NIS2 og CER: To direktiv, én norsk lov
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
NIS2 og CER: To direktiv, én norsk lov
EU vedtok NIS2 og CER-direktivet samtidig i desember 2022, som to sider av samme mynt. NIS2 handler om cybersikkerhet, mens CER (Critical Entities Resilience) handler om fysisk motstandsdyktighet for kritisk infrastruktur. De fleste EU-land implementerer direktivene som to separate lover. Norge har valgt en annen vei.
CER-direktivet dekker 11 sektorer som overlapper med NIS2, og EU-kommisjonen anslår at over 10 000 virksomheter i Europa vil bli utpekt som kritiske enheter under CER (EU-kommisjonen, 2023). For Norge betyr sammenslåingen av direktivene at disse virksomhetene får ett sett krav, ikke to.
Nøkkelpunkter
- Norge samler NIS2 (cyber) og CER (fysisk) i digitalsikkerhetsloven, til forskjell fra de fleste EU-land
- CER dekker 11 sektorer som overlapper med NIS2, med fokus på fysisk motstandsdyktighet (EU-kommisjonen, 2023)
- Virksomheter som er kritiske enheter under CER, får tilleggskrav utover standard NIS2
- Den norske tilnærmingen forenkler etterlevelse for virksomheter som ville falt under begge direktiv
Hva er CER-direktivet?
CER-direktivet (EU 2022/2557) krever at medlemsstater identifiserer kritiske enheter og pålegger dem tiltak for fysisk motstandsdyktighet. Ifølge EU-kommisjonens konsekvensanalyse er over 37 % av kritisk infrastruktur i Europa avhengig av grensekryssende tjenester (EU-kommisjonen, 2022). Det gjør koordinert beskyttelse nødvendig.
CER erstatter det eldre ECI-direktivet (2008/114/EC) som kun dekket energi og transport. Det nye direktivet utvider omfanget til 11 sektorer: energi, transport, bank, finansmarkedsinfrastruktur, helse, drikkevann, avløp, digital infrastruktur, offentlig forvaltning, romvirksomhet og matproduksjon.
Mens NIS2 fokuserer på nettverks- og informasjonssikkerhet, handler CER om den bredere motstandsdyktigheten. Det inkluderer naturkatastrofer, terrorisme, sabotasje og andre fysiske trusler. CER krever risikovurderinger som dekker alle relevante trusler, ikke bare cybertrusler.
Citatkapsel: CER-direktivet utvider kritisk infrastruktur-beskyttelse fra 2 til 11 sektorer og krever fysisk motstandsdyktighet, mens 37 % av Europas kritiske infrastruktur er avhengig av grensekryssende tjenester (EU-kommisjonen, 2022).
Hvordan overlapper NIS2 og CER?
De to direktivene deler 11 sektorer fullt ut. En virksomhet som er utpekt som kritisk enhet under CER, vil automatisk også være en vesentlig enhet under NIS2. Europarådet har påpekt at sektoroverlappen er tilsiktet for å sikre helhetlig beskyttelse (Europarådet, 2022).
Sektorer som overlapper
Alle 11 CER-sektorer finnes også i NIS2. Men NIS2 har ytterligere sektorer som ikke finnes i CER, som post, avfall, kjemisk industri og forskning. Virksomheter i de overlappende sektorene må oppfylle krav fra begge direktiv, noe som i de fleste EU-land betyr to separate sett med krav.
Krav som overlapper
Begge direktiv krever risikovurdering, hendelseshåndtering og rapportering. CER fokuserer på fysisk sikring, mens NIS2 fokuserer på cybersikkerhet. Men i praksis er disse vanskelige å skille. Et cyberangrep kan ha fysiske konsekvenser, og en fysisk hendelse kan påvirke IT-systemene.
[UNIQUE INSIGHT] Overlappen mellom fysiske og digitale trusler gjør den norske tilnærmingen, med ett samlet lovverk, til en mer realistisk tilnærming enn å ha to separate regimer. Hybride trusler, som kombinerer fysisk sabotasje med cyberangrep, krever en helhetlig respons. To separate tilsynsregimer risikerer å skape blindsoner i grensesnittet mellom fysisk og digital sikkerhet.
