Spørgsmål og svar om NIS 2

Vi har samlet en række spørgsmål og svar om NIS 2. Siden vil løbende blive opdateret i takt med at yderligere afklaringer.

Generelle spørgsmål om NIS 2

Hvad er NIS 2?

NIS 2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU. NIS 2-direktivet bygger ovenpå og ophæver EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).

 

Formålet med NIS 2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.

 

Hvornår træder NIS 2-loven i kraft?

EU-direktivet bliver udmøntet i national lov og bekendtgørelser og forventes at være implementeret i dansk ret den 1. juli 2025. Herefter skal de virksomheder og myndigheder, der er omfattet, efterleve kravene i lovgivningen samt eventuelle yderligere krav, som er fastsat i EU-regi eller i bekendtgørelser.

 

Loven kommer til at gælde for størstedelen af direktivets sektorer, med undtagelse af energi-, tele-, og finanssektorerne, hvor implementeringen vil ske ved særskilt lovgivning.

 

Hvor kan NIS 2-omfattede enheder få hjælp til implementeringen?

Der vil blive udarbejdet en række vejledninger, der skal understøtte implementeringen. Vejledningerne uddyber de centrale krav og begreber i NIS 2-loven, som går på tværs af sektorer. Disse vejledninger vil blive lagt på www.cfcs.dk/nis2 inden loven træder i kraft.

Derudover har de sektoransvarlige myndigheder mulighed for at lave sektorspecifikke vejledninger. 

 

Hvad er forskellen på NIS1 og NIS 2

Flere myndigheder og virksomheder (kaldet ”enheder”) vil være omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS 2-lovforslaget, er beskrevet i lovforslagets bilag 1 (sektorer af særligt kritisk betydning) og bilag 2 (andre kritiske sektorer). Læs mere her

 

Anvendelsesområdet

Hvilke sektorer er omfattet?

NIS 2-lovforslaget har fastlagt en række sektorer og typer af enheder, som er omfattet af NIS 2-loven. De enheder, der er omfattet af loven, er virksomheder, organisationer og offentlige myndigheder mv. (juridiske personer).

 

Du kan finde listen over omfattede sektorer i lovforslagets bilag 1 og 2. Læs mere her.

 

Hvad er forskellen mellem en vigtig og en væsentlig enhed?

NIS2-loven opdeler omfattede enheder i væsentlige og vigtige enheder alt efter deres kritiske betydning og størrelse. Kravene til de to typer enheder er i udgangspunktet ens, men det vil have betydning for, hvordan der føres tilsyn med enhederne og for sanktionsmulighederne.

 

Eksempelvis vil væsentlige enheder kunne få større bøder end vigtige enheder.

 

Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslaget

 

Anvendelsesområdet særligt for virksomheder

Hvordan vurderer man, om virksomheden er omfattet af NIS 2?

Tre kriterier afgør, om en virksomhed er omfattet af NIS 2-loven:

 

  1. Virksomheden hører til en af de omfattede sektorer
  2. Virksomhedens størrelse kategoriseres som mellemstor eller stor
  3. Virksomheden er omfattet uanset størrelse eller særlig vigtig fra et samfundsperspektiv.

Hvis man kan svare ja til kriterie 1 og 2 eller 3 vil virksomheden højst sandsynligt være omfattet af NIS 2-loven. 

 

Virksomheder kan også få hjælp til at vurdere, om de er omfattet af NIS 2-lovens anvendelsesområde med værktøjet "NIS 2-tjek". Gå til værktøjet her.

 
Hvordan bestemmes størrelsen af en virksomhed?

Selvom en virksomhed falder inden for en af de omfattede sektorer, er det ikke sikkert, at virksomheden er omfattet af NIS 2. For de fleste sektorer er det også et krav, at virksomheden er af en vis størrelse, før den er omfattet. For de fleste sektorer, er det et krav, at virksomheden er en mellemstor eller stor virksomhed før de er omfattet af loven.

 

For at leve op til størrelseskravet i lovforslaget, skal virksomhederne derfor som udgangspunkt beskæftige mindst 50 personer eller have en årlig omsætning og en samlet årlig balance på over 10 mio. euro.

