Spørgsmål og svar om NIS2
Vi har samlet en række spørgsmål og svar om NIS2. Siden vil løbende blive opdateret i takt med at yderligere afklaringer.
Generelle spørgsmål om NIS2
Hvad er NIS2?
NIS2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU. NIS2-direktivet bygger ovenpå og ophæver EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).
Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.
Hvornår træder NIS2-loven i kraft?
EU-direktivet bliver udmøntet i national lov og bekendtgørelser og forventes at være implementeret i dansk ret den 1. juli 2025. Herefter skal de virksomheder og myndigheder, der er omfattet, efterleve kravene i lovgivningen samt eventuelle yderligere krav, som er fastsat i EU-regi eller i bekendtgørelser. Loven kommer til at gælde for størstedelen af direktivets sektorer, med undtagelse af energi-, tele-, og finanssektorerne, hvor implementeringen vil ske ved særskilt lovgivning.
Hvor kan NIS2-omfattede virksomheder få hjælp til implementeringen?
Der vil blive udarbejdet en række vejledninger, der skal understøtte implementeringen. Disse vejledninger vil blive lagt på cfcs.dk inden d. 1. juli 2025.
Hvad er forskellen på NIS1 og NIS2
Flere myndigheder og virksomheder (kaldet ”enheder”) vil være omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS2-direktivet, er beskrevet i direktivets bilag 1 (sektorer af særligt kritisk betydning) og bilag 2 (andre kritiske sektorer). Læs mere her.
Kan virksomheder forberede sig på NIS2 allerede nu?
Man kan som virksomhed orientere sig i, hvilke krav NIS2 stiller om foranstaltninger, indberetning af hændelser mv. I de kommende vejledninger, vil kravene blive uddybet. Indtil da, kan virksomheder eksempelvis starte med at lave et dokumenteret overblik over sine it-systemer, genbesøge deres risikovurdering og beredskabsplan.
Som nationalt kompetencecenter for cybersikkerhed vejleder CFCS myndigheder og virksomheder I at styrke cybersikkerheden. I den forbindelse findes der generelle råd og vejledninger om cybersikkerhed og ”best practice” på www.cfcs.dk/da/forebyggelse. Disse råd og vejledninger er ikke en facitliste for, om man lever op til NIS2-kravene.
Anvendelsesområdet
Hvilke sektorer er omfattet?
NIS2-direktivet har fastlagt en række sektorer og typer af enheder, som er omfattet af NIS2 loven. De enheder, der er omfattet af loven, er virksomheder, organisationer og offentlige myndigheder mv. (juridiske personer).
Du kan finde listen over omfattede sektorer i direktivets bilag 1 og 2. Læs mere her.
Hvad er forskellen mellem en vigtig og en væsentlig enhed?
NIS2-loven opdeler omfattede enheder i væsentlige og vigtige enheder alt efter deres kritiske betydning og størrelse. Kravene til de to typer enheder er i udgangspunktet ens, men det vil have betydning for, hvordan der føres tilsyn med enhederne og for sanktionsmulighederne.
Eksempelvis vil væsentlige enheder kunne få større bøder end vigtige enheder.
Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslaget.
Anvendelsesområdet særligt for virksomheder
Hvordan vurderer man, om virksomheden er omfattet af NIS2?
Tre kriterier afgør, om en virksomhed er omfattet af NIS2:
- Virksomheden hører til en af de omfattede sektorer
- Virksomhedens størrelse kategoriseres som mellemstor eller stor
- Virksomheden er omfattet uanset størrelse eller særlig vigtig fra et samfundsperspektiv.
Hvis man kan svare ja til kriterie 1 og 2 eller 3 vil virksomheden højst sandsynligt være omfattet af NIS2.
Hvordan bestemmes størrelsen af en virksomhed?
Selvom en virksomhed falder inden for en af de omfattede sektorer, er det ikke sikkert, at virksomheden er omfattet af NIS2. For de fleste sektorer er det også et krav, at virksomheden er af en vis størrelse, før den er omfattet. For de fleste sektorer, er det et krav, at virksomheden er en mellemstor eller stor virksomhed før de er omfattet af loven.
Antal ansatte: Fuldtidsansatte beregnes med data fra det seneste afsluttede regnskabsår. Hvis en virksomhed er inden for de omfattede sektorer, og har 50 eller flere ansatte, vil det for de fleste vedkommende betyde, at virksomheden er omfattet af NIS2. Man skal være opmærksom på, at nogle sektorer er omfattet uanset størrelse.
Omsætning og balance: Hvis en enhed ikke er inden for tærsklerne, der kendetegner en mellemstor eller stor virksomhed pba. antal ansatte, kan den være det som følge af sin omsætning og balance. Begge finansielle kriterier skal overskride tærsklerne. Dvs. at en virksomhed med 35 ansatte fx har en årlig omsætning på 20 mio. EUR og en årlig samlet balance på 20 mio. EUR, vil virksomheden formentlig være mellemstor. Modsat vil en virksomhed med 35 ansatte, en årlig omsætning på 20 mio. EUR og en årlig samlet balance på 1 mio. EUR være en lille virksomhed.
