Hvem er omfattet af NIS2?

På denne side får du hjælp til at vurdere, om din virksomhed eller myndighed er omfattet af NIS2.

Nedenstående artikel er baseret på lovforslaget, der er i høring indtil 22. august. Der kan derfor komme ændringer som følge af høringen. Loven forventes at træde i kraft den 1. marts 2025

Du kan læse, hvilke myndigheder der er omfattet af NIS2 nederst på siden.

Hvilke virksomheder er omfattet af NIS2?

Tre kriterier afgør, om din virksomhed er omfattet af NIS2:

  1. Virksomheden hører til en af de omfattede sektorer
  2. Virksomhedens størrelse
  3. Virksomheden er omfattet uanset størrelse eller særlig vigtig fra et samfundsperspektiv.

Hvis du kan svare ja til kriterie 1 og 2 eller 3 vil din virksomhed højst sandsynligt være omfattet af NIS2. 

Vi arbejder på at lave et selvevalueringsværktøj, der hjælper dig med at vurdere om din virksomhed er omfattet af NIS2. Når det er færdigt, vil du kunne finde det her på siden. 

1. Hvilke sektorer er omfattet af NIS2?

NIS2 opdeler sektorerne i to grupper; sektorer af særlig kritisk betydning, og andre kritiske sektorer. Det har betydning for, på hvilken måde din virksomhed er omfattet af NIS2.

Sektorer af særlig kritisk betydning

Klik på sektorerne, hvis du vil se hvilke delsektorer og typer af virksomheder (enheder) under dem, der er omfattet af NIS2. 

  • Elektricitetsvirksomheder som defineret i artikel 2, nr. 57), i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 (1), der varetager »levering« som defineret i nævnte direktivs artikel 2, nr. 12)
  • Distributionssystemoperatører som defineret i artikel 2, nr. 29), i direktiv (EU) 2019/944.
  • Transmissionssystemoperatører som defineret i artikel 2, nr. 35), i direktiv (EU) 2019/944.
  • Producenter som defineret i artikel 2, nr. 38), i direktiv (EU) 2019/944.
  • Udpegede elektricitetsmarkedsoperatører som defineret i artikel 2, nr. 8), i Europa-Parlamentets og Rådets forordning (EU) 2019/943.
  • Markedsdeltagere som defineret i artikel 2, nr. 25), i forordning (EU) 2019/943, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring som defineret i artikel 2, nr. 18), 20) og 59), i direktiv (EU) 2019/944.
  • Operatører af ladestationer, der er ansvarlige for forvaltningen og driften af en ladestation, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne.

  • Operatører af fjernvarme eller fjernkøling som defineret i artikel 2, nr. 19), i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001.

  • Olierørledningsoperatører
  • Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission
  • Centrale lagerenheder som defineret i artikel 2, litra f), i Rådets direktiv 2009/119/EF.

  • Forsyningsvirksomheder som defineret i artikel 2, nr. 8), i Europa-Parlamentets og Rådets direktiv 2009/73/EF.
  • Distributionssystemoperatører som defineret i artikel 2, nr. 6), i direktiv 2009/73/EF.
  • Transmissionssystemoperatører som defineret i artikel 2, nr. 4), i direktiv 2009/73/EF.
  • Lagersystemoperatører som defineret i artikel 2, nr. 10), i direktiv 2009/73/EF.
  • LNG-systemoperatører som defineret i artikel 2, nr. 12), i direktiv 2009/73/EF.
  • Naturgasvirksomheder som defineret i artikel 2, nr. 1), i direktiv 2009/73/EF.
  • Operatører af naturgasraffinaderier og –behandlingsanlæg.

  • Operatører inden for brintproduktion, -lagring og –transmission

  • Luftfartsselskaber som defineret i artikel 3, nr. 4), i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål.
  • Lufthavnsdriftsorganer som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/12/EF, lufthavne som defineret i nævnte direktivs artikel 2, nr. 1), herunder de hovedlufthavne, der er anført i afsnit 2 i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013; og enheder med tilknyttede anlæg i lufthavne.
  • Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004.