 

Antal årsværk: Årsværk beregnes med data fra det seneste afsluttede regnskabsår. Hvis en virksomhed er inden for de omfattede sektorer, og har 50 eller flere ansatte, vil det for de flestes vedkommende betyde, at virksomheden er omfattet af NIS 2. Man skal være opmærksom på, at nogle sektorer er omfattet uanset størrelse. Arbejde præsteret af personer, der ikke har arbejdet hele året, eller som har arbejdet på deltid, uanset denne varighed, eller sæsonarbejdende indgår som brøkdele af et årsværk.

 

Omsætning og balance: Hvis en enhed ikke er inden for tærsklerne, der kendetegner en mellemstor eller stor virksomhed pba. antal ansatte, kan den være det som følge af sin omsætning og balance. Begge finansielle kriterier skal overskride tærsklerne. Dvs. at hvis en virksomhed med 35 ansatte fx har en årlig omsætning på 20 mio. EUR og en årlig samlet balance på 20 mio. EUR, vil virksomheden formentlig være mellemstor. Modsat vil en virksomhed med 35 ansatte, en årlig omsætning på 20 mio. EUR og en årlig samlet balance på 1 mio. EUR være en lille virksomhed.

 

Hvornår skifter en virksomhed størrelseskategori?

Hvis man som virksomhed konstaterer, at man på datoen for regnskabsafslutningen overskrider tærsklerne for antal beskæftigede eller de finansielle tærskler, betyder det ikke nødvendigvis, at man skifter kategori (fx fra lille virksomhed til mellemstor virksomhed). Dette vil kun være tilfældet, hvis overskridelsen finder sted i to på hinanden følgende regnskabsår.

 

Hvem er omfattet uanset størrelse?

Mikrovirksomheder og små virksomheder kan i særlige tilfælde være omfattet af NIS 2-loven på trods af deres størrelse. Det gælder eksempelvis, hvis virksomheden er tillidstjenesteudbyder, topdomænenavneadministrator, udbyder af domænenavnssystemer, en offentlig forvaltningsenhed under den centrale forvaltning (statslige myndigheder) eller en regional forvaltningsenhed i det omfang, den leverer kritiske tjenester.

 

Det gælder også enheder, der ud fra mere kvalitative kriterier i relation til deres samfundsmæssige betydning omfattes af loven, herunder bl.a. hvis enheden er den eneste udbyder af en væsentlig tjeneste, eller hvis forstyrrelser af tjenesten kan have alvorlige samfundsmæssige følgevirkninger i Danmark eller have grænseoverskridende effekt. 

 

Jeg er omfattet af NIS 2, hvornår skal jeg registrere mig?

Det følger af lovforslagets § 33, stk. 3, at omfattede enheder skal registrere sig senest d. 1. oktober, 2025. Nogle enheder vil kunne blive omfattet af lovforslaget efter d. 1. oktober, fx hvis de begynder at udbyder tjenester, der er omfattet af lovens anvendelsesområde, og/eller hvis enheden vokser og dermed kommer inden for størrelseskriterierne. I et sådant tilfælde skal enheden registrere sig inden for to uger. Det følger af lovforslagets § 10, stk. 2.

 

Jeg er omfattet af NIS 2, betyder det, at jeg skal have samme sikkerhedsniveau i hele min forretning?

Hvis en enhed er omfattet af NIS 2, så er det hele enheden, der er omfattet. Det betyder også, at enheden skal forholde sig til alle sine net- og informationssystemer i lyset af NIS 2-loven.

 

Dette gælder også, hvis enheden har flere forretningsområder, og kun ét af disse forretningsområder er omfattet af de sektorer, der er beskrevet i NIS 2-lovens bilag. Loven gælder dermed ikke udelukkende for bestemte kritiske net- og informationssystemer, eller for de net- og informationssystemer, der understøtter den tjeneste, der ligger til grund for, at enheden er blevet omfattet.

 

At hele enheden er omfattet betyder ikke, at der nødvendigvis er behov for de samme sikkerhedstiltag i hele enhedens forretning.

Da omfattede enheder skal implementere sikkerhedsforanstaltninger ud fra en risikobaseret tilgang, kan der godt eksistere forskellige sikkerhedstiltag i forskellige dele af enhedens net- og informationssystemer. Den risikobaserede tilgang indebærer blandt andet, at enheder skal foretage en vurdering af systemernes kritiske betydning og de samfundsmæssige og økonomiske skader, som en hændelse hos enheden ville kunne medføre.

