2. Størrelse
Det følger af lovforslagets bemærkninger, at det som udgangspunkt kun er virksomheder af en vis størrelse, der omfattes af loven.
For at leve op til størrelseskravet i lovforslaget, skal virksomhederne derfor som udgangspunkt beskæftige mindst 50 personer eller have en årlige omsætning og en samlet årlig balance på over 10 mio. euro.
Der kan komme tilpasninger til dette i forbindelse med behandlingen af lovforslaget. Du kan læse mere detaljeret om, hvordan du vurderer din virksomheds størrelse i denne guide fra EU.
Der er dog en række undtagelser der gør, at virksomheder kan være omfattet uanset størrelse. Det vil være tilfældet hvis:
- virksomheden tilhører en sektor, der er omfattet uanset størrelse, eller
- virksomheden tilhører en af de omfattede sektorer, og er samtidig særlig vigtig set fra et samfundsperspektiv (se nedenfor).
3. Er min virksomhed omfattet uanset størrelse eller særlig vigtig set fra et samfundsperspektiv ?
Hvis din virksomhed ikke falder under kriteriet om størrelse kan den alligevel være omfattet af NIS2.
Derfor skal du afklare om virksomheden tilhører en af de oplistede sektorer nedenfor, der er omfattet uanset størrelse, eller om virksomheden kan betegnes som særlig vigtig set fra et samfundsperspektiv.
Hvis mindst et af de nedenstående udsagn gør sig gældende, er virksomheden omfattet.
Virksomheden tilhører en sektor, der er omfattet uanset størrelse hvis:
- din virksomhed er udbyder af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester.
- din virksomhed er tillidstjenesteudbydere.
- din virksomhed er topdomænenavnsadministrator og/eller udbyder af domænenavnesystemer.
Virksomheden tilhører en af de omfattede sektorer og er særlig vigtig set fra et samfundsperspektiv hvis:
- din virksomhed er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
- en forstyrrelse af den tjeneste, din virksomhed leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
- en forstyrrelse af den tjeneste, din virksomheder leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
- din virksomhed er kritisk på grund af sin specifikke betydning på et nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.
- din virksomhed er identificeret som en kritisk enhed i henhold til implementeringen af CER-direktivet i dansk lov, der omhandler fysisk sikkerhed i kritisk infrastruktur.
Hvilken betydning har det, om min virksomhed betegnes som en ”væsentlig” eller ”vigtig” enhed?
NIS2 skelner mellem ”væsentlige” og ”vigtige” enheder.
Om man er en væsentlig eller en vigtig enhed har betydning for, hvordan man er omfattet af NIS2.
I lovforslaget er kravene til foranstaltninger de samme, men der lægges op til, at der føres et mere tæt tilsyn med væsentlige enheder end der gør med vigtige. Samtidig vil væsentlige enheder kunne pålægges større bøder end vigtige enheder.
Væsentlige enheder:
Der lægges op til at større virksomheder, som beskæftiger mindst 250 personer eller har en årlig omsætning på over 50 mio. euro og en årlig samlet balance på over 43 mio., der opererer i sektorer af særlig kritisk betydning, visse digitale udbydere, statslige myndigheder, enheder omfattet af den danske implementering af CER-direktivet, samt enheder, der var omfattet af NIS1, vil være væsentlige enheder.
Virksomheder, der er omfattet af loven på grund deres særlige samfundsmæssige betydning, vil i udgangspunktet også være væsentlige enheder.
Virksomheder inden for sektorerne offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester vil også være væsentlige enheder, hvis de beskæftiger mindst 50 personer eller har en årlig omsætning og en samlet årlig balance på over 10 mio. euro.
Vigtige enheder:
Virksomheder, som er omfattet af NIS2, der ikke er karakteriseret som en væsentlig enhed, er en vigtig enhed.
Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslagets §§ 4-5.
Hvilke myndigheder er omfattet af NIS2?
Lovforslaget lægger op til, at myndighederne vil være omfattet af direktivet på samme måde som virksomhederne. Det vil sige, at statslige myndigheder, regioner og kommuner vil være omfattet efter samme kriterier.
Det vil mest oplagt være under sektoren offentlig forvaltning, men kan også være som fx sundhedstjenesteyder.
Der gives mulighed for, at offentlige forvaltningsenheder på lokalt plan kan omfattes af lovens anvendelsesområde efter lovforslagets § 1, stk. 7.
Det fremgår af bemærkningerne til lovforslaget, at selvom § 1, stk. 7 ikke bruges, kan eksempelvis kommuner godt være omfattet alligevel. Det er tilfældet i det omfang kommunen leverer tjenester inden for nogen af de øvrige sektorer. Du kan læse mere om dette i lovbemærkningerne til § 1.
Du kan læse NIS2-lovforslaget her
Lovforslaget om NIS2 er under behandling og derfor kan der forekomme ændringer til ovenstående. Denne side opdateres løbende i takt med yderligere afklaringer.