Hvem er omfattet
D. 17. oktober 2024 træder NIS2 Direktivet i kraft i EU-medlemslandene, og virksomheder i EU venter lige nu på de nationale retningslinjer for direktivet. Det samme gør sig gældende i Danmark, hvor vi fortsat ikke kender til de nationale krav og retningslinjer på området. Vi afventer derfor en formel udmelding fra myndighedernes side om, hvilke virksomheder og myndigheder, der bliver omfattet af NIS2 direktivet.
Vi er dog ikke uden en rettesnor fra EU. NIS2 direktivet har defineret en række krav og brancher, som vil være omfattet på tværs af medlemsstaterne. Helt overordnet deles brancherne op i to kategorier:
|
Væsentlige enheder |
Vigtige enheder |
|
Essential entities |
Important entities |
Eksempel
Virksomhed X leverer et produkt, som anvendes dagligt i sundhedsvæsenet. Produktet er en integreret del af den daglige arbejdsgang og er særlig vigtig for læger og sygeplejesker. Hvis virksomhed X rammes af et kritisk IT nedbrud eller cyberangreb, der stopper produktionen, så kan det få stor betydning for dele af sundhedsvæsenets drift og service.
Fælles for begge kategorier er, at brancherne er vurderet til at være samfundskritiske, og derfor har de en rolle i den samlede forsyningskæde, der får samfundet til at køre rundt. I disse brancher stilles der højere krav til modstandsdygtighed (resiliens) mod cyberangreb og kritiske IT-nedbrud, der kan have betydning for samfundets samlede drift og evne til fremgang.
Væsentlige og vigtige enheder
Udover en opdeling på brancheniveau, opererer NIS2 også med en opdeling af virksomheder. Virksomheder bliver med NIS2 delt op i to kategorier, der begge skal lave op til en række organisatoriske og målbare krav.
I nedenstående tabel har vi samlet de brancher, der defineres som væsentlige og vigtige, samt nogle eksempler på, hvilken type af virksomheder, der kan høre til i brancherne.
OBS
Vær opmærksom på, at virksomhedstyperne nævnt under væsentlige og vigtige enheder, er eksempler og ikke en udtømmende liste. Listen er et udtryk for den viden, der er tilgængelig på skrivende tidspunkt og kan ændre sig med den nationale lovgivning på området.
Af bilag 1 og 2 i NIS2 direktivet fremgår en liste over de brancher og typer af virksomheder, der er omfattet og defineret som væsentlige (bilag 1) og vigtige (bilag 2).
Link til bilag:
Bilag 1: Væsentlige enheder
Bilag 2: Vigtige enheder
Minimumskrav for NIS2 virksomheder
Hvis din virksomhed er en væsentlig eller vigtig enhed og dermed skal leve op til NIS2 direktivet, er næste skridt at se på virksomhedens størrelse. Det er kun virksomheder, der som minimum kan defineres som mellemstore jf. EU-kommissionens definition, der er omfattet.
I praksis betyder det, at NIS2 direktivet omfatter alle virksomheder, der er i ovenstående brancher og lever op til en eller flere af følgende krav:
Alt efter om din virksomhed vurderes til at være en væsentlig eller vigtig enhed, vil der være forskellige tilsynskrav. Væsentlige enheder vil være underlagt proaktive tilsyn, mens vigtige enheder vil være underlagt reaktive tilsyn.
Visse brancher, f.eks. energi og luftfart, kan være underlagt sektorspecifikke risikovurderinger og vejledninger, hvor der skal findes en fair balance, så NIS2 og øvrige sektorspecifikke krav til f.eks. fysisk sikkerhed og OT-sikkerhed bliver så harmonisk og administrativt let som muligt for enheden.
Der er en række særlige tilfælde, hvor din virksomhed muligvis er omfattet af NIS2 på trods af ovenstående krav. Vi har samlet de særlige tilfælde, som du kan læse her.
Særlige tilfælde
På denne side oplister vi nogle af de særlige tilfælde, hvor din virksomhed er, eller ikke er, omfattet af NIS2. Vi har opdelt undtagelserne under en række overskrifter, så du kan blive klogere på de forskellige tilfælde din virksomhed kan være i.