Hvornår skifter en virksomhed størrelseskategori?
Hvis man som virksomhed konstaterer, at man på datoen for regnskabsafslutningen overskrider tærsklerne for antal beskæftigede eller de finansielle tærskler, betyder det ikke nødvendigvis, at man skifter kategori (fx fra lille virksomhed til mellemstor virksomhed). Dette vil kun være tilfældet, hvis overskridelsen finder sted i to på hinanden følgende regnskabsår.
Hvem er omfattet uanset størrelse?
Mikrovirksomheder og små virksomheder kan i særlige tilfælde være omfattet af NIS2-loven på trods af deres størrelse. Det gælder eksempelvis, hvis virksomheden er tillidstjenesteudbyder, topdomænenavneadministrator, udbyder af domænenavnssystemer, en offentlig forvaltningsenhed under den centrale forvaltning (statslige myndigheder) eller en regional forvaltningsenhed i det omfang, den leverer kritiske tjenester.
Det gælder også enheder, der ud fra mere kvalitative kriterier i relation til deres samfundsmæssige betydning omfattes af loven, herunder bl.a. hvis enheden er den eneste udbyder af en væsentlig tjeneste, eller hvis forstyrrelser af tjenesten kan have alvorlige samfundsmæssige følgevirkninger i Danmark eller med grænseoverskridende effekt.
Hvordan bestemmer man størrelsen på en virksomhed med flere partner- eller tilknyttede virksomheder?
Hvis en virksomhed i vid udstrækning opererer uafhængigt af sine partner- eller tilknyttede virksomheder, kan den godt blive anset for at være under størrelsestærsklen for mellemstore virksomheder og dermed falde udenfor NIS2-loven, selv om den inklusive partner- og tilknyttede virksomheder defineres som stor eller mellemstor. Det gælder især, hvis en virksomhed er uafhængig af sine partnervirksomheder eller tilknyttede virksomheder med hensyn til de net- og informationssystemer, den bruger til at levere sine tjenester, og med hensyn til de tjenester, den leverer.
Man kan læse mere om partner- og tilknyttede virksomheder i vejledningen om anvendelsesrådet.
Jeg er omfattet af NIS2, hvornår skal jeg registrere mig?
Det følger af lovforslagets § 28, stk. 3, at omfattede enheder skal registrere sig senest d. 1. oktober, 2025. Nogle enheder vil kunne blive omfattet af direktivet efter d. 1. oktober, fx hvis de begynder at udbyder tjenester, der er omfattet af lovens anvendelsesområde, og/eller hvis enheden vokser og dermed kommer inden for størrelseskriterierne. I et sådant tilfælde skal enheden registrere sig inden for to uger. Det følger af lovforslagets § 10, stk. 2.
Jeg er omfattet af NIS2, betyder det, at jeg skal have samme sikkerhedsniveau i hele min forretning?
Hvis én del af en enhed er omfattet af NIS2-loven, betyder det, at alle de net- og informationssystemer som enheden anvender til sine operationer eller til at levere sine tjenester er omfattet. Dette gælder også, hvis enheden har flere forretningsområder eller er opdelt i flere administrative enheder, og kun ét af disse forretningsområder er omfattet af de sektorer, der er omhandlet i NIS2-direktivets bilag. Da omfattede enheder skal implementere sikkerhedsforanstaltninger ud fra en risikobaseret tilgang, kan der dog godt være varierende sikkerhedstiltag i forskellige dele af enhedens net- og informationssystemer.
Den risikobaserede tilgang indebærer bl.a., at enheder skal foretage en vurdering af deres kritiske betydning og de samfundsmæssige og økonomiske skader, en hændelse i enheden ville kunne medføre. Fx kan det være, at den tjeneste eller aktivitet, der ligger til grund for, at enheden er omfattet af NIS2, er den væsentligste del af forretningen at beskytte, og at man derfor skal have et højere sikkerhedsniveau her end i resten af forretningen. Men det kan også være, at denne del af forretningen er en mindre biaktivitet, som ikke har nogen større samfundsmæssig betydning.
Det afgørende er derfor, at man foretager en risikobaseret vurdering af alle enhedens net- og informationssystemer og implementerer passende foranstaltninger ud fra denne. Herudover kan nogle af enhedens net- og informationssystemer være uden betydning for enhedens operationer, eller for at levere enhedens tjenester. I tilfælde hvor enheden har identificeret net- og informationssystemer, som ikke kan få betydning for enhedens operationer eller leveringen af dens tjenester, kan den vælge at se bort fra disse i implementeringen af foranstaltninger.
Er det muligt at være omfattet af flere sektorer?
Ja, virksomheder kan tilhøre flere sektorer, hvis deres aktiviteter er spredt ud på flere forskellige sektorer, der er omfattet af NIS2.
Kan en virksomhed være omfattet af NIS2 i forskellige lande?