 

For eksempel kunne det være, at den tjeneste eller aktivitet, der ligger til grund for, at enheden er omfattet af NIS 2, er den væsentligste del af forretningen at beskytte. Derfor ville man have et højere sikkerhedsniveau her end i resten af forretningen. Men det kunne også være, at denne del af forretningen er en mindre biaktivitet, som ikke har nogen større samfundsmæssig betydning. I sådan et tilfælde kunne et lavere sikkerhedsniveau være mere passende.

 

Det afgørende er derfor, at man forholder sig til alle enhedens net- og informationssystemer fra en risikobaseret tilgang og implementerer passende foranstaltninger på den baggrund.

 

Er det muligt at være omfattet af flere sektorer?

Ja, virksomheder kan tilhøre flere sektorer, hvis deres aktiviteter er spredt ud på flere forskellige sektorer, der er omfattet af NIS 2-loven.

 

Kan en virksomhed være omfattet af NIS 2 i forskellige lande?

Ja. Hvis man er omfattet af NIS 2-loven, skal man være opmærksom på, at selvom udgangspunktet er, at virksomheder, der er etableret i Danmark, hører under den danske NIS 2-lov, så er der visse type enheder, hvor der gælder andre regler.

 

Hvis man har flere aktiviteter, der betyder, at man som virksomhed er omfattet af NIS 2-loven, kan man godt være omfattet af den danske lovgivning som følge af den ene aktivitet, samtidig med at man er omfattet af et andet lands lovgivning, som følge af en anden aktivitet. Man kan læse nærmere om dette i lovudkastets § 2. 

 

Leverandører

Kan en organisation blive påvirket af NIS 2-lovgivning, hvis den ikke selv er omfattet af loven?

Virksomheder, der ikke er omfattet af NIS 2-lovgivning, kan alligevel blive påvirket, hvis de leverer tjenester eller varer til en virksomhed, der er omfattet af NIS 2-lovgivning. Det skyldes, at én af de elementer, virksomheder omfattet af NIS2, skal tage hensyn til i sit sikkerhedsarbejde, er forsyningskædesikkerhed.

 

Det betyder, at NIS 2-enheder skal foretage en vurdering af sikkerhedsrelaterede aspekter i forholdet mellem dem selv og deres leverandører eller tjenesteudbydere. På den baggrund kan der blive stillet krav til leverandører eller tjenesteudbydere, der leverer ydelser til virksomheder, som er omfattet af NIS 2. Disse krav stilles på baggrund af en risikobaseret tilgang.

 

Krav og foranstaltninger

Hvilke NIS 2-krav skal enhederne leve op til?

Hvis man er omfattet af NIS 2, skal man implementere en række foranstaltninger til styring af cybersikkerhedsrisici, man skal indberette væsentlige hændelser og man skal registrere sig som omfattet enhed.

 

I lovudkastets § 6 er der oplistet ti foranstaltninger, som virksomheder og myndigheder som minimum skal indføre. Lovforslagets artikel 20 stiller desuden krav til enhedernes ledelsesorganer, herunder bl.a. om ledelsesgodkendelse af foranstaltningerne til styring af cybersikkerhedsrisici, ledelsens tilsyn med foranstaltningernes gennemførelse samt ledelsens deltagelse i kurser. Enhederne tilskyndes desuden til at tilbyde kurser til deres ansatte. Læs mere om foranstaltninger til styring af cybersikkerhedsrisici.

 

Der vil desuden blive udarbejdet en række generelle vejledninger, som uddyber de centrale krav og begreber i NIS 2-loven, som går på tværs af sektorer. Disse vejledninger vil blive lagt på www.cfcs.dk/nis2, inden loven træder i kraft.

 

Er der en NIS 2 standard eller certificering?

Nej, der findes ikke en NIS 2 standard eller certificering, men der findes en række certificeringer og rammeværktøjer, som kan hjælp organisationer med at styrke cybersikkerheden og etablere ledelsessystemer for informationssikkerhed.

 

Registrering, rapportering og hændelsesunderretning

Hvor og hvordan registrerer man en enhed?

Det er muligt for omfattede enheder at registrere sig fra 1. juli 2025.

 

Registrering foretages via en blanket på www.virk.dk. Man får adgang vha. MitID Erhverv. Blanketten udfyldes online.

