Site Search Site Search

Loading Results

NIS2: Er I klar til registrering?

Header billede

EU’s NIS2-direktiv er blevet udmøntet i national lov og trådte i kraft den 1. juli 2025 for de fleste sektorer. Senest den 1. oktober 2025 skal omfattede organisationer være registreret. Få overblik over, hvad registreringspligten indebærer – og hvad I konkret skal have klar. 

Hvad er NIS2?

EU’s NIS2-direktiv stiller krav til cybersikkerhed i virksomheder og myndigheder. NIS2-direktivet skulle have være implementeret i dansk lov senest den 17. oktober 2024, men trådte først i kraft den 1. juli 2025.

Den digitale udvikling og den geopolitiske situation øger samfundets sårbarhed over for cybertrusler – særligt for kritiske funktioner og infrastruktur.

Formålet med NIS2-direktivet er derfor at styrke og harmonisere cybersikkerheden og modstandsdygtigheden i samfundskritiske sektorer. 

Formålet kan også anskues fra en anden vinkel, nemlig som et middel til at beskytte virksomhedens drift samt de produkter eller ydelser, den bidrager med til samfundet.  

De omfattede organisationer skal derfor fra den 1. juli 2025 efterleve de skærpede krav i NIS2 og være i stand til at dokumentere efterlevelsen. De væsentligste krav i NIS2 omfatter b.la.:

  • Personligt ledelsesansvar for bestyrelsen ved manglende efterlevelse, herunder krav om organisatorisk styring af cybersikkerhed samt obligatorisk træning af bestyrelsen.
  • Implementering af tekniske, operationelle og organisatoriske foranstaltninger baseret på en risikobaseret tilgang, dog som minimum en række minimumsforanstaltninger, som er fastsat i NIS2-loven.
  • Forpligtelse til at underrette om væsentlige hændelser, herunder tidlig varsling – senest inden for 24 timer.
  • Selvom jeres virksomhed ikke er direkte omfattet af NIS2-loven, kan I stadig blive indirekte påvirket gennem krav fra kunder, især via kontraktuelle cybersikkerhedskrav i forsyningskæden, som kan være afgørende for din fortsatte drift og "license to operate".

Læs mere her om, hvordan vi kan hjælpe jer med juridisk afklaring, gap-analyse og implementering samt online ledelses- og bestyrelsestræning.

Frist for registrering

Selvom NIS2-loven træder i kraft den 1. juli 2025, er der imidlertid indsat en overgangsbestemmelse for registreringstidspunktet. Det indebærer, at omfattede organisationer skal registrere sig senest den 1. oktober 2025. 

Såfremt en organisation først bliver omfattet efter denne dato, skal registreringen ske senest to uger efter, at den er blevet omfattet.

Vær opmærksom på, at NIS2-loven finder anvendelse fra dens ikrafttrædelse (den 1. juli 2025), uanset hvornår registreringen foretages. Registreringen har derfor ingen betydning for, om en organisation anses for at være omfattet af loven.

Hvor skal organisationerne registrere sig?

Registreringen sker via en formular på virk.dk med MitID, som bliver tilgængelig fra den 1. juli 2025. 

Hvad skal I have klar til registreringen?

Udover almindelige stam- og kontaktoplysninger om indberetteren, skal de omfattede organisationer have nedenstående klar til registreringen:

  • Organisationens navn, adresse, emailadresse samt telefonnummer og evt. udenlandsk telefonnummer.
  • Organisationer omfattet af NIS2 skal oplyse de faste, offentlige IP-adresser, som de har brugsret til. Det gælder også IP-adresser tildelt via cloud-udbydere (IaaS) eller hostede løsninger, hvis de er dedikeret til organisationen.
  • Hvis organisationen ikke har faste, offentlige IP-adresser, skal dette oplyses.
  • IP-adresser, der deles med andre – fx via PaaS- eller SaaS-tjenester skal ikke angives.
  • Kun IP-adresser til egne servere skal oplyses. Det gælder ikke IP-adresser til computere eller interne enheder på virksomhedens netværk.
  • IP-adresser skal angives i CIDR-format:
    • IPv4: decimaltal (fx 193.162.120.0/21)
    • IPv6: hexadecimal (fx 2604:e180:1071::ffff:6ba2:b0dd)
    • Adresserne skal adskilles med komma.
  • Undlad at oplyse klassificerede oplysninger.