  • Infrastrukturforvaltere som defineret i artikel 3, nr. 2), i Europa-Parlamentets og Rådets direktiv 2012/34/EU.
  • Jernbanevirksomheder som defineret i artikel 3, nr. 1), i direktiv 2012/34/EU, herunder operatører af servicefaciliteter som defineret i nævnte direktivs artikel 3, nr. 12).

  • Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand som defineret for søtransport i bilag I til Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004, bortset fra de enkelte fartøjer, som drives af disse rederier.
  • Driftsorganer i havne som defineret i artikel 3, nr. 1), i Europa-Parlamentets og Rådets direktiv 2005/65/EF, herunder deres havnefaciliteter som defineret i artikel 2, nr. 11), i forordning (EF) nr. 725/2004; og enheder, der opererer anlæg og udstyr i havne.
  • Operatører af skibstrafiktjenester som defineret i artikel 3, litra o), i Europa-Parlamentets og Rådets direktiv 2002/59/EF.

  • Vejmyndigheder som defineret i artikel 2, nr. 12), i Kommissionens delegerede forordning (EU) 2015/962, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikke væsentlig del af deres generelle aktivitet.
  • Operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1), i Europa-Parlamentets og Rådets direktiv 2010/40/EU.

  • Kreditinstitutter som defineret i artikel 4, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013.

  • Operatører af markedspladser som defineret i artikel 4, nr. 24), i Europa-Parlamentets og Rådets direktiv 2014/65/EU.
  • Centrale modparter (CCP'er) som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012.

  • Sundhedstjenesteydere som defineret i artikel 3, litra g), i Europa-Parlamentets og Rådets direktiv 2011/24/EU.
  • EU-referencelaboratorier der er omhandlet i artikel 15, i Europa-Parlamentets og Rådets forordning (EU) 2022/2371.
  • Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler som defineret i artikel 1, nr. 2), i Europa-Parlamentets og Rådets direktiv 2001/83/EF.
  • Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater som omhandlet i hovedafdeling C, hovedgruppe 21, i NACE rev. 2.
  • Enheder, som fremstiller medicinsk udstyr, som den anser for at være kritisk i en folkesundhedsmæssig krisesituation (»liste over kritisk medicinsk udstyr til folkesundhedsmæssige krisesituationer«) i den i artikel 22 i Europa-Parlamentets og Rådets forordning (EU) 2022/123 anvendte betydning.

  • Leverandører og distributører af drikkevand som defineret i artikel 2, nr. 1), litra a), i Europa-Parlamentets og Rådets direktiv (EU) 2020/2184 bortset fra distributører, for hvilke distribution af drikkevand er en ikkevæsentlig del af deres generelle aktivitet med distribution af andre råvarer og varer.

  • Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand som defineret i artikel 2, nr. 1), 2) og 3), i Rådets direktiv 91/271/EØF, bortset fra virksomheder, for hvilke indsamling, bortskaffelse eller behandling af byspildevand, husspildevand eller industrispildevand er en ikkevæsentlig del af deres generelle aktivitet.

  • Udbydere af internetudvekslingspunkter
  • DNS-tjenesteudbydere, bortset fra operatører af rodnavneservere
  • Topdomænenavneadministratorer
  • Udbydere af cloudcomputingtjenester
  • Udbydere af datacentertjenester
  • Udbydere af indholdsleveringsnetværk
  • Tillidstjenesteudbydere
  • Udbydere af offentlige elektroniske kommunikationsnet
  • Udbydere af offentligt tilgængelige elektroniske kommunikationstjenester

  • Udbydere af administrerede tjenester
  • Udbydere af administrerede sikkerhedstjenester

  • Offentlige forvaltningsenheder under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret
  • Offentlige forvaltningsenheder på regionalt plan som defineret af en medlemsstat i overensstemmelse med national ret

  • Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet

Andre kritiske sektorer

Klik på sektorerne, hvis du vil se hvilke delsektorer og typer af virksomheder (enheder) under dem, der er omfattet af NIS2. 

