Tre kriterier afgør, om en enhed er omfattet af NIS 2-loven:
Læs mere om kriterierne på Styrelsen for Samfundssikkerhds hjemmeside.
Det er en forudsætning, at man kan svare ja til kriterie 1. Hvis man derudover kan svare ja til kriterie 2 eller 3, vil enheden være omfattet af NIS 2.
Enheder, der kun er etableret og leverer deres tjenester i Danmark, er som udgangspunkt kun underlagt den danske NIS 2-lov.
Hvis en enhed er etableret i flere lande – fx med filialer under samme CVR-nummer – er hovedreglen i NIS 2, at enheden er underlagt reguleringen og tilsynet i alle de medlemsstater, hvor den er etableret. Hvorvidt en enhed er etableret i en medlemsstat, baserer sig bl.a. på en vurdering af enhedens aktiviteter samt en vurdering af, hvorvidt disse drives gennem stabile strukturer, fx en filial.
En stor andel af de enheder, der er omfattet af Digitaliseringsstyrelsen sektoransvar, er alene underlagt reguleringen i den medlemsstat, hvor deres hovedforretningssted er.
En enhed anses for at have sit hovedforretningssted i den medlemsstat, hvor beslutninger om styring af cybersikkerhedsrisici primært træffes.
Hvis dette ikke kan fastslås, eller beslutningerne ikke træffes i EU, anses hovedforretningsstedet for at være i den medlemsstat, hvor cybersikkerhedsoperationerne udføres. Hvis dette heller ikke kan fastslås med sikkerhed, anses hovedforretningsstedet for at være etableret i den medlemsstat, hvor enheden har flest ansatte inden for EU.
Få hjælp til at vurdere, om din virksomhed er omfattet af NIS 2, ved brug af værktøjet på sikkerdigital.dk: NIS 2 tjek.
Find flere oplysninger om NIS 2, omfattede enheder og gældende krav på Styrelsen for Samfundssikkerheds hjemmeside.
Ønsker du af høre mere om hvem og hvordan du kan være omfattet af NIS 2, kan du også se Digitaliseringsstyrelsens webinar om NIS 2, der sætter fokus på vejledning til at vurdere, om man som enhed er omfattet: Webinar om NIS 2
Hvis du har spørgsmål om NIS 2 for enheder, der leverer digitale tjenester, kan du kontakte Digitaliseringsstyrelsen på NIS2@digst.dk.