Hvad er NIS2?

NIS2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.

NIS2-direktivet bygger ovenpå og ophæver EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).

 

Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.

 

Med NIS2 indføres en række nye krav til omfattede virksomheder og myndigheder. NIS2 stiller bl.a. krav om gennemførelse af cybersikkerhedsforanstaltninger, hændelsesrapportering samt giver styrkede tilsyns- og håndhævelsesbeføjelser.

 

Flere myndigheder og virksomheder (kaldet ”enheder”) vil være omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS2-direktivet, er beskrevet i direktivets bilag 1 (sektorer af særligt kritisk betydning) og bilag 2 (andre kritiske sektorer).

 

Hvem er omfattet af NIS2?

NIS2-direktivet fastsætter detaljerede regler for, hvilke virksomheder, myndigheder og organisationer (i direktivet kaldet enheder), der omfattes af direktivets anvendelsesområde. Dette er modsat NIS1-direktivet, hvor medlemsstaterne havde ansvaret for at udpege omfattede enheder.

 

Tre kriterier afgør, om en virksomhed er omfattet af NIS2:

 

  1. Virksomheden hører til en af de omfattede sektorer
  2. Virksomhedens størrelse
  3. Virksomheden er omfattet uanset størrelse eller særlig vigtig fra et samfundsperspektiv.

 

Hvis en virksomhed kan svare ja til kriterie 1 og 2 eller 3 vil virksomheden højst sandsynligt være omfattet af NIS2.

 

1. Sektorer omfattet af NIS2

Direktivet opdeler sektorerne i to grupper; sektorer af særlig kritisk betydning, og andre kritiske sektorer. Oversigten findes i direktivets bilag 1 og 2.

 

Sektorer af særlig kritisk betydning

Se hvilke delsektorer og typer af virksomheder (enheder) under dem, der er omfattet af NIS2.

Energi

  • Elektricitetsvirksomheder som defineret i artikel 2, nr. 57), i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 (1), der varetager »levering« som defineret i nævnte direktivs artikel 2, nr. 12)
  • Distributionssystemoperatører som defineret i artikel 2, nr. 29), i direktiv (EU) 2019/944.
  • Transmissionssystemoperatører som defineret i artikel 2, nr. 35), i direktiv (EU) 2019/944.
  • Producenter som defineret i artikel 2, nr. 38), i direktiv (EU) 2019/944.
  • Udpegede elektricitetsmarkedsoperatører som defineret i artikel 2, nr. 8), i Europa-Parlamentets og Rådets forordning (EU) 2019/943.
  • Markedsdeltagere som defineret i artikel 2, nr. 25), i forordning (EU) 2019/943, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring som defineret i artikel 2, nr. 18), 20) og 59), i direktiv (EU) 2019/944.
  • Operatører af ladestationer, der er ansvarlige for forvaltningen og driften af en ladestation, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne.
  • Operatører af fjernvarme eller fjernkøling som defineret i artikel 2, nr. 19), i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001.
  • Olierørledningsoperatører
  • Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission
  • Centrale lagerenheder som defineret i artikel 2, litra f), i Rådets direktiv 2009/119/EF.
  • Forsyningsvirksomheder som defineret i artikel 2, nr. 8), i Europa-Parlamentets og Rådets direktiv 2009/73/EF.
  • Distributionssystemoperatører som defineret i artikel 2, nr. 6), i direktiv 2009/73/EF.
  • Transmissionssystemoperatører som defineret i artikel 2, nr. 4), i direktiv 2009/73/EF.
  • Lagersystemoperatører som defineret i artikel 2, nr. 10), i direktiv 2009/73/EF.
  • LNG-systemoperatører som defineret i artikel 2, nr. 12), i direktiv 2009/73/EF.
  • Naturgasvirksomheder som defineret i artikel 2, nr. 1), i direktiv 2009/73/EF.
  • Operatører af naturgasraffinaderier og –behandlingsanlæg.
  • Operatører inden for brintproduktion, -lagring og -transmission