 

Når enheden registrerer sig, skal den angive hvilken sektor (eller sektorer), som virksomheden hører til. Når blanketten indsendes, vil den automatisk blive fordelt til de relevante sektoransvarlige myndigheder for de valgte sektorer. Der vil fremgå en liste her på siden over de sektoransvarlige myndigheder, før loven træder i kraft.

 

Den videre sagsbehandling sker via de sektoransvarlige myndigheder.

 

Registreringen kan ændres efter behov ved indsendelse af en ny blanket gennem samme registreringsløsning.

 

Fristen for registrering er 1. oktober 2025.

 

Hvilke hændelser skal indberettes?

Ifølge NIS 2-lovudkastet skal ”væsentlige hændelser” indberettes.

Væsentlige hændelser kendetegnes ved at de har:

 

  1. Forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller
  2. påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

Der vil blive udarbejdet en vejledning om indberetning af hændelser. Herudover kan du læse mere om væsentlige hændelser i lovudkastets § 12 og § 13.

 

Hvor og hvordan indberetter man hændelser?

Der arbejdes på at opdatere den fælles indberetningsløsning på www.virk.dk, hvor alle virksomheder og myndigheder omfattet af NIS 2 kan indberette væsentlige hændelser. Når det er oprettet, kan du finde et link til portalen her på siden.

 

Skal man indberette andre ikke-væsentlige hændelser?

Du kan frivilligt vælge at indberette hændelser, nærvedhændelser og cybertrusler, der ikke er karakteriseret som en væsentlig hændelse.

 

Ledelsesansvar

Hvem er defineret som ”ledelsen” i NIS 2 for virksomheder?

NIS 2 bruger begrebet ”ledelsesorgan”, og selvom der i dansk ret ikke findes en entydig definition af et ledelsesorgan, følger det af lovudkastets bemærkninger at begrebet "ledelsesorgan" i NIS 2-lovforslaget bør forstås i overensstemmelse med definitionerne af henholdsvis det centrale ledelsesorgan i selskabslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a, nr. 2.

 

Tilsyn og ansvarsfordeling mellem myndigheder

Hvem fører tilsyn med NIS 2?

Det er de sektoransvarlige myndigheders (i loven omtalt de kompetente myndigheder) opgave at føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS 2-kravene. Det er ikke endeligt fastlagt, hvilke myndigheder der skal føre tilsyn med de respektive sektorer. Når det ligger fast, vil der komme en oversigt med henvisninger her på siden.  

Hvem er de sektoransvarlige myndigheder?

De sektoransvarlige myndigheder bliver udpeget i en kommende bekendtgørelse, der udstedes af Ministeriet for Samfundssikkerhed og Beredskab. Når bekendtgørelsen er offentliggjort, vil der fremgå en oversigt over de sektoransvarlige myndigheder her på siden.

 

 

 

Kontakt

Spørgsmål til NIS 2?

  • Har man spørgsmål til den generelle proces for implementeringen af NIS 2-direktivet i Danmark, kan man rette henvendelse på nedenstående adresse.

Sidst opdateret 14. april, 2025 - Kl. 10.28
Relateret

Hvad er NIS 2?

Underside / 3. april, 2025 - Kl. 13.48

NIS 2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.

Implementering af NIS 2 i dansk ret

Underside / 3. april, 2025 - Kl. 13.44

Implementeringen af NIS 2-direktivet skal sikre et højt cybersikkerhedsniveau, ensartede og genkendelige krav på tværs af de omfattede sektorer i det omfang, det er muligt.

Krav og foranstaltninger

Underside / 3. april, 2025 - Kl. 13.39

Selvom NIS 2 ikke er implementeret i national lovgivning endnu, og kravene derfor ikke ligger helt fast, kan organisationer med fordel begynde at forberede sig på de overordnede krav.

Spørgsmål og svar om NIS 2

Underside / 14. april, 2025 - Kl. 10.28

Vi har samlet en række spørgsmål og svar om NIS 2. Siden vil løbende blive opdateret i takt med at yderligere afklaringer.

NIS 2-vejledninger

Underside / 3. april, 2025 - Kl. 13.48

På denne side vil vi samle vejledninger, der beskriver de centrale og tværgående begreber og krav i NIS 2.

Tilsyn og vejledning varetages af de sektoransvarlige myndigheder

Underside / 11. april, 2025 - Kl. 15.55

Det er de sektoransvarlige myndigheders opgave at vejlede og føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS2-kravene.