For at identificere virksomhedens faste offentlige IP-adresser kan man kontakte netværksadministrator, internet- eller cloud-udbyder, samt undersøge firewall/router-konfigurationer eller anvende netværksværktøjer som nmap eller Shodan.      

  • Valg af relevante(e) sektor(er) 
  • Valg af relevant(e) type(r) af enhed(er)
    • Evt. bortfald af sektorer, delsektorer eller typer af enheder, som bortfalder i forhold til tidligere registrering.

Ud fra ovenstående valg af sektor(er) vil registreringen blive sendt til de(n) rette sektoransvarlig(e) myndighed(er).

  • De medlemsstater i Den Europæiske Union, hvor enheden leverer tjenester: 
    • Hele EU
    • Kun i Danmark
    • Specifikke EU-lande.
  • Valg af, om enheden er væsentlig eller vigtig, herunder:
    • Angivelse af antal ansatte (færre eller flere end 50).
    • Angivelse af årlig omsætning (mindre eller mere end 10 mio. EUR.).
    • Angivelse af årlig balance (mindre eller mere end 10 mio. EUR.).
  • Evt. undtagelser fra størrelseskravet, hvor en enhed kan være omfattet af NIS2-loven uanset størrelsen, såfremt:
    • Enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfunds- eller økonomiske funktioner.
    • En forstyrrelse af enhedens tjeneste kan have væsentlig indvirkning på offentlig sikkerhed eller folkesundhed.
    • En sådan forstyrrelse kan medføre systemisk risiko, især i sektorer med grænseoverskridende betydning.
    • Enheden er kritisk pga. sin særlige betydning nationalt eller regionalt – enten for sektoren selv eller for afhængige sektorer i Danmark.
  • Stamoplysninger på den ansvarlige leder for enhedens informationssikkerhed (fx CISO) samt kontaktoplysninger på enhedens operative beredskab (fx NOC, SOC el. lig.). 

Hvis den omfattede enhed er omfattet af den digitale sektor (fx managed service), skal der – udover enhedstype – også oplyses om bl.a.:

  • Enhedens hovedforretningssted.
  • En beskrivelse af de kriterier, der er lagt til grund for vurderingen af, at hovedforretningsstedet er beliggende i Danmark.
  • Oplysninger om, hvorvidt enheden har andre hovedforretningssteder – og i givet fald hvor disse er beliggende.
  • Oplysninger om, hvorvidt enheden har udpeget en repræsentant, herunder stam- og kontaktoplysninger på denne, hvis relevant.

Når blanketten er indsendt, bliver den videresendt til Erhvervsstyrelsen, som automatisk sender den videre til de relevante myndigheder baseret på jeres valg af sektorer. Hermed anses registreringen for fuldført. Såfremt det bliver nødvendigt, vil myndighederne kontakte jer direkte.

Andre relevante spørgsmål og svar

Hvilke enheder skal registrere sig i en koncern? Kan vi nøjes med at registrere moderselskabet alene? 

I en koncern skal alle selvstændige juridiske enheder (CVR-numre), der er omfattet af NIS2-loven, registrere sig individuelt – herunder også et eventuelt moder- eller holdingselskab, hvis det leverer tjenester, der gør enheden omfattet af NIS2-loven.

Hvad hvis organisationen (enheden) har forskellige afdelinger, som leverer forskellige tjenesteydelser omfattet af NIS2? 