Transport

  • Luftfartsselskaber som defineret i artikel 3, nr. 4), i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål.
  • Lufthavnsdriftsorganer som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/12/EF, lufthavne som defineret i nævnte direktivs artikel 2, nr. 1), herunder de hovedlufthavne, der er anført i afsnit 2 i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013; og enheder med tilknyttede anlæg i lufthavne.
  • Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004.
  • Infrastrukturforvaltere som defineret i artikel 3, nr. 2), i Europa-Parlamentets og Rådets direktiv 2012/34/EU.
  • Jernbanevirksomheder som defineret i artikel 3, nr. 1), i direktiv 2012/34/EU, herunder operatører af servicefaciliteter som defineret i nævnte direktivs artikel 3, nr. 12).
  • Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand som defineret for søtransport i bilag I til Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004, bortset fra de enkelte fartøjer, som drives af disse rederier.
  • Driftsorganer i havne som defineret i artikel 3, nr. 1), i Europa-Parlamentets og Rådets direktiv 2005/65/EF, herunder deres havnefaciliteter som defineret i artikel 2, nr. 11), i forordning (EF) nr. 725/2004; og enheder, der opererer anlæg og udstyr i havne.
  • Operatører af skibstrafiktjenester som defineret i artikel 3, litra o), i Europa-Parlamentets og Rådets direktiv 2002/59/EF.
  • Vejmyndigheder som defineret i artikel 2, nr. 12), i Kommissionens delegerede forordning (EU) 2015/962, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikke væsentlig del af deres generelle aktivitet.
  • Operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1), i Europa-Parlamentets og Rådets direktiv 2010/40/EU.

Bankvirksomhed

Kreditinstitutter som defineret i artikel 4, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013.

Finansielle markedsinfrastrukturer

  • Operatører af markedspladser som defineret i artikel 4, nr. 24), i Europa-Parlamentets og Rådets direktiv 2014/65/EU.
  • Centrale modparter (CCP'er) som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012.

Sundhed

  • Sundhedstjenesteydere som defineret i artikel 3, litra g), i Europa-Parlamentets og Rådets direktiv 2011/24/EU.
  • EU-referencelaboratorier der er omhandlet i artikel 15, i Europa-Parlamentets og Rådets forordning (EU) 2022/2371.
  • Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler som defineret i artikel 1, nr. 2), i Europa-Parlamentets og Rådets direktiv 2001/83/EF.
  • Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater som omhandlet i hovedafdeling C, hovedgruppe 21, i NACE rev. 2.
  • Enheder, som fremstiller medicinsk udstyr, som den anser for at være kritisk i en folkesundhedsmæssig krisesituation (»liste over kritisk medicinsk udstyr til folkesundhedsmæssige krisesituationer«) i den i artikel 22 i Europa-Parlamentets og Rådets forordning (EU) 2022/123 anvendte betydning.

Drikkevand

  • Leverandører og distributører af drikkevand som defineret i artikel 2, nr. 1), litra a), i Europa-Parlamentets og Rådets direktiv (EU) 2020/2184 bortset fra distributører, for hvilke distribution af drikkevand er en ikkevæsentlig del af deres generelle aktivitet med distribution af andre råvarer og varer.

Spildevand

  • Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand som defineret i artikel 2, nr. 1), 2) og 3), i Rådets direktiv 91/271/EØF, bortset fra virksomheder, for hvilke indsamling, bortskaffelse eller behandling af byspildevand, husspildevand eller industrispildevand er en ikkevæsentlig del af deres generelle aktivitet.

Forvaltning af IKT-tjenester

  • Udbydere af administrerede tjenester
  • Udbydere af administrerede sikkerhedstjenester

Offentlig forvaltning

  • Offentlige forvaltningsenheder under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret
  • Offentlige forvaltningsenheder på regionalt plan som defineret af en medlemsstat i overensstemmelse med national ret

Rummet

  • Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet

 

Andre kritiske sektorer

Se hvilke delsektorer og typer af virksomheder (enheder) under dem, der er omfattet af NIS2.

Post- og kurertjenester

  • Postbefordrende virksomheder som defineret i artikel 2, nr. 1a), i direktiv 97/67/EF, herunder udbydere af kurertjenester

Affaldshåndtering

  • Virksomheder, der varetager affaldshåndtering som defineret i artikel 3, nr. 9), i Europa-Parlamentets og Rådets direktiv 2008/98/EF, bortset fra virksomheder, for hvilke affaldshåndtering ikke er deres vigtigste økonomiske aktivitet

Kemikalier

  • Virksomheder, der beskæftiger sig med fremstilling af stoffer og distribution af stoffer eller blandinger som omhandlet i artikel 3, nr. 9) og 14), i Europa-Parlamentets og Rådets forordning (EF) nr. 1907/2006 og virksomheder, der beskæftiger sig med produktion af artikler som defineret i artikel 3, nr. 3), i nævnte forordning ud af stoffer eller blandinger

Fødevarer

  • Fødevarevirksomheder som defineret i artikel 3, nr. 2), i Europa-Parlamentets og Rådets forordning (EF) nr. 178/2002, der beskæftiger sig med engrosdistribution og industriel produktion og tilvirkning

Fremstilling

Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnosti

Enheder, der fremstiller medicinsk udstyr som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) 2017/745 ( 4 ), og enheder, der fremstiller medicinsk udstyr til in vitro-diagnostik som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets forordning UDKAST 130 (EU) 2017/746 ( 5 ), med undtagelse af enheder, der fremstiller medicinsk udstyr omhandlet i dette direktivs bilag I, punkt 5, femte led

Fremstilling af computere og elektroniske og optiske produkter

Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 26, i NACE rev. 2

Fremstilling af elektrisk udstyr

Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 27, i NACE rev. 2

Fremstilling af maskiner og udstyr i.a.n.

Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 28, i NACE rev. 2

Fremstilling af motorkøretøjer, påhængsvogne og sættevogne

Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 29, i NACE rev. 2

Fremstilling af andre transportmidler

Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 30, i NACE rev. 2

Digitale udbydere

  • Udbydere af onlinemarkedspladser
  • Udbydere af onlinesøgemaskiner
  • Udbydere af platforme for sociale netværkstjenester

Forskning

  • Forskningsorganisationer

 

Herudover omfattes enheder, der er identificeret som kritiske i medfør af den danske implementering af CER-direktivet, og enheder, der leverer domænenavnsregistreringstjenester.

 

NIS2 vil blive implementeret i særskilt lovgivning for sektorerne energi, bankvirksomhed, finansielle markedsinfrastrukturer og dele af teleområdet inden for sektoren digital infrastruktur.

 

Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslaget.

 

Særligt om topdomænenavnsadministratorer og leverandører af domænenavnsregistreringstjenester

Selvom leverandører af domænenavnsregistreringstjenester ikke er på lovforslagets lister over omfattede sektorer, har NIS2 alligevel betydning for dem. NIS2 stiller krav om, at topdomænenavnsadministratorer og leverandører af domænenavnsregistreringstjenester skal føre en database, der indeholder nøjagtige og fuldstændige domænenavnsregistreringsdata.

 

Du kan læse mere om dette i lovforslaget

 

2. Størrelse

Det følger af lovforslagets bemærkninger, at det som udgangspunkt kun er virksomheder af en vis størrelse, der omfattes af loven.

 

For at leve op til størrelseskravet i lovforslaget, skal virksomhederne derfor som udgangspunkt beskæftige mindst 50 personer eller have en årlige omsætning og en samlet årlig balance på over 10 mio. euro.

 

Der kan komme tilpasninger til dette i forbindelse med behandlingen af lovforslaget. EU har udgivet en guide til hvordan man vurderer sin virksomheds størrelse.

 

Der er dog en række undtagelser der gør, at virksomheder kan være omfattet uanset størrelse. Det vil være tilfældet hvis:

 

  • virksomheden tilhører en sektor, der er omfattet uanset størrelse, eller
  • virksomheden tilhører en af de omfattede sektorer, og er samtidig særlig vigtig set fra et samfundsperspektiv (se nedenfor).

 

3. En virksomhed kan være omfattet uanset størrelse eller særlig vigtig set fra et samfundsperspektiv
 

Hvis en virksomhed ikke falder under kriteriet om størrelse kan den alligevel være omfattet af NIS2.

 

Derfor skal virksomhederne afklare om virksomheden tilhører en af de oplistede sektorer nedenfor, der er omfattet uanset størrelse, eller om virksomheden kan betegnes som særlig vigtig set fra et samfundsperspektiv.

 

Hvis mindst et af de nedenstående udsagn gør sig gældende, er virksomheden omfattet.

 

Virksomheden tilhører en sektor, der er omfattet uanset størrelse hvis:

 

  • virksomheden er udbyder af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester.
  • virksomheden er tillidstjenesteudbydere.
  • virksomheden er topdomænenavnsadministrator og/eller udbyder af domænenavnesystemer.

