Regulatorisk kontext
CER-direktivet
CER står för Critical Entities Resilience. Det är ett EU-direktiv som under 2026 kommer att resultera i en ny svensk lag om hur samhällsviktig verksamhet ska kunna förebygga, motstå och hantera störningar. För vissa verksamheter blir det ett konkret regelverk. För andra är det en användbar referens för hur beredskap, beroenden och kontinuitet kan bedömas på ett sakligt sätt.
Vad CER faktiskt handlar om
CER-direktivet ställer krav på att privata och offentliga organisationer som tillhandahåller samhällsviktig verksamhet ska arbeta med åtgärder som stärker deras motståndskraft. Det gäller förmågan att förebygga, motstå, hantera och återhämta sig från störningar som annars kan få betydande effekt på samhället.
I Sverige används ofta begreppen samhällsviktig verksamhet och kritiska verksamhetsutövare i stället för enbart EU:s originalterminologi. Det gör frågan mer praktiskt relevant för svenska verksamheter som behöver förstå både sin samhällsroll och sina mest kritiska beroenden.
Utgår från samhällsviktig verksamhet
I svensk kontext beskrivs CER utifrån samhällsviktig verksamhet: verksamhet, tjänster eller infrastruktur som behövs för samhällets grundläggande behov, värden eller säkerhet.
Svensk reglering bygger på utpekande
Alla samhällsviktiga aktörer omfattas inte automatiskt. Tillsynsmyndigheter ska identifiera vilka verksamhetsutövare som blir kritiska verksamhetsutövare enligt svensk reglering.
Fokus på kontinuitet och motståndskraft
Tyngdpunkten ligger på risker, beroenden, kontinuitet, incidenthantering och åtgärder som gör att viktiga tjänster kan fungera även vid större störningar.
Sektorer som omfattas av CER
I svensk myndighetsinformation lyfts särskilt dessa områden fram. Samtidigt är CER ett minimidirektiv, vilket innebär att nationell reglering och identifiering avgör exakt vilka verksamheter som omfattas.
Hälso- och sjukvård
Sjukhus, vårdcentraler, äldreboenden och privata vårdgivare – verksamheter där driftstörningar snabbt påverkar människors hälsa och trygghet.
Energi
Elproduktion, elnät, fjärrvärme och andra energirelaterade verksamheter med höga krav på kontinuitet och tillgänglighet.
Transport
Kollektivtrafik, hamnar, flygplatser, logistik och annan transportinfrastruktur som samhället är beroende av i vardagen.
Bank- och finans
Banker, betalningslösningar och finansiell infrastruktur där tillgänglighet och förtroende är avgörande – även vid störning.
Digital infrastruktur
Datacenter, kommunikationsnät, molntjänster och andra digitala funktioner som utgör grunden för dagens samhälle.
Vatten och avlopp
Dricksvattenförsörjning, avloppsrening och VA-verksamheter där avbrott snabbt får stora konsekvenser.
Offentlig förvaltning
Kommuner, regioner och myndigheter med ansvar för samhällsviktig service och samordning vid kris och störning.
Livsmedelsförsörjning
Produktion, lager, distribution och handel med livsmedel – från grossister till dagligvaruhandel.
Andra verksamheter
Andra aktörer med samhällsviktiga funktioner och särskilda krav på robusthet, kontinuitet och beredskap.
Vad direktivet innebär i praktiken
Införandet av CER i Sverige innebär att ett antal tillsynsmyndigheter kommer att identifiera och informera de verksamheter som berörs. När en verksamhet är identifierad ska den senast sommaren 2027 kunna bevisa att den har en fungerande beredskapsförmåga.
Identifiering av samhällsviktiga tjänster
Det är inte upp till företagen att själva identifiera sig som samhällsviktig – det kommer respektive tillsynsmyndighet att göra, och därefter informera verksamheterna i fråga. Detta väntas ske under sommar/höst 2026.
Bedömning av beroenden och störningseffekter
När en verksamhet identifierats som samhällsviktig är det upp till verksamheten själv att identifiera sina kritiska beroenden, samt genomföra åtgärder för att säkra driften i upp till 14 dagar trots störning i någon av dessa beroenden.