Hvis disse afdelinger er en del af samme juridiske enhed (CVR-nr.), skal den pågældende juridiske enhed alene registre sig en gang, men vælge de forskellige typer af organisation/sektorer, som den er omfattet af, fx i tilfælde af, at samme juridiske enhed leverer flere forskellige tjenester, der hver især er omfattet af NIS2-loven.

Hvis de forskellige afdelinger derimod er separate juridiske organisationer (CVR-nr.), og hver især opfylder definitionen af en ’enhed’ omfattet af NIS2, skal de alle registrere sig hver især, jf. spørgsmålet ovenfor.

Skal organisationer i leverandørkæden til organisationer underlagt NIS2 registrere sig?  

Nej. Kun organisationer, der i sig selv falder inden for anvendelsesområdet for NIS2-loven, er forpligtet til at registrere sig. 

Organisationer i leverandørkæden kan godt levere ydelser til enheder, der er omfattet af NIS2, uden selv at være omfattet af NIS2-loven – i så fald skal de ikke registrere sig.

Skal organisationer, der opererer i flere EU-medlemsstater, registrere sig separat i hvert land, hvor de er underlagt jurisdiktion?

Hvis en enhed er etableret i mere end ét medlemsland, og leverer tjenester til eller udfører aktiviteter i EU, skal den registrere sig i hvert af disse medlemslande og opfylde alle registreringskravene i henhold til de nationale NIS2-regler. 

Der gælder dog særlige jurisdiktionsregler for en række digitale enheder (fx for udbydere af managed (security) service og datacentertjenester)), som er underlagt den såkaldt hovedforretningsregel. Disse typer af enheder – som oftest har aktiviteter på tværs af grænser – vil kun være omfattet af den nationale NIS2-lov, hvor organisationen har hovedforretning. 

Størstedelen af virksomheder omfattet af NIS2, kan ikke benytte sig af hovedetableringsreglen, hvorfor det vil være nødvendigt at registrere sig i alle relevante medlemslande. 

Sådan kan PwC bistå jer

Vi tilbyder en tværfaglig og specialiseret rådgivning, der dækker alle krav i NIS2 – fra juridisk afklaring til teknisk og organisatorisk implementering, herunder fx:

  • Juridisk vurdering af, om I er direkte omfattet af NIS2, herunder assistance til korrekt og rettidig registrering samt specialiseret juridisk ad-hoc rådgivning.  
  • Strategisk ledelsesrådgivning om ledelsesansvar og strategisk governance, herunder rådgivning om bestyrelsens personlige ansvar, bestyrelsesuddannelse og forankring i ledelsen.
  • Gap-analyse og modenhedsvurdering, herunder identifikation af mangler op imod internationalt anerkendte sikkerhedsstandarder, som fx ISO 27001NIS CFG 2,0, IEC62443 (OT). Baseret på analyserne hjælper vi med strategi og implementeringsprogram. Vi tilbyder også et PMO til at støtte jer hele vejen i transformationen.
  • Implementering af tekniske, operationelle og organisatoriske foranstaltninger, herunder fx NIS2-risikovurderinger, PAM (Privileged Access Management), IAM (Identity and Access Management) og etablering af lovpligtige procedurer, herunder også etablering og drift af SOC (Security Operations Center).
  • Etablering af beredskab og 24/7 hændelseshåndtering.

Sådan implementerer du NIS2-kravene

Hent vores trin-for-trin-guide

Kontakt os

William Sharp

Partner, Technology & Security, Aarhus, PwC Denmark

8932 0076

E-mail

Aleksandar Predrag Piletich

Director, Technology & Security, Hellerup, PwC Denmark

2928 5743

E-mail

Følg PwC

Required fields are marked with an asterisk(*)

Your personal information will be handled in accordance with our Privacy Statement. You can update your communication preferences at any time by clicking the unsubscribe link in a PwC email or by submitting a request as outlined in our Privacy Statement.

Hide

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.