 

Virksomheden tilhører en af de omfattede sektorer og er særlig vigtig set fra et samfundsperspektiv hvis:

 

  • virksomheden er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
  • en forstyrrelse af den tjeneste, din virksomhed leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
  • en forstyrrelse af den tjeneste, din virksomheder leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
  • virksomheden er kritisk på grund af sin specifikke betydning på et nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.
  • virksomheden er identificeret som en kritisk enhed i henhold til implementeringen af CER-direktivet i dansk lov, der omhandler fysisk sikkerhed i kritisk infrastruktur.

 

Loven skelner mellem ”væsentlige” og ”vigtige” enheder
Om man er en ”væsentlig” eller en ”vigtig” enhed har betydning for, hvordan man er omfattet af NIS2.

 

I lovforslaget er kravene til foranstaltninger de samme, men der lægges op til, at der føres et mere tæt tilsyn med væsentlige enheder end der gør med vigtige. Samtidig vil væsentlige enheder kunne pålægges større bøder end vigtige enheder.

 

Væsentlige enheder:

Der lægges op til at større virksomheder, som beskæftiger mindst 250 personer eller har en årlig omsætning på over 50 mio. euro og en årlig samlet balance på over 43 mio., der opererer i sektorer af særlig kritisk betydning, visse digitale udbydere, statslige myndigheder, enheder omfattet af den danske implementering af CER-direktivet, samt enheder, der var omfattet af NIS1, vil være væsentlige enheder.

 

Virksomheder, der er omfattet af loven på grund deres særlige samfundsmæssige betydning, vil i udgangspunktet også være væsentlige enheder.

 

Virksomheder inden for sektorerne offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester vil også være væsentlige enheder, hvis de beskæftiger mindst 50 personer eller har en årlig omsætning og en samlet årlig balance på over 10 mio. euro.

 

Vigtige enheder:

Virksomheder, som er omfattet af NIS2, der ikke er karakteriseret som en væsentlig enhed, er en vigtig enhed.

 

Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslagets §§ 4-5.

 

Landets kommuner vil blive omfattet

Kommunerne vil, på lige fod med andre enheder, der er omfattet af lovens anvendelsesområde, ikke alene skulle træffe passende og forholdsmæssige foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer vedrørende de aktiviteter, der er oplistet i direktivets bilag, men for samtlige af de net- og informationssystemer, som de anvender til deres operationer, eller til at levere deres tjenester.

 

Forpligtelsen i NIS2-direktivets artikel 21, stk. 1, omfatter alle enheders operationer og tjenester og ikke kun specifikke it-aktiver eller kritiske tjenester.

 

Kontakt

Spørgsmål til NIS2?

  • Har man spørgsmål til den generelle proces for implementeringen af NIS2-direktivet i Danmark, kan man rette henvendelse på nedenstående adresse.

  • E-mail

    nis2@cfcs.dk
Sidst opdateret 24. februar, 2025 - Kl. 15.10
Relateret

Hvad er NIS2?

Underside / 24. februar, 2025 - Kl. 15.10

NIS2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.

Implementering af NIS2 i dansk ret

Underside / 24. februar, 2025 - Kl. 15.10

Implementeringen af NIS2-direktivet skal sikre et højt cybersikkerhedsniveau, ensartede og genkendelige krav på tværs af de omfattede sektorer i det omfang, det er muligt.

Krav og foranstaltninger

Underside / 24. februar, 2025 - Kl. 15.10

Selvom NIS2 ikke er implementeret i national lovgivning endnu, og kravene derfor ikke ligger helt fast, kan organisationer med fordel begynde at forberede sig på de overordnede krav.

Spørgsmål og svar om NIS2

Underside / 24. februar, 2025 - Kl. 15.33

Vi har samlet en række spørgsmål og svar om NIS2. Siden vil løbende blive opdateret i takt med at yderligere afklaringer.

NIS2-vejledninger

Underside / 24. februar, 2025 - Kl. 15.26

På denne side vil vi samle vejledninger, der beskriver de centrale og tværgående begreber og krav i NIS2.

Tilsyn varetages af de sektoransvarlige myndigheder

Underside / 24. februar, 2025 - Kl. 15.10

Det er de sektoransvarlige myndigheders opgave at føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS2-kravene.