Virksomheder på "undtagelseslisten"
Alle typer af virksomheder, på trods af størrelse, der udbyder følgende tjenester er omfattet af NIS2:
- Udbydere af offentlige elektroniske kommunikationstjenester
- Tillidstjenesteudbydere
- Udbydere af topdomænenavneregistre (TLD) og domændenavnsystemer (DNS)
EU Kommissionen vil i samarbejde med en særlig nedsat samarbejdsgruppe fastlægge yderligere retningslinjer og vejledning til mikrovirksomheder og små virksomheder, der vurderes at være omfattet af NIS2 direktivet på trods af størrelsesforholdet.
Virksomheder i væsentlige brancher
Hvis din virksomhed er i en væsentlig branche, men ikke opfylder kriterierne for at være en væsentlig enhed, så anses virksomheden for at være en vigtig enhed. Det betyder, at selvom din virksomhed ikke lever op til kravene for væsentlige enheder, vil du med stor sandsynlighed skulle leve op til NIS2 kravene for vigtige enheder, såfremt du er i en branche omfattet af bilag 1: væsentlige enheder.
Virksomheder, der er omfattet af CER direktivet
Uanset størrelsen på din virksomhed eller organisation, så er du omfattet af NIS2, hvis du er defineret som en kritisk enhed i henhold til EU direktivet om kritiske enheder resiliens (EU) 2022/2257.
Virksomheder, der er omfattet af Digital Operational Resilicence Act (DORA)
DORA er en sektorspecifik forordning, der gælder for den finansielle sektor. Den omfatter bl.a. kreditinstitutter, betalingsinstitutioner, forsikringsbranchen og investeringsselskaber. Modsat NIS2, så er formålet med DORA kun at regulere i den finansielle sektor og ikke generelt. Såfremt man er i den finansielle sektor vil man først og fremmest skulle leve op til DORA. For at bevare forbindelsen til den fælles cybersikkerhedsramme for hele EU vil der være et tæt bånd mellem NIS2 og DORA i praksis.
Virksomheder, der bliver omfatter af Cyber Resilience Act (CRA)
Hardware og software producenter i Europa vil i fremtiden blive omfattet af en række krav til sikkerheden i deres produkter. Der er tale om en række særlige produkter og devices, f.eks. IoT devices, der historisk har været kendt for ikke at tænke sikkerhed i deres produkter. CRA blev stillet som forslag af EU-kommissionen d.15 september 2022, og vi afventer fortsat viden om den videre forhandling og proces.
Små partnervirksomheder og tilknyttede virksomheder
Ligeledes kan små virksomheder, der har partnervirksomheder eller er tilknyttet en anden virksomhed, blive vurderet til at være afhængige eller uafhængige af hinanden alt efter de net- og informationssystemer, som de anvender til at levere deres produkter. Hvis virksomheden anvender samme datasystem, der går på tværs af de tilknyttede virksomheder, kan de ses som afhængige af hinanden. Modsat kan virksomheder, der ikke har samme datasystemer og ikke er koblet til deres partnervirksomheder vurderes som uafhængige og muligvis falde under kravene om at være en mellemstor virksomhed.
Virksomheder, der arbejder med national sikkerhed og forsvar
Enkelte offentlige forvaltninger kan udelukkes fra NIS2, hvis deres arbejde og aktivitet omhandler den nationale sikkerhed, forsvaret, retshåndhævelse, efterforskning og retsforfølgning. Hvis man kun i marginal grad er tilknyttet dette arbejde og aktiviteter, kan man dog stadig være omfattet.
Såfremt man er leverandør til en virksomhed eller forvaltning, der er udelukket fra NIS2 direktivet, så kan man som leverandør blive undtaget, hvis man udelukkende leverer tjenester eller varer til denne ene virksomhed eller forvaltning.
Tillidstjenester
Tillidstjenester er elektroniske tjenester, der udføres mod betaling og består af generering, validering og kontrol af elektroniske signaturer samt certifikater for webstedsautentifikation og tjenester, der opbevarer denne type data. (EU 910/2014, artikel 3, stk. 16).
Samarbejde med tredjelande
Såfremt den offentlige forvaltning er etableret i samarbejde med et tredjeland (ikke EU-land) er man ikke omfattet af direktivet. Ligeledes gælder NIS2 ikke på diplomatiske og konsulære missioner i tredjelande.
Særlige kriterier for digital infrastruktur
Virksomheder, der arbejder med digital infrastruktur, er kritiske for næsten alle øvrige væsentlige og vigtige enheder, der er omfattet af NIS2. Derfor vil NIS2 også omfatte fysisk sikkerhed som led i denne branches foranstaltninger til styring af cybersikkerhed, ligesom fysisk sikkerhed kan være en del af rapporteringsforpligtelsen