  • Postbefordrende virksomheder som defineret i artikel 2, nr. 1a), i direktiv 97/67/EF, herunder udbydere af kurertjenester

  • Virksomheder, der varetager affaldshåndtering som defineret i artikel 3, nr. 9), i Europa-Parlamentets og Rådets direktiv 2008/98/EF, bortset fra virksomheder, for hvilke affaldshåndtering ikke er deres vigtigste økonomiske aktivitet

  • Virksomheder, der beskæftiger sig med fremstilling af stoffer og distribution af stoffer eller blandinger som omhandlet i artikel 3, nr. 9) og 14), i Europa-Parlamentets og Rådets forordning (EF) nr. 1907/2006 og virksomheder, der beskæftiger sig med produktion af artikler som defineret i artikel 3, nr. 3), i nævnte forordning ud af stoffer eller blandinger

  • Fødevarevirksomheder som defineret i artikel 3, nr. 2), i Europa-Parlamentets og Rådets forordning (EF) nr. 178/2002, der beskæftiger sig med engrosdistribution og industriel produktion og tilvirkning

  • Enheder, der fremstiller medicinsk udstyr som defineret i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) 2017/745, og enheder, der fremstiller medicinsk udstyr til in vitro-diagnostik som defineret i artikel 2, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2017/746, med undtagelse af enheder, der fremstiller medicinsk udstyr omhandlet i dette direktivs bilag I, punkt 5, femte led

  • Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 26, i NACE rev. 2

  • Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 27, i NACE rev. 2

  • Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 28, i NACE rev. 2

  • Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 29, i NACE rev. 2

  • Virksomheder, der udøver en af de økonomiske aktiviteter, der er omhandlet i hovedafdeling C, hovedgruppe 30, i NACE rev. 2

  • Udbydere af onlinemarkedspladser
  • Udbydere af onlinesøgemaskiner
  • Udbydere af platforme for sociale netværkstjenester

  • Forskningsorganisationer

NIS2 vil blive implementeret i særskilt lovgivning for sektorerne energi, bankvirksomhed, finansielle markedsinfrastrukturer og dele af teleområdet inden for sektoren digital infrastruktur.

Særligt om topdomænenavnsadministratorer og leverandører af domænenavnsregistreringstjenester

Selvom leverandører af domænenavnsregistreringstjenester ikke er på lovforslagets lister over omfattede sektorer, har NIS2 alligevel betydning for dem. NIS2 stiller krav om, at topdomænenavnsadministratorer og leverandører af domænenavnsregistreringstjenester skal føre en database, der indeholder nøjagtige og fuldstændige domænenavnsregistreringsdata.

Du kan læse mere om dette i lovforslagets § 11.

2. Størrelse 

Det følger af lovforslagets bemærkninger, at det som udgangspunkt kun er virksomheder af en vis størrelse, der omfattes af loven.

For at leve op til størrelseskravet i lovforslaget, skal virksomhederne derfor som udgangspunkt beskæftige mindst 50 personer og have en årlige omsætning eller en samlet årlig balance på over 10 mio. euro.

Der kan komme tilpasninger til dette i forlængelse af høringsprocessen.  Du kan læse mere detaljeret om, hvordan du vurderer din virksomheds størrelse i denne guide fra EU.

Der er dog en række undtagelser der gør, at virksomheder kan være omfattet uanset størrelse. Det vil være tilfældet hvis:

  • virksomheden tilhører en sektor, der er omfattet uanset størrelse, eller
  • virksomheden tilhører en af de omfattede sektorer, og er samtidig særlig vigtig set fra et samfundsperspektiv (se nedenfor).

3. Er min virksomhed omfattet uanset størrelse eller særlig vigtig set fra et samfundsperspektiv ?

Hvis din virksomhed ikke falder under kriteriet om størrelse kan den alligevel være omfattet af NIS2.