Ja. Hvis man er omfattet af NIS2, skal man være opmærksom på, at selvom udgangspunktet er, at virksomheder, der er etableret i Danmark, hører under den danske NIS2-lov, så er der visse type enheder, hvor der gælder andre regler.
Det betyder også, at hvis man har flere aktiviteter, der betyder, at man som virksomhed er omfattet af NIS2, så kan man godt være omfattet af den danske lovgivning som følge af den ene aktivitet, samtidig med at man er omfattet af et andet lands lovgivning, som følge af den anden aktivitet. Man kan læse nærmere om dette i lovudkastets § 2.
Leverandører
Kan en organisation blive påvirket af NIS2 uden at være omfattet af lovgivningen?
Virksomheder, der ikke er omfattet af NIS2-loven, kan alligevel blive påvirket, hvis de leverer tjenester eller varer til en virksomhed, der er omfattet af NIS2. Det skyldes, at én af de elementer, virksomheder omfattet af NIS2, skal tage hensyn til i sit sikkerhedsarbejde, er forsyningskædesikkerhed.
For at imødekomme eventuelle krav fra kunder, som er omfattet af NIS2, er det en god idé at lave en risikovurdering af virksomhedens it-sikkerhed. Det kan man få hjælp til med it-risikovurderingsværktøjet fra www.Sikkerdigital.dk og vejledning.
Krav og foranstaltninger
Hvilke NIS2-krav skal organisationerne leve op til?
Hvis man er omfattet af NIS2, skal man implementere en række foranstaltninger til styring af cybersikkerhedsrisici, man skal indberette væsentlige hændelser og man skal registrere sig som omfattet enhed. Foranstaltningskravene er beskrevet i lovudkastets § 6, mens underretnings- og registreringspligten er beskrevet i lovudkastets kapitel 3. Herudover stiller NIS2 også nogle krav til ledelsen i omfattede enheder. Dette er beskrevet i lovudkastets § 7.
Der vil også blive udarbejdet vejledninger, der skal understøtte implementeringen af disse krav.
Hvilke krav til foranstaltninger er der i NIS2?
I lovudkastets § 6 er oplistet ti foranstaltninger, som virksomheder og myndigheder som minimum skal indføre.
Direktivets artikel 20 stiller desuden krav til enhedernes ledelsesorganer, herunder bl.a. om ledelsesgodkendelse af foranstaltningerne til styring af cybersikkerhedsrisici, ledelsens tilsyn med foranstaltningernes gennemførelse, samt ledelsens deltagelse i kurser. Enhederne tilskyndes desuden til at tilbyde kurser til deres ansatte.
Læs mere om foranstaltninger til styring af cybersikkerhedsrisici.
Er der en NIS2 standard eller certificering?
Nej, der findes ikke en NIS2 standard eller certificering, men der findes en række certificeringer og rammeværktøjer, som kan hjælp organisationer med at styrke cybersikkerheden og etablere ledelsessystemer for informationssikkerhed.
Rapportering og hændelsesunderretning
Hvilke hændelser skal indberettes?
Ifølge NIS2-lovudkastet skal ”væsentlige hændelser” indberettes.
Væsentlige hændelser kendetegnes ved at de har:
- Forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller
- påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.
Der vil blive udarbejdet en vejledning om indberetning af hændelser. Herudover kan du læse mere om væsentlige hændelser i lovudkastets § 12 og § 13.
Hvor indberetter man hændelser?
Der arbejdes på at opdatere den fælles indberetningsløsning på virk.dk, hvor alle virksomheder og myndigheder omfattet af NIS2 kan indberette væsentlige hændelser. Når det er oprettet, kan du finde et link til portalen her på siden.
Skal man indberette andre ikke-væsentlige hændelser?
Du kan frivilligt vælge at indberette hændelser, nær-ved-hændelser og cybertrusler, der ikke er karakteriseret som en væsentlig hændelse.
Ledelsesansvar
Hvem er defineret som ”ledelse” i NIS2?
NIS2 bruger begrebet ”ledelsesorgan”, og selvom der i dansk ret ikke findes en entydig definition af et ledelsesorgan, følger det af lovudkastets bemærkninger at begrebet ’ledelsesorgan’ i NIS 2-direktivet bør forstås i overensstemmelse med definitionerne af henholdsvis det centrale ledelsesorgan i selskabslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a, nr. 2.
Tilsyn og ansvarsfordeling mellem myndigheder
Hvem fører tilsyn med NIS2?
Det er de sektoransvarlige myndigheders (i loven omtalt de kompetente myndigheder) opgave at føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS2-kravene. Det er ikke endeligt fastlagt, hvilke myndigheder, der skal føre tilsyn med de respektive sektorer. Når det ligger fast, vil der komme en oversigt med henvisninger her på siden.
Hvem er de sektoransvarlige myndigheder?
Det er de sektoransvarlige myndigheders (i loven omtalt de kompetente myndigheder) opgave at føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS2-kravene. Det er ikke endeligt fastlagt, hvilke myndigheder, der skal føre tilsyn med de respektive sektorer. Når det ligger fast, vil der komme en oversigt med henvisninger her på siden.