Hvem er omfattet af NIS 2?

Tre kriterier afgør, om en enhed er omfattet af NIS 2-loven:

  1. Enheden hører til en af de omfattede sektorer.
  2. Enhedens størrelse kategoriseres som mellemstor eller stor.
  3. Enheden er omfattet uanset størrelse eller særlig vigtig fra et samfundsperspektiv.

Læs mere om kriterierne på Styrelsen for Samfundssikkerhds hjemmeside.

Det er en forudsætning, at man kan svare ja til kriterie 1. Hvis man derudover kan svare ja til kriterie 2 eller 3, vil enheden være omfattet af NIS 2.  

Kan en enhed være omfattet i flere EU-medlemsstater?

Enheder, der kun er etableret og leverer deres tjenester i Danmark, er som udgangspunkt kun underlagt den danske NIS 2-lov.

Hvis en enhed er etableret i flere lande – fx med filialer under samme CVR-nummer – er hovedreglen i NIS 2, at enheden er underlagt reguleringen og tilsynet i alle de medlemsstater, hvor den er etableret. Hvorvidt en enhed er etableret i en medlemsstat, baserer sig bl.a. på en vurdering af enhedens aktiviteter samt en vurdering af, hvorvidt disse drives gennem stabile strukturer, fx en filial.

Særligt for enheder, der er omfattet af Digitaliseringsstyrelsens sektortilsyn

En stor andel af de enheder, der er omfattet af Digitaliseringsstyrelsen sektoransvar, er alene underlagt reguleringen i den medlemsstat, hvor deres hovedforretningssted er.

En enhed anses for at have sit hovedforretningssted i den medlemsstat, hvor beslutninger om styring af cybersikkerhedsrisici primært træffes.

Hvis dette ikke kan fastslås, eller beslutningerne ikke træffes i EU, anses hovedforretningsstedet for at være i den medlemsstat, hvor cybersikkerhedsoperationerne udføres. Hvis dette heller ikke kan fastslås med sikkerhed, anses hovedforretningsstedet for at være etableret i den medlemsstat, hvor enheden har flest ansatte inden for EU.