Trenger dere eksperthjelp med nis2 og cer: to direktiv, én norsk lov?
Våre skyarkitekter hjelper dere med nis2 og cer: to direktiv, én norsk lov — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hvorfor valgte Norge å samle direktivene?
Norge har tradisjon for sektorovergripende sikkerhetslovgivning, med sikkerhetsloven fra 2018 som et tydelig eksempel. Regjeringen har uttalt at en samlet lov gir mer konsistent regulering og reduserer byrden for virksomheter som ellers måtte forholde seg til to separate regelverk (Justis- og beredskapsdepartementet, 2024).
Fordeler med sammenslåing
For norske virksomheter er den største fordelen forenkling. I stedet for å gjennomføre to separate risikovurderinger, en for cybertrusler og en for fysiske trusler, kan virksomheten gjøre en helhetlig vurdering. Rapporteringen går til én myndighet, ikke to. Dokumentasjonskravene er samordnet.
Utfordringer med sammenslåing
Den viktigste utfordringen er at norsk lov potensielt stiller høyere krav enn det hvert enkelt direktiv gjør alene. Virksomheter som bare ville vært omfattet av NIS2 i et EU-land, kan i Norge møte tilleggskrav knyttet til fysisk motstandsdyktighet. Det øker etterlevelseskostnaden for noen virksomheter.
En annen utfordring er tolkningsrisiko. Når to EU-direktiv implementeres gjennom ett lovverk, kan det oppstå uklarheter om hvordan spesifikke krav skal forstås i lys av det underliggende direktivet.
Hva betyr det å bli utpekt som kritisk enhet?
Under CER-direktivet skal nasjonale myndigheter identifisere og utpeke kritiske enheter i hver sektor. EU-kommisjonen har estimert at prosessen med å identifisere kritiske enheter kan ta 12-18 måneder etter at direktivet er implementert (EU-kommisjonen, 2023). I Norge vil denne prosessen integreres i digitalsikkerhetslovens rammeverk.
Identifiseringsprosessen
Kritiske enheter identifiseres basert på om de leverer en viktig tjeneste, om det ikke finnes tilstrekkelige alternativer, og om en forstyrrelse av tjenesten ville ha vesentlig innvirkning på samfunnet. Sektormyndighetene gjennomfører vurderingen, med NSM i en koordinerende rolle.
Tilleggskrav for kritiske enheter
Virksomheter som utpekes som kritiske enheter, får tilleggskrav utover de generelle NIS2-kravene. Disse inkluderer mer omfattende risikovurderinger som også dekker fysiske trusler, krav til bakgrunnssjekk av nøkkelpersonell, spesifikke krav til fysisk sikring av kritisk infrastruktur, og planer for å opprettholde tjenesteleveranse under krisesituasjoner.
[PERSONAL EXPERIENCE] I prosjekter med virksomheter som er utpekt som kritisk infrastruktur under sikkerhetsloven, ser vi at det fysiske sikkerhetsarbeidet ofte er mindre modent enn cybersikkerheten. Mange virksomheter har investert betydelig i IT-sikkerhet, men har ikke gjort tilsvarende for fysisk sikring av servere, nettverksutstyr og kontrollsystemer.
Hvordan påvirker CER leverandørkjeden?
CER-direktivet stiller krav til at kritiske enheter vurderer avhengigheter i leverandørkjeden. En rapport fra OECD viser at 62 % av cyberangrep mot kritisk infrastruktur i 2024 involverte en leverandør eller tredjepart (OECD, 2025). Leverandørkjedevurdering er derfor ikke et teoretisk krav, men en praktisk nødvendighet.
Vurdering av avhengigheter
Kritiske enheter må kartlegge hvilke leverandører de er avhengige av for å levere sine viktige tjenester. Det inkluderer ikke bare IT-leverandører, men også leverandører av fysisk infrastruktur, vedlikehold, transport og andre tjenester som er nødvendige for driften.
Krav til leverandører
Virksomheter kan måtte stille sikkerhetskrav til leverandører som går utover det NIS2 alene krever. CER legger til krav om fysisk sikring og motstandsdyktighet som bør gjenspeiles i leverandøravtaler. For leverandører som betjener kritiske enheter, kan dette bety økte krav og kostnader.