Stärka kontinuitet och återhämtningsförmåga
Åtgärderna behöver vara praktiska och verksamhetsnära: reservrutiner, alternativa arbetssätt, prioriteringar, ansvar och resurser som går att använda under belastning.
Samordna med övrigt säkerhetsarbete
Beredskapsarbetet sker inte isolerat i en verksamhet. För många företag behöver arbetet hänga ihop med informationssäkerhet, cybersäkerhet, övning, incidentrapportering och uppföljning.
CER som referens för mätning av beredskap
Även om inte alla företag ska behandlas som en samhällskritisk verksamhetsutövare, så ger CER-direktivet en viktig referensram för hur beredskap bör bedömas.
När beredskapsförmåga mäts och bedöms blir den mer relevant när den utgår från en samhällsviktig kontext snarare än allmänna policyformuleringar.
Mätningen bör utgå från vilka tjänster som måste fungera, inte bara vilka dokument som finns.
Resultat blir mer användbara när beroenden, konsekvenser och prioriteringar synliggörs.
Genom att mäta enligt samma struktur kan både direkt berörda aktörer och andra som vill arbeta mer systematiskt med kontinuitet och robusthet få ett gemensamt ramverk.
En viktig precisering
CER är relevant för många verksamheter, men inte för alla. Den här sidan är informativ och ska inte tolkas som ett ställningstagande om att en viss aktör omfattas av lagkrav. Det avgörs i svensk reglering, tillsyn och identifiering.
Läs mer om modellenTidlinje för CER-direktivet i Sverige
Här är de viktigaste svenska hållpunkterna just nu. Tidslinjen blandar beslutade milstolpar med planerade och preliminära steg, eftersom genomförandet fortfarande pågår och vissa datum kan ändras.
December 2022
CER-direktivet antas
CER- och NIS2-direktiven antas på EU-nivå och blir startpunkten för det svenska genomförandearbetet.
27 februari 2026
Nationell strategi beslutas
Regeringen beslutar om den nationella strategin för motståndskraft i samhällsviktig verksamhet 2026–2030.
25 mars 2026
MCF får regeringsuppdrag
Myndigheten för civilt försvar får i uppdrag att förbereda genomförandet av CER-direktivet. Uppdraget ska muntligen slutredovisas till Regeringskansliet senast den 1 augusti 2026.
9 juni 2026
Riksdagsbeslut om ny lag
Riksdagens ärendesida anger debatt och beslut den 9 juni 2026 för förslaget om en ny lag för ökad motståndskraft hos kritiska verksamhetsutövare.
Sommaren 2026
Ny lag och förordning träder i kraft
Enligt MCF:s tidslinje väntas den svenska CER-regleringen träda i kraft under våren eller sommaren 2026.
Sommaren/hösten 2026
Föreskrifter och incidentrapportering
Föreskrifter om riskanalys, åtgärder för motståndskraft, bakgrundskontroller och incidentanmälan väntas. Under samma period väntas också incidentrapporteringstjänsten för berörda verksamheter öppna.
Sommaren 2027
Skarpa CER-krav
Berörda verksamheter ska kunna påvisa full CER-efterlevnad och riskbedömningar, åtgärder och incidentrapportering förväntas vara på plats. Vid brister kan tillsynsmyndigheter besluta om förelägganden och sanktionsavgifter.
Vanliga frågor
Svenska resurser och vidare läsning
Innehållet på den här sidan uppdateras löpande. Informationen här är vinklad för svensk kontext och utgår främst från svenska källor. Här är bra utgångspunkter om du vill läsa vidare.
MCF: Ökad motståndskraft i samhällsviktig verksamhet
Svensk myndighetsinformation om CER, samhällsviktig verksamhet, sektorer och relationen till NIS2.
SOU 2024:64: Motståndskraft i samhällsviktiga tjänster
Slutbetänkandet som ligger till grund för svensk införlivning av CER och begreppet kritiska verksamhetsutövare.