NIS2-loven stiller krav om, at omfattede organisationer registrerer sig hos myndighederne. Ved fristens udløb den 1. oktober havde kun 1.889 organisationer registreret sig, hvilket er markant færre end forventet.
Vores erfaring er, at en af de væsentligste årsager til, at mange organisationer endnu ikke har registreret sig, er usikkerhed om, hvorvidt de faktisk er omfattet af NIS2-loven. Lovens definitioner er komplekse og afhænger ofte af definitioner i en anden EU-lovgivning. Samtidig hersker der en udbredt misforståelse af, at det beror på en subjektiv vurdering, om en virksomhed er samfundskritisk nok til at være omfattet – og at loven derfor kun gælder de største aktører.
NIS2-lovens afgrænsning bygger på objektive kriterier i form af virksomhedens sektor og størrelse, og ikke på virksomhedens egen vurdering af, hvilken rolle den spiller i samfundet. Det gælder, selvom loven nogle gange kan opleves som uhensigtsmæssigt udformet.
De her misforståelser betyder, at mange – især små og mellemstore organisationer – ikke har registreret sig, fordi de tror, at loven ikke gælder for dem. Læs mere om NIS2-registrering.
Eventrække om NIS2
Sådan efterlever du kravene og skaber forretningsværdi.
Sådan implementerer du NIS2-kravene
Hent vores trin-for-trin-guide.
Hvem er omfattet af NIS2?
NIS2 finder anvendelse på organisationer, der kategoriseres som "væsentlige" eller "vigtige” enheder, og som leverer tjenester eller udfører deres aktiviteter inden for EU. Inddelingen har betydning for, hvilket tilsyn enhederne er underlagt, samt hvilke håndhævelsesforanstaltninger og sanktioner de kan blive pålagt.
Om en organisation betegnes som væsentlig eller vigtig afhænger af, om organisationen falder ind under NIS2-lovens bilag I (Sektorer af særligt kritisk betydning) eller bilag II (Andre kritiske sektorer), samt af virksomhedens størrelse.
For at kunne anses som en ”væsentlig enhed”, skal der være tale om en organisation, som er omfattet af lovens bilag I, som overskrider tærsklen for mellemstore virksomheder. En enhed anses for at overskride tærsklen for at være en mellemstor virksomhed, hvis én af følgende betingelser er opfyldt:
- Enheden beskæftiger mere end 250 personer, eller
- Enheden har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR.
Vigtige enheder er organisationer, som er aktive inden for en sektor i bilag 1 eller 2. Derudover skal enheden opfylde mindst én af følgende betingelser:
- Enheden beskæftiger mindst 50 årsværk, eller
- Enheden har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR.
Det er således tilstrækkeligt, at en organisation beskæftiger mindst 50 medarbejdere og opererer inden for et af NIS2-sektorerne, for at være underlagt reglerne.
Ved størrelsesberegningen medregnes tilknyttede partnervirksomheder, hvorfor et mindre datterselskab, der leverer NIS2-produkter eller -tjenester, stadig kan være omfattet af NIS2 på grund af sin ejerstruktur - selvom det isoleret set ikke opfylder størrelsestærsklerne.
Er du i tvivl om, din organisation er omfattet af NIS2? Tag testen med vores NIS2 Scoping Tool.
Sektorer af særligt kritisk betydning
Andre kritiske sektorer
NIS2 gælder per CVR-nummer
En "enhed" er en juridisk person, fx en kapitalvirksomhed, forening, organisation eller offentlig myndighed, der har fået tildelt et CVR-nummer.
Vurderingen af, om en organisation (eller ”enhed”) er omfattet af NIS2, skal foretages individuelt for hvert CVR-nummer. En koncern med flere selskaber, der hver har sit eget CVR-nummer, kan derfor have nogle selskaber, der er omfattet af NIS2, og andre, der ikke er. Det er organisationernes eget ansvar at vurdere, om de er omfattet af NIS2.
Når én del af virksomhedens afdeling (eller produkter/tjenester) er omfattet, er hele organsationen omfattet.
Hvis en enhed er omfattet af NIS2-loven, gælder loven for hele enheden og alle de net- og informationssystemer, der bruges i dens drift og tjenestelevering. Det gælder også, selvom kun ét forretningsområde eller afdeling hører under de sektorer, der er nævnt i lovens bilag. At hele enheden er omfattet, indebærer dog ikke, at alle dele skal have samme sikkerhedsniveau. Enheder skal anvende en risikobaseret tilgang og vurdere systemernes kritiske betydning samt de potentielle samfundsmæssige og økonomiske konsekvenser ved hændelser. Dermed kan en enhed vælge et højere sikkerhedsniveau for sine mest kritiske tjenester og et lavere niveau for mindre væsentlige aktiviteter.
Ingen nedre grænse
Det har som udgangspunkt ingen betydning, om produktet/serviceydelsen, som gør, at man er omfattet af NIS2, blot er tilknyttet eller ikke-væsentlige del af ens enhed.
Der findes enkelte undtagelser, hvor kriteriet om "vigtigste økonomiske aktiviteter" og lignende finder anvendelse, fx affaldshåndtering (bilag 2, sektor 2), drikkevand (bilag 1, sektor 6) og spildevand (bilag 1, sektor 7), hvor det fx fremgår, at virksomheder er omfattet, "bortset fra virksomheder, for hvilke (...) industrispildevand er en ikke-væsentlig del af deres generelle aktivitet".
Der findes altså i NIS2-loven ingen de minimis-regel eller lignende, som stiller krav til, at ydelsen, som gør, at man er omfattet af NIS2-loven, udgør en væsentlig eller ikke-accessorisk del af ens forretning, foruden de ovenfornævnte sektorer.
Koncerninterne it-ydelser kan anses som managed services og dermed være direkte omfattet af NIS2
Hvis en juridisk enhed (fx et moderselskab) leverer en NIS2-tjeneste (fx som managed service provider) til en anden, separat juridisk enhed (fx et datterselskab), kan moderselskabet være direkte omfattet af NIS2-loven, også selvom moderselskabet alene udbyder den pågældende managed (security) service til et begrænset antal organisationer eller virksomheder inden for samme koncern, fx datterselskabet.
Alle koncerner, hvor moderselskabet leverer it-drift eller lignende til sine koncernforbundne selskaber, bør derfor være opmærksomme på, om de alene af den grund falder ind under NIS2.
Det taler umiddelbart for, at fx moderselskabet er direkte omfattet, hvis leverancen sker som led i en kommerciel aktivitet mod betaling. Det taler også for, hvis aftalevilkår og prissætning fastsættes på markedsvilkår, og tjenesteydelserne i deres karakter og formål svarer til de typer af it-drift og sikkerhed, der typisk tilbydes som “managed services” på markedet.
Omvendt taler det imod, at moderselskabet er omfattet af NIS2, hvis der i højere grad er tale om en intern ressource- og omkostningsdeling i koncernen, hvor to eller flere organisationer inden for en koncern i praksis deler data, netværk eller systemer med hinanden og i fællesskab afholder de tilhørende omkostninger, uden at der er én bestemt organisation, der leverer administrerede tjenester til de øvrige.
Managed service er en enhed, ”der leverer tjenester i forbindelse med installation, administration, drift eller vedligeholdelse af IKT-produkter, -net, -infrastruktur, -applikationer eller andre net- og informationssystemer via assistance eller aktiv administration.”, som defineret i NIS 2-lovens § 3, nr. 34.