Citatkapsel: OECD rapporterer at 62 % av cyberangrep mot kritisk infrastruktur i 2024 involverte en leverandør eller tredjepart, noe som understreker behovet for CER-direktivets krav til leverandørkjedevurdering (OECD, 2025).
Hva bør virksomheter gjøre for å forberede seg?
Bare 18 % av virksomheter i kritiske sektorer har begynt å vurdere fysisk motstandsdyktighet i tillegg til cybersikkerhet, ifølge en rapport fra Deloitte (Deloitte, 2025). Det er et bekymringsfullt lavt tall, gitt at digitalsikkerhetsloven vil kreve begge deler.
Helhetlig risikovurdering
Gjennomfør en risikovurdering som dekker både cybertrusler og fysiske trusler. Vurder naturhendelser, sabotasje, terrorisme og utilsiktede hendelser. Kartlegg avhengigheter mellom fysiske og digitale systemer.
Fysisk sikring
Vurder den fysiske sikringen av kritisk infrastruktur. Det inkluderer tilgangskontroll, overvåking, redundans og beskyttelse mot naturhendelser. For mange virksomheter er dette et mindre modent område enn cybersikkerheten.
Samordnet dokumentasjon
Utnytt fordelen med den norske tilnærmingen ved å etablere samordnet dokumentasjon for både fysisk og digital sikkerhet. En felles risikovurdering, en felles hendelseshåndteringsplan og et felles styringssystem gir bedre oversikt og er enklere å vedlikeholde.
Ofte stilte spørsmål
Er CER relevant for virksomheter som bare er omfattet av NIS2?
Dersom virksomheten ikke er utpekt som kritisk enhet under CER, gjelder bare NIS2-kravene. Men fordi Norge implementerer begge i ett lovverk, kan noen CER-elementer bli integrert i de generelle kravene. Følg med på forskriftene som utarbeides til digitalsikkerhetsloven.
Må vi gjøre to separate risikovurderinger?
Nei, det er hele poenget med den norske tilnærmingen. Gjør en helhetlig risikovurdering som dekker både cyber- og fysiske trusler. Det er både mer effektivt og gir et bedre risikobilde.
Hvem avgjør om virksomheten er en kritisk enhet?
Sektormyndighetene identifiserer og utpeker kritiske enheter basert på kriterier fastsatt i loven og forskriftene. Virksomheter kan ikke selv velge å bli utpekt eller reservere seg mot utpeking.
Gjelder CER-kravene for underleverandører?
CER stiller krav til at kritiske enheter vurderer sine leverandørkjeder, men underleverandører er ikke direkte omfattet av CER. De kan imidlertid møte krav gjennom kontrakter med kritiske enheter som må sikre sin leverandørkjede.
Hva skjer med eksisterende krav i sikkerhetsloven?
Sikkerhetsloven og digitalsikkerhetsloven vil eksistere parallelt. Virksomheter som er underlagt sikkerhetsloven, får et tilleggssett krav gjennom digitalsikkerhetsloven. NSM jobber med å samordne kravene slik at overlappende virksomheter ikke får unødvendig dobbelt byrde.
Viktige punkter om NIS2 CER To direktiv én
Norges beslutning om å samle NIS2 og CER i én lov er pragmatisk og reflekterer en virkelighet der fysiske og digitale trusler i økende grad henger sammen. For virksomheter som ville vært omfattet av begge direktiv, betyr det en enklere hverdag med ett regelverk å forholde seg til.
Det viktigste du kan gjøre nå er å utvide risikovurderingen til å inkludere fysiske trusler, kartlegge fysiske avhengigheter i leverandørkjeden, og etablere samordnet dokumentasjon. Virksomheter som allerede har et godt cybersikkerhetsrammeverk, har et forsprang, men må supplere det med fysisk motstandsdyktighet.
Meta description: Norge samler NIS2 og CER i digitalsikkerhetsloven. Over 37 % av Europas kritiske infrastruktur er grensekryssende. Lær hva det betyr.
Om forfatteren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.