Nedenfor kan du finde en samling af hyppigt stillede spørgsmål og svar om NIS 2 vedrørende den digitale sektor.
Ifølge § 3, nr. 2 i NIS2-loven er en cloudcomputingtjeneste en digital tjeneste, der giver brugerne adgang til en fleksibel og skalerbar pulje af delbare computerressourcer via internettet (on-demand og med bred fjernadgang). Disse ressourcer kan være fordelt på flere geografiske lokaliteter.
Tjenestemodeller kan fx være:
• Infrastruktur som en service (IaaS)
• Platform som en service (PaaS)
• Software som en service (SaaS)
• Netværk som en service (NaaS)
Disse definitioner og eksempler fremgår af præambelbetragtning 33 i NIS2-direktivet.
Der er endnu ikke fast praksis for, hvornår en tjeneste, der baserer sig på cloudelementer i sig selv kan betegnes som en cloudcomputingtjeneste. Digitