Hvem er direkte og indirekte omfattet af NIS2?

NIS2-direktivet stiller skærpede krav til cybersikkerhed for virksomheder i kritiske og vigtige sektorer i EU og kan også påvirke leverandører til disse virksomheder.

Her kan du få overblik over, hvem der er direkte og indirekte omfattet af NIS2, hvilke sektorer og størrelseskriterier der gælder, samt hvilke krav og tilsynsformer virksomheden kan blive mødt med.

Kontrolrum

NIS2 kan gælde direkte for virksomheder i kritiske og vigtige sektorer, og indirekte for leverandører eller softwareudbydere til disse virksomheder.

Hvem er direkte omfattet af NIS2?

Din virksomhed er direkte omfattet af NIS2, hvis den opererer i en af de NIS2-definerede, kritiske sektorer inden for EU og opfylder størrelseskriterierne.

Enkelte virksomheder kan være omfattet af NIS2 uanset størrelse, hvis de vurderes særligt vigtige fra et samfundsperspektiv.

Omfattede sektorer

NIS2-loven inddeler omfattede virksomheder/enheder i væsentlige og vigtige enheder alt efter deres kritiske betydning og størrelse.

Virksomheder inden for disse sektorer klassificeres som væsentlige enheder:

  • Energi (elektricitet, olie, gas)
  • Transport (luft, jernbane, vand, vej)
  • Bankvirksomhed og finansielle markedsinfrastrukturer
  • Sundhed
  • Drikkevand og spildevand
  • Digital infrastruktur *
  • IKT-tjenester (managed services, managed security

* Digital infrastruktur omfatter udbydere af:

  • Internetudvekslingspunkter (IXP)
  • DNS-tjenester (ikke root-operatører)
  • Topdomænenavneadministratorer (TLD)
  • Cloud computing-tjenester (IaaS, PaaS, SaaS, NaaS)
  • Datacentertjenester
  • Indholdsleveringsnetværk (CDN)
  • Tillidstjenester (alle, uanset størrelse)
  • Offentlige elektroniske kommunikationsnet
  • Elektroniske kommunikationstjenester

Virksomheder inden for disse sektorer klassificeres som vigtige enheder:

  • Post- og kurertjenester
  • Affaldshåndtering
  • Kemikalier (produktion/distribution
  • Fødevarer (produktion/forarbejdning/distribution).
  • Fremstilling (medicinsk udstyr, computere, elektronik, maskiner, køretøjer m.m.)
  • Digitale udbydere (online markedspladser, søgemaskiner, sociale netværk)
  • Forskning

Væsentlige og vigtige virksomheder og enheder skal i udgangspunktet leve op til de samme NIS2-regler, men der er forskel på tilsynsregimerne og sanktionsmulighederne for eventuelle overtrædelser af NIS2-reglerne for hhv. væsentlige og vigtige enheder. Væsentlige enheder er f.eks. underlagt proaktivt tilsyn (regelmæssige audits), imens vigtige enheder er underlagt reaktivt tilsyn (efter hændelser). Væsentlige enheder vil også kunne modtage større bøder end vigtige enheder ved manglende regelefterlevelse.

Størrelseskriterier

Hvis din virksomhed opererer i en af de ovennævnte væsentlige eller vigtige sektorer, er virksomheden omfattet af NIS2, hvis den samtidig opfylder et af følgende størrelseskriterier:

  • Virksomheden beskæftiger 50 eller flere ansatte
  • Virksomheden har en årlig omsætning på mere end 10 mio. EUR samt en årlig samlet balance på over 10. mio. EUR

Undtagelser

Mikrovirksomheder og små virksomheder med færre end 50 ansatte er som udgangspunkt ikke omfattet af NIS2, men der findes undtagelser ift.:

  • Tillidstjenesteudbydere og topdomænenavnsadministratorer samt DNS-tjenesteudbydere
  • Offentlige forvaltningsenheder under den centrale forvaltning
  • Virksomheder der er identificeret som kritiske enheder i henhold til lov om kritiske enheders modstandsdygtighed (CER-loven)
  • Virksomheder der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med NIS1-direktivet
  • Virksomheder der er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter nationalt og regionalt og på tværs af sektorer

Er min virksomhed omfattet af NIS2?