Derfor skal du afklare om virksomheden tilhører en af de oplistede sektorer nedenfor, der er omfattet uanset størrelse, eller om virksomheden kan betegnes som særlig vigtig set fra et samfundsperspektiv.

Hvis mindst et af de nedenstående udsagn gør sig gældende, er virksomheden omfattet.

Virksomheden tilhører en sektor, der er omfattet uanset størrelse hvis:

  • din virksomhed er udbyder af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester.
  • din virksomhed er tillidstjenesteudbydere.
  • din virksomhed er topdomænenavnsadministrator og/eller udbyder af domænenavnesystemer.

Virksomheden tilhører en af de omfattede sektorer og er særlig vigtig set fra et samfundsperspektiv hvis:

  • din virksomhed er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
  • en forstyrrelse af den tjeneste, din virksomhed leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
  • en forstyrrelse af den tjeneste, din virksomheder leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
  • din virksomhed er kritisk på grund af sin specifikke betydning på et nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.
  • din virksomhed er identificeret som en kritisk enhed i henhold til implementeringen af CER-direktivet i dansk lov, der omhandler fysisk sikkerhed i kritisk infrastruktur.

Hvilken betydning har det, om min virksomhed betegnes som en ”væsentlig” eller ”vigtig” enhed?

NIS2 skelner mellem ”væsentlige” og ”vigtige” enheder.

Om man er en væsentlig eller en vigtig enhed har betydning for, hvordan man er omfattet af NIS2.

I lovforslaget er kravene til foranstaltninger de samme, men der lægges op til, at der føres et mere tæt tilsyn med væsentlige enheder end der gør med vigtige. Samtidig vil væsentlige enheder kunne pålægges større bøder end vigtige enheder.

Væsentlige enheder:

Der lægges op til at større virksomheder, som beskæftiger mindst 250 personer og har en årlig omsætning på over 50 mio. euro eller en årlig samlet balance på over 43 mio., der opererer i sektorer af særlig kritisk betydning, visse digitale udbydere, statslige myndigheder, enheder omfattet af den danske implementering af CER-direktivet, samt enheder, der var omfattet af NIS1, vil være væsentlige enheder.

Virksomheder, der er omfattet af loven på grund deres særlige samfundsmæssige betydning, vil i udgangspunktet også være væsentlige enheder.

Virksomheder inden for sektorerne offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester vil også være væsentlige enheder, hvis de beskæftiger mindst 50 personer og har en årlig omsætning eller en samlet årlig balance på over 10 mio. euro.

Vigtige enheder:

Virksomheder, som er omfattet af NIS2, der ikke er karakteriseret som en væsentlig enhed, er en vigtig enhed.

Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslagets §§ 4-5.

Hvilke myndigheder er omfattet af NIS2?

Lovforslaget lægger op til, at myndighederne vil være omfattet af direktivet på samme måde som virksomhederne. Det vil sige, at statslige myndigheder, regioner og kommuner vil være omfattet efter samme kriterier.

Det vil mest oplagt være under sektoren offentlig forvaltning, men kan også være som fx sundhedstjenesteyder. 

Der gives mulighed for, at offentlige forvaltningsenheder på lokalt plan kan omfattes af lovens anvendelsesområde efter lovforslagets § 1, stk. 7.

Det fremgår af bemærkningerne til lovforslaget, at selvom § 1, stk. 7 ikke bruges, kan eksempelvis kommuner godt være omfattet alligevel. Det er tilfældet i det omfang kommunen leverer tjenester inden for nogen af de øvrige sektorer. Du kan læse mere om dette i lovbemærkningerne til § 1.

 

Du kan læse NIS2-lovforslaget her

Lovforslaget er i høring. Derfor kan der forekomme ændringer som følge af høringsprocessen. Denne side opdateres løbende i takt med yderligere afklaringer.  

Senest opdateret 12-07-2024