Skip to main content
      Ring på 43 43 43 88

      CER: Hvad kan virksomhederne selv gøre?

      Virksomheder inden for kritisk infrastruktur har et ansvar for at forebygge hændelser, der kan true deres evne til at levere tjenester. Det er essensen af EU’s CER-direktiv. Men hvordan skal de gribe det an i praksis? Morten Regnersgaard, procesudviklingschef i Securitas, deler her sin viden om, hvordan virksomheder bedst håndterer risici og selv styrker robustheden.

      To sikkerhetsrådgivere fra Securitas som snakker om en risiko og sårbarhetsanalyse.

      Hvad betyder forebyggelse i CER-direktivet?

      Forebyggelse i CER-direktivet handler om at identificere og reducere de risici, der kan forstyrre driften i kritiske sektorer. Det kræver en helhedsorienteret tilgang, hvor tekniske, organisatoriske og sikkerhedsmæssige tiltag arbejder sammen for at forhindre, at potentielle trusler udvikler sig til reelle forstyrrelser.

      Mens NIS2-direktivet primært adresserer digitale risici, har CER-direktivet fokus på de fysiske trusler mod infrastrukturen. Gå på opdagelse i vores vidensunivers om kritisk infrastruktur, hvor vi har samlet de vigtigste datoer og informationer

      ”De seneste år har tydeligt vist, hvor sårbare Europas kritiske systemer er over for målrettede angreb. Nord Stream-sabotagen, angreb på datakabler i Nordsøen og sabotage mod vandværker i blandt andet Sverige er blot nogle eksempler på, hvordan forsyningsnetværk er mål for både statslige og ikke-statslige aktører,” forklarer Morten Regnersgaard.

       

      This video is unavailable. We are sorry but to be able to view this content, you need to allow targeting cookies.

       

      Hvordan bør virksomheder konkret gå til værks?

      ”For at leve op til CER-direktivet skal virksomheder arbejde systematisk med risikohåndtering. Det starter med en grundig risikovurdering, hvor man analyserer mulige hændelser – fra naturkatastrofer til bevidste angreb som sabotage eller terror. Formålet er at vurdere både sandsynlighed og konsekvenser, så indsatsen kan rettes mod de mest kritiske risici,” siger Morten Regnersgaard.

      Derudover peger han på, at det er en central faktor i direktivet at forstå afhængigheder på tværs af sektorer.

      ”Hvis strømforsyningen svigter ét sted, kan det have konsekvenser for en lang række andre forsyningskæder. Derfor skal virksomheder også tage højde for potentielle risici hos leverandører i deres risikovurderinger.”

      Se typiske udfordringer og løsninger for virksomheder og leverandører til kritisk infrastruktur.

      Når risiciene er identificerede, er næste skridt at implementere forebyggende tiltag. Det kan omfatte:

      • Fysiske sikkerhedsforanstaltninger som hegn, pullerter og adgangskontrol
      • Elektronisk overvågning i form af videoovervågning, alarmsystemer og sensorer
      • Beredskabsplaner med tydelige procedurer for håndtering af hændelser
      • Regelmæssig evaluering og træning, så tiltagene løbende tilpasses det aktuelle trusselsbillede


      OBS! For at sikre en effektiv implementering skal foranstaltningerne være en integreret del af virksomhedens samlede risikostyring og dokumenteres i en sikringsplan.

       

      Regnersgaard-15.jpg

       

      Hvad er en god fremgangsmåde til at få afdækket risici?

      Hvis man vil sikre sig en god start, foreslår Morten Regnersgaard, at man samler nøglepersoner fra forskellige afdelinger – fx drift, it, økonomi og HR – til en risikoworkshop. På den måde kan man identificere de største risici og få et tværgående perspektiv på sårbarheder.

      Herefter bør man gennemføre en detaljeret risikovurdering og prioritere de mest kritiske områder. 

      ”De forebyggende tiltag skal skræddersys til virksomhedens specifikke behov og integreres i en samlet strategi for robusthed. Her kan man benytte en metodisk tilgang såsom en konsekvens-sandsynlighedsmatrix for at vurdere, hvor kritiske de enkelte trusler er, og hvordan de påvirker driften.”

       

      Man kan som virksomhed stille sig selv spørgsmålene:

      • Hvilke processer og systemer er afgørende for organisationens drift og lovmæssige forpligtelser?
      • Hvilke afhængigheder har disse funktioner (fx it-systemer, leverandører, nøglepersoner)?
      • Hvad sker der, hvis en kritisk funktion sættes ud af drift?
      • Hvilke afledte effekter risikerer vi ved de enkelte nedbrud?
      • Hvor hurtigt skal en funktion være genoprettet for at undgå alvorlige konsekvenser?
      • Hvor meget data- eller produktionskapacitet kan vi acceptere at miste?
      • Derudover analyseres økonomiske tab, omdømmemæssige konsekvenser, lovgivningsmæssige implikationer og operationelle udfordringer.