Du skal selv foretage en vurdering af, om din virksomhed er omfattet af NIS2.

Styrelsen for Samfundssikkerhed har udarbejdet en vejledning, der kan hjælpe dig med at vurdere, om din virksomhed er omfattet af NIS2, ligesom styrelsen har lanceret et digitalt NIS2-tjek.

Digitaliseringsstyrelsen specifikt har udarbejdet et vejledningsmateriale til den digitale sektor. Vejledningen indeholder et selvevalueringsskema, som din virksomhed kan anvende som redskab til at vurdere i hvor høj grad, du lever op til kravene NIS2-loven. Der henvises til en række relaterede cybersikkerhedsstandarder. Hvis virksomheden allerede lever op til en eller flere af disse standarder, kan vejledningen således simplificere implementeringen af NIS2-loven. Find den her.

Hvem er indirekte omfattet af NIS2?

Selvom du ikke måtte være direkte omfattet af NIS2, kan din virksomhed stadig blive indirekte omfattet af NIS2, hvis du er leverandør til en direkte omfattet virksomhed, der via NIS2 bliver pålagt at skærpe cybersikkerheden i leverandørkæden.

Hvis du eksempelvis leverer software, der integreres i en NIS2-omfattet virksomheds systemer, kan du blive mødt af krav om skærpede cybersikkerhedsforanstaltninger og dokumentation herpå, da eventuelle sikkerhedssvagheder i softwaren kan udgøre en risiko hos din kunde.

Videre kan du blive mødt af strengere kontraktlige krav, inkl. krav om rapportering og sikkerhedsrevisioner, eller krav om standarder og certificeringer. Det kan du som it-leverandør, læse mere om her.

Læs mere her for hjælp til implementering af passende og proportionelle sikkerhedsforanstaltninger, så du som it-leverandør til en direkte NIS2-omfattet virksomhed kan leve op til din kundes skærpede sikkerhedskrav.

Få hjælp til NIS2 af IT-Branchens medlemmer

En række af IT-Branchens medlemmer tilbyder specialiseret rådgivning og løsninger, der kan hjælpe din organisation med at leve op til NIS2-direktivet. Det gælder både tekniske services, risikovurderinger, compliance-arbejde og beredskabsplaner.

Hvis I som virksomhed har brug for støtte til at forstå, implementere eller dokumentere jeres cybersikkerhedsindsats, kan I finde kvalificerede it-leverandører, der står klar til at hjælpe.

Er I selv it-leverandør med NIS2-relaterede rådgivning og løsninger? Så kan I også blive synlige på listen over de virksomheder, der tilbyder ekspertise og hjælp.

SE HVEM DER KAN HJÆLPE

Læs mere om NIS2

Hænglås

Hvad er NIS2?

NIS2 er EU’s opdaterede direktiv om cybersikkerhed. Det har til formål at forbedre cybersikkerheden i EU og beskytte infrastrukturen.
LÆS MERE HER
Nis2 univers

Hvilke minimumskrav er der i NIS2?

De skærpede NIS2-krav påvirker ledelse, risikostyring og rapportering, også for it-leverandører. Sådan kan du leve op til dem.
LÆS MERE HER
Telefonmast

Bliv klar til NIS2 som direkte omfattet

Er din virksomhed direkte omfattet af NIS2, får du her de første skridt til at sikre cybersikkerheden.
LÆS MERE HER
Grafisk billede

Bliv klar til NIS2 som it-leverandør

Læs med her og bliv klædt på til hvordan du som it-leverandør forbereder dig mest muligt til NIS2.
LÆS MERE HER
vejvisning

Guides, vejledninger og værktøj

Find guides, vejledninger og værktøj, der kan hjælpe dig godt på vej, hvis din virksomhed er NIS2 omfattet
LÆS MERE HER

Har du spørgsmål?

Kontakt Troels Johansen, som er ansvarlig for IT-Branchens policy board for cybersikkerhed, for yderligere information om NIS2.