udstyr, nye processer eller nye trusler. Der skal også foretages stikprøver og testes, at tiltagene virker som planlagt.

En vigtig del af styring af medarbejdere handler om at kontrollere, at der ikke er noget i deres baggrund, som gør dem uegnet til stillingen. Det gælder især personer, der skal have adgang til følsomme oplysninger eller kritiske områder. Man skal vide, hvem man lukker ind (verificering af identitet), og om de har ‘noget med i bagagen’ (f.eks. på straffeattesten), som udgør en risiko. Derfor bør der foretages baggrundstjek ved nyansættelser og stillingsskift, hvor folk får mere ansvar eller udvidet adgang. I nogle tilfælde kan det også give mening at gentage tjekket med jævne mellemrum.

Hvad er en god fremgangsmåde?

Det er en god idé at starte med et solidt fundament – nemlig en grundig kortlægning og risikovurdering. Det betyder, at man først får overblik over, hvilke funktioner, oplysninger og systemer der er kritiske, og hvad der skal beskyttes, i prioriteret rækkefølge. Dernæst vurderer man, hvilke trusler der kan påvirke dem. Bagefter ser man på, hvor virksomheden er sårbar over for netop de trusler. Det giver et klart billede af, hvor man skal sætte ind – og hvor det giver mening at bruge sine ressourcer.

Når man har det på plads, bliver det også nemmere at vælge de rigtige foranstaltninger og opretholde dem over tid. En god analyse fra start kan spare virksomheden for meget besvær senere – både i forhold til vedligeholdelse og dokumentation.

I analysen er det vigtigt at få det reelle billede frem. Nogle gange ser virkeligheden på gulvet anderledes ud end det, ledelsen tror. Ting kan blive gjort anderledes i praksis. Derfor er det en fordel at inddrage medarbejdere fra forskellige dele og niveauer af organisationen – både i kortlægningen og i den efterfølgende vurdering. Det sikrer, at tiltagene også fungerer i virkeligheden – og ikke kolliderer med driften.

Er der faldgruber, man bør være opmærksom på?

En typisk faldgrube er, at man ikke tænker holistisk. Det er ikke nok at beskytte enkelte systemer eller bygninger – man skal forstå sammenhængen mellem de driftskritiske funktioner, de følsomme oplysninger og de mennesker, der har adgang til dem. Derfor skal sikringen tænkes bredt; organisatorisk, teknisk og fysisk.


På det organisatoriske plan handler det om at have klare procedurer, tydelige roller, opdaterede instrukser og involvering af medarbejdere. Teknisk sikkerhed dækker f.eks. adgangskontrol og overvågning. Og fysisk sikring handler om alt fra låse og døre til hegn og adgangsporte. De tre dele skal tænkes sammen, så løsningerne ikke spænder ben for hinanden – men fungerer i praksis for dem, der skal bruge dem.

En anden faldgrube er at negligere leverandører og samarbejdspartnere. Har de adgang til bygninger eller systemer? Så skal virksomheden vide, hvem de er, om de er stabile, og hvilke sikkerhedskrav de lever op til. Det kan kræve en form for baggrundskontrol af både virksomheden og de konkrete personer, der kommer. Det skal også fremgå af leverandøraftalen, hvad de må, og hvad de ikke må – f.eks. om de må medbringe udstyr, eller hvem der må komme med ind.

Derudover vil mange af de virksomheder, der er omfattet af CER-loven, også være omfattet af NIS2. Derfor giver det mening at tænke fysisk og digital sikkerhed sammen – og undgå, at f.eks. IT og drift arbejder i hver deres silo. Tværgående samarbejde kan både øge sikkerheden og spare ressourcer.

Læs mere om CER-loven

Læs mere om NIS2-loven


CER & NIS2BeredskabCybersikkerhedResiliensSikring
Karin Castro
Karin Castro Funktionsleder
50 80 78 32 kcm@brandogsikring.dk

Relaterede artikler

Se alle
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

Nyt EU-direktiv skærper kravet til cybersikkerhed
CER direktiv

Nyt CER-direktiv skal styrke kritisk infrastruktur i EU
EU flag som hænger over nogle hackere som sidder med sort hættetrøje på.

NIS2 nærmer sig: Er din virksomhed klar?
NIS2: Sådan fortsætter du driften, hvis skaden sker

NIS2: Sådan fortsætter du driften, hvis skaden sker
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

NIS2: Ved du, hvordan du skal håndtere hændelser?
Den nye minister for samfundssikkerhed og beredskab Torsten Schack Pedersen (t.h.) bliver budt velkommen i ministerkredsen af forsvarsminister Troels Lund Poulsen.

DBI hilser ministerium for samfundssikkerhed og beredskab velkommen
NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler

NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler
NIS2: Kryptering er et krav

NIS2: Kryptering er et krav
Computerskærm med billede af en lås på dør med adgang forbudt skilt

NIS2: Øg sikkerheden – ikke utilfredsheden

Relaterede kurser

Se alle
Sikringskoordinator – Fysisk sikring i praksis

Dette kursus er til dig, der som projekterings- eller sikringsansvarlig skal sammensætte helhedsorienterede sikringsløsninger, der ikke blot følger reglerne, men er tilpasset de forventede angreb.Kurset giver den enkelte kursist praktisk viden om styrken af forskellige sikringsløsninger, som den enkelte vil kunne anvende til at opnå bedre fysiske og elektroniske løsninger.Du kommer på kurset til at prøve kræfter med sikringsprodukter i forhold til fx EN1627 og EN356, og andre relevante standarder vil blive diskuteret.Kurset arbejder med balanceret tilgang til sikring, hvor mål og middel er afpasset hinanden. Desuden får du indblik i udfordringer og løsninger til sikring, ved anvendelse af fysiske og elektroniske tiltag.På kurset opnås viden om produkternes funktioner, styrker og svagheder, så medarbejderen kan tilrettelægge en sikringsløsning, der kan imødegå de forventede angreb på bedste vis.

Resilienskoordinator: Fra beredskab og krisestyring til fortsat drift

I en verden præget af stigende usikkerhed, globale kriser og uforudsigelige hændelser bliver beredskabsplanlægning, krisestyring og fortsat drift stadig vigtigere for virksomheder og organisationer.Varighed 7 dage, hvor de første fire dage afholdes i Hvidovre, de sidste tre dage afholdes som internatkursus i Middelfart.Dette forløb består af tre moduler og giver deltagerne praktiske værktøjer og strategier til at navigere i et komplekst risikobillede, herunder naturkatastrofer, cyberangreb, pandemier og andre kritiske hændelser, der truer virksomhedernes evne til at operere og eksistere.Modul 1: Beredskabsplanlægning i praksis: Beredskabsplanlægning handler om at udvikle et robust internt beredskab med dertilhørende planer, der gør din virksomhed/organisation i stand til at forberede sig på og reagere effektivt over for forskellige risici.I en tid, hvor trusler kan opstå fra både interne og eksterne kilder, vil deltagerne på kurset lære at identificere relevante risici og udarbejde strategier, der minimerer deres potentielle påvirkning på den daglige drift. Modul 2: Krisestyring i praksis: Krisestyring træner deltagerne i hurtigt og effektivt at håndtere krisesituationer for at beskytte virksomhedens/organisationens medarbejdere, værdier og omdømme. I en verden præget af uforudsigelige hændelser er det afgørende at kunne organisere en effektiv krisestyring og kommunikere klart under pres. Kurset i krisestyring i praksis har i høj grad fokus på håndtering af en kritisk hændelse på ledelsesniveau. Modul 3: Business Continuity: Med et kursus i plan for fortsat drift sikres det, at virksomheder/organisationer kan opretholde deres vigtigste aktiviteter og fortsætte driften, selv når de står over for alvorlige forstyrrelser. I en globaliseret økonomi, hvor sammenbrud i forsyningskæder og markedsfluktuationer er udbredte, er det vitalt at have en plan for fortsat drift for at beskytte virksomhedens bundlinje og fastholde kunderne.Formål: At styrke deltagernes evne til at udvikle og implementere effektive strategier inden for beredskabsplanlægning, krisestyring og forretningskontinuitet. Målet er, at de kan beskytte deres virksomhed eller organisation mod et bredt spektrum af globale udfordringer og sikre deres langsigtede succes.Du sparer 5.663 kr. ved at købe modulerne som en samlet pakke, men de kan også tages enkeltvis:BeredskabsplanlægningKrisestyringBusiness Continuity

Krisestyring i praksis

Krisestyring i praksis er et kursus for dig, der har ingen eller kun lidt erfaring med at håndtere hændelser, som kan true virksomhedens evne til at producere eller eksistere.Kurset er designet til at styrke dine kompetencer inden for krisestyring og tænke ”next step”, hvilket bidrager til at beskytte virksomhedens ansatte, værdier og bundlinje.Krisestyring er et strategisk og taktisk værktøj til at sikre virksomhedens fortsatte drift på bedst mulig vis ved påvirkning af en potentiel kritisk hændelse.Som deltager får du effektive værktøjer til at opbygge, organisere og gennemføre krisestyring i overensstemmelse med virksomhedens beredskabsplan.

OPRET DIG SOM BRUGER OG HOLD DIG OPDATERET PÅ NYHEDER OM BRAND OG SIKRING