       

      Eksempler på afledte effekter inden for sikkerhed og kritisk infrastruktur:

      IT-sikkerhed og NIS2: Et cyberangreb på en el-leverandør kan føre til strømsvigt, som potentielt påvirker fx sygehuse, vandforsyning og transport.

      Fysisk sikkerhed: Hvis adgangskontrol til en kritisk facilitet fejler, kan det øge risikoen for ubudne gæster og kompromittering af følsomme systemer.

      Overvågning og alarmsystemer: Hvis et alarmsystem går ned, kan det betyde, at indbrud eller brande ikke opdages i tide, hvilket eskalerer konsekvenserne.

      ”Ud fra analysen prioriteres de mest kritiske funktioner, så organisationen ved, hvor den skal sætte ind først i en krisesituation. På baggrund af konsekvens-sandsynlighedsmatrixen udformes en plan for at sikre, at kritiske funktioner kan genoprettes hurtigt og effektivt,” siger Morten Regnersgaard og fortsætter:

      ”Ikke alle risici kan håndteres med samme hastighed og omfang, så det er vigtigt at prioritere indsatsen. Kritiske funktioner, der understøtter organisationens kerneydelser og lovpligtige forpligtelser, bør håndteres først. Dette kan, men er ikke begrænset til, at inkludere beskyttelse mod cyberangreb, sikring af forsyningskæder eller etablering af nødprocedurer for vigtige driftsområder.”

       

      Reducér sårbarhederne med konkrete tiltag

      Når risikoområderne er kortlagt, skal der udvikles konkrete tiltag for at reducere sårbarhederne. Disse kan spænde fra tekniske løsninger som redundante systemer og backup-strategier til organisatoriske tiltag som beredskabsplaner og medarbejdertræning.

      ”En plan er kun så god som dens implementering. Derfor er det vigtigt at afholde regelmæssige stresstests og krisesimuleringer, hvor organisationen afprøver sin respons på forskellige scenarier. Læring fra disse øvelser bør omsættes til justeringer i strategien, så robustheden hele tiden forbedres,” forklarer Morten Regnersgaard.

      Læs mere om risikovurdering her.

       

      A4_Brochure_Regnersgaard-1.png

       

      Hvilke faldgruber skal man være opmærksom på?

      En af de største fejl virksomheder kan begå, er ifølge Morten Regnersgaard at undervurdere deres afhængigheder af leverandører og andre sektorer:

      ”Hvis én del af forsyningskæden svigter, kan konsekvenserne være langt større end først antaget. Derfor er det vigtigt at kortlægge sammenhænge og potentielle afledte effekter.”

      Derudover peger han på, at en anden udfordring er balancen mellem dataindsamling og handling.

      ”Det er vigtigt at have nok oplysninger til at træffe informerede beslutninger, men uden at drukne i analyser, der forsinker indsatsen.”

      Endelig er manglende ressourcer en hyppig barriere. Hvis der ikke investeres nok i både teknologi og kompetencer, risikerer virksomheder at stå med ineffektive tiltag, der ikke lever op til direktivets krav:

      ”En risikobaseret tilgang sikrer i bund og grund, at ressourcerne prioriteres dér, hvor de skaber størst værdi.”

       

      Sammenfatning: Robusthed kræver struktur og dokumentation for tiltag

      At efterleve CER-direktivet kræver en mere systematisk tilgang til risikohåndtering– både for virksomheder i kritisk infrastruktur og deres leverandører. Men som med al ny regulering er det aldrig uden udfordringer. Det stiller øgede krav til virksomheder, der nu skal investere ressourcer i at kortlægge og dokumentere arbejdet med forskelligartede risici.

      Baseret på vores erfaring med sikkerhedsrådgivning anbefaler vi, at virksomheder starter med at identificere de mest kritiske af slagsen og implementere målrettede tiltag, der ikke kun styrker deres egen robusthed, men også sikrer forsyningskæden som helhed. En effektiv indsats kræver indsigt i afhængigheder – både internt i egen drift og på tværs af leverandørkæden. Ved at inddrage forskellige afdelinger og stille de rette spørgsmål kan I kortlægge, målrette og dokumentere jeres risici.

       

      Vil du have professionel hjælp?

      Hos Securitas har vi både den nødvendige ekspertise og erfaring til at hjælpe virksomheder med at leve op til CER-direktivet. Vores sikkerhedsrådgivere hjælper med alt fra risikovurderinger til implementering af nødvendige sikkerhedsløsninger. Uanset om det drejer sig om fysisk sikring, elektronisk overvågning, brand- og førstehjælpsudstyr eller beredskabsplanlægning, står vi klar til at rådgive og skræddersy en løsning, der passer til din virksomheds behov. Hverken mere eller mindre.

      Har du spørgsmål – eller vil du booke en gratis risikovurdering? Ring til os på 43 43 43 88. Vi står klar til en uforpligtende snak om, hvordan vi kan hjælpe din virksomhed med at leve op til CER-direktivets krav.

      Administrer præferencer

      Du kan beslutte, hvordan vi bruger cookies på din enhed ved at justere nedenstående indstillinger. Klik på "Accepter alle", hvis du accepterer alle cookies. Hvis du ikke accepterer, at vi lagrer cookies, der er relateret til Google Analytics, kan du lade feltet være tomt. Alle andre cookies, som vi bruger, betragtes som altid aktive, da de er nødvendige for, at vi kan lade besøgende interagere med og bruge webstederne. Når du har foretaget dit valg, skal du rulle ned på listen og derefter klikke på knappen “Bekræft mine valg” nederst på listen.

      Læs mere om vores cookie politik
      • Name:
        _ga

        Bruges til at skelne mellem brugere. En unik identifikator tilknyttet hver bruger sendes med hvert hit for at bestemme, hvilken trafik der hører til hvilken bruger. Denne cookie gør det muligt for ejeren af ​​webstedet at spore en besøgendes adfærd og måle webstedets ydeevne. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

        Name:
        _gat

        Bruges til at begrænse anmodninger om information på webstedet. Denne cookie gemmer ikke brugeroplysninger. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

        Name:
        _gid

        Bruges til at skelne mellem brugere. Denne cookie gør det muligt for ejeren af ​​webstedet at spore en besøgendes adfærd og måle webstedets ydeevne. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

      • Name:
        ai_session

        Fremskynder sideindlæsningstider og tilsidesætter eventuelle sikkerhedsrestriktioner, der kan anvendes på en browser baseret på den IP-adresse, hvorfra den kommer.

        Name:
        ai_user

        Unik bruger-id-cookie, der bruges til at tælle antallet af brugere, der har adgang til en applikation over tid.

      • Name:
        ARRAffinity

        Omstiller anmodningen fra en webbrowser til den samme maskine i DXC-skymiljøet. Se ARRAffinity - Microsoft Azure. Denne cookie slettes, når du lukker din browser.

      • Name:
        __cfuid

        Fremskynder sideindlæsningstider og tilsidesætter eventuelle sikkerhedsrestriktioner, der kan anvendes på en browser baseret på den IP-adresse, hvorfra den kommer

      • Name:
        CookiesAccept

        Bruges til at holde styr på, om brugeren har accepteret brugen af ​​cookies eller ej. Dette indstilles ikke, medmindre den besøgende har klikket på "Accepter" i cookiebanneret nederst på hjemmesiden. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

      • Name:
        EPiForm_{FormGuid}:{Username}

        Gemmer delvise formularindsendelser, så en besøgende kan fortsætte med en formularindsendelse ved returnering. En cookie oprettes til hver form og hver logget besøgende. Gemmer den aktuelle indsendelsesstatus for formularen (formGuid, submissionID, og ​​hvis indsendelsen er afsluttet eller ej).

        Name:
        .EPiForm_BID

        Identificerer formularindsendelsen til webstedet, når en besøgende indsender data via en Episerver-formular. Gemmer en GUID som browser-id.

        Name:
        .EPiForm_VisitorIdentifier

        Identificerer formularindsendelsen til webstedet, når en besøgende indsender data til via en Episerver-formular. Gemmer en GUID, der er gæstens id. Vedvarende (90 dage fra oprettelsen).

      • Name:
        EPI-MAR-<Content GUID>

        Registrerer en besøgende interaktion med en kørende websiteoptimeringstest for at sikre, at en besøgende har en ensartet oplevelse.

      • Name:
        ASP.NET_SessionId

        Bruges til at holde styr på, hvordan en bruger navigerer gennem webstedet. Dette bruges til at overføre information mellem sider og til at gemme oplysninger, som brugeren muligvis genbruger på forskellige sider. Hovedformålet med denne cookie er at forbedre webstedets ydeevne.

      Beklager, www.securitas.dk understøtter ikke Internet Explorer. For at bruge vores hjemmeside, så prøv at bruge en nyere browser som Chrome, Safari, Firefox eller Edge.