Folketinget har vedtaget lov om virksomheders beredskabsplanlægning (CER-loven)

Folketinget vedtog den 29. april 2025 den nye Lov om kritiske enheders modstandsdygtighed (CER-loven). Loven træder i kraft den 1. juli 2025 og har til formål at styrke virksomheders evne til at forebygge, håndtere og genetablere driften efter væsentlige hændelser, f.eks. klimahændelser, cyberangreb, spionage, ulykker, pandemier mv.

Formålet med loven og det bagvedliggende EU-direktiv^[1] er at sikre, at virksomheder, der leverer samfundskritiske ydelser, er modstandsdygtige og robuste. Loven blev vedtaget parallelt med NIS2-loven, der har til formål at øge cybersikkerheden. De to love gennemfører henholdsvis NIS2-direktivet^[2] og CER-direktivet i dansk ret.

Hvor formålet med NIS2-direktivet er at skabe et højere og mere ensartet cybersikkerhedsniveau på tværs af EU’s medlemsstater, er formålet med CER-direktivet at styrke såkaldte kritiske virksomheders og myndigheders fysiske modstandsdygtighed.

Hvilke virksomheder gælder loven for?

En række sektorer bliver omfattet af loven:

• Transport
• Sundhed
• Drikke- og spildevand
• Offentlig forvaltning
• Rummet
• Visse dele af fødevaresektoren
• Bankvirksomhed
• Finansiel markedsinfrastruktur
• Digital infrastruktur

Energisektoren omfattes ikke af loven, men er omfattet af samme krav efter CER-direktivet, der i energisektoren er gennemført i lov om lov om styrket beredskab i energisektoren, der blev vedtaget i februar 2025.

Sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur omfattes i praksis alene af reglerne om identifikation af kritiske enheder samt myndighedernes støtte til kritiske enheder, ligesom den nationale strategi og risikovurdering vil omfatte disse sektorer. Virksomheder i disse sektorer vil imidlertid ikke blive mødt med nye krav som følge af loven, idet de i forvejen er underlagt anden relevant lovgivning.

Hvad er en kritisk enhed?

Virksomheder inden for de omfattede sektorer, der leverer ”væsentlige tjenester” med afgørende samfundsmæssig betydning, kan udpeges som kritiske enheder omfattet af loven.

Relevante virksomheder inden for de omfattede sektorer vil blive identificeret af de relevante sektormyndigheder baseret på virksomhedens vigtighed for samfundet og vil modtage skriftlig besked. Det har tidligere været estimeret, at omkring 100-150 danske virksomheder kunne blive udpeget som kritiske enheder.

Virksomhedens størrelse er ikke afgørende og både store virksomheder og SMV’er kan således blive omfattet.

Efter udpegning skal virksomheden inden for ni måneder have gennemført en risikovurdering og senest én måned herefter have indført alle nødvendige modstandsforanstaltninger.

Virksomhedernes pligter efter loven

Der vil gælde en række pligter for de virksomheder, der udpeges som kritiske enheder, herunder:

• Der skal foretages en risikovurdering, der kortlægger alle relevante risici for den pågældende virksomhed inkl. pligt til ajourføring mindst hver fjerde år.
• Der skal udarbejdes en plan for modstandsdygtighed, der beskriver trufne modstandsforanstaltninger baseret på risikovurderingen (risikobaseret mitigation).
• Der skal arbejdes med intern awareness og bevidstliggørelse om modstandsdygtighed i organisationen.
• Der skal udpeges en kontaktperson for myndighederne i virksomheden.
• Der er underretnings- og oplysningspligt over for den sektorrelevante tilsynsmyndighed.

Det vil være forbundet med bødeansvar ikke at leve op til kravene.

Udpegningen af kritiske enheder i Danmark vil ske blandt andet på baggrund af den kommende National Risikovurdering samt en National Strategi for Styrkelse af Kritiske Enheders Modstandsdygtighed, der udarbejdes senest den 17. januar 2026. Publikationerne udarbejdes af Ministeriet for Samfundssikkerhed og Beredskab på styrelsesniveau og Justitsministeriet, herunder Rigspolitiet og Politiets Efterretningstjeneste (PET).

Vigtige datoer

• Den nationale strategi og nationale risikovurdering skal ligge klar senest den 17. januar 2026.
• De første kritiske enheder kan forventes udpeget senest den 17. juli 2026, hvor myndighederne blandt andet på baggrund af strategi og national risikovurdering skal have identificeret de virksomheder, der omfattes af lovens krav.

Tidslinjen indebærer, at de virksomheder, der udpeges som kritiske enheder, skal genoverveje eller helt nyetablere egne risikovurderinger samt implementere nødvendige modstandsforanstaltninger på mindre end ét år.

Proaktive forberedelser og overvejelser om compliance

Virksomheder i de relevante sektorer kan med fordel overveje, om de kan forvente at blive udpeget som en kritisk enhed. Blandt de overvejelser, jeres virksomhed med fordel allerede kan gøre sig nu, er:

• Vurdere fordelene ved proaktiv indsats forud for 2026
  • Øget robusthed kan medføre strategiske muligheder og kan mindske behovet for forhastede tiltag på et senere tidspunkt.
  • Tilstrækkelig tid til forankring og efterlevelse af alle krav taler for at begynde risikoafdækning hurtigst muligt, særligt hvis der må forventes at være stor sandsynlighed for udpegning som kritisk enhed.
  • Minimere risikoen for regelbrud, fordi implementering og indfasning kan klares gradvist og absorberes i organisationen.
  • Udover compliance-aspektet kan der i lyset af den aktuelle samfundsmæssige udvikling være almindelig sund fornuft at sætte fysisk modstandsdygtighed og beredskabsplanlægning højt på den strategiske dagsorden – både for at imødegå potentielle tab (herunder driftstab) ved kritiske hændelser og for, at I som virksomhed deltager systematisk og aktivt i styrkelsen af civilsamfundet, der udfordres af tiltagende usikkerhed på sort set alle parametre.
• Planlægge ressourcer til risikovurdering
  • Identifikation af “alle relevante risici” kræver en detaljeret og tværgående kortlægning af alle virksomhedens væsentlige aktiviteter og strategisk forankring i topledelsen.
  • Mulighed for at foretage grundige drøftelser og relevante prioriteringer i arbejdet med modstandsdygtighed.
  • Det kan overvejes, om tidligere foretagne risikovurderinger kan anvendes helt eller delvist i forbindelse med compliance efter CER-loven.
• Forberede eventuelle krav til og fra samarbejdspartnere
  • Også for virksomheder, der ikke udpeges som kritiske og dermed ikke er direkte omfattede af loven, kan krav fra omfattede leverandører, kunder eller større samarbejdspartnere nødvendiggøre øgede niveauer af robusthed og risikoafdækning og/eller stille øgede krav til jeres leverancer.
  • Hvis I udpeges som kritisk enhed kan visse af jeres modstandsdygtighedsforanstaltninger indebære ændrede krav mv. til jeres underleverandører, der skal forhandles på plads eller måske kræver ændringer i forsyningskæden.
• Tage hensyn til de korte tidsfrister for compliance efter udpegning
  • Fra underretning om udpegning som kritisk enhed omfattet af CER-loven til at kravet om gennemført risikovurdering skal være opfyldt er der alene ni måneder – og derefter kun én ekstra måned, før alle nødvendige modstandsforanstaltninger skal være implementeret.

Vi kan hjælpe jer med jeres forberedelse

Har du spørgsmål til, hvad CER-loven potentielt betyder for jeres virksomhed, eller ønsker I at gå i gang med forberedelserne i god tid, står vi klar til at rådgive jer om de nye regler og mulige tiltag til at sikre compliance. Vi kan endvidere bistå i forhold til samspillet med NIS2.

Vi tilbyder skræddersyet juridisk og strategisk rådgivning til virksomheder, der opererer inden for eller påvirkes af skiftende geopolitiske og lovgivningsmæssige rammer. Ved at trække på vores tværfaglige ekspertise bistår vi klienter med at håndtere komplekse udfordringer på tværs af brancher og lovgivning, blandt andet i kraft af vores geopolitiske task force, som du kan læse mere om her:

Læs mere om vores task force

—

[1] Europa-Parlamentets og Rådets Direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF

[2] Læs vores tidligere nyhedsbrev om NIS2 her: Nyt om NIS2 – Udkast til dansk implementering sendt i høring – Gorrissen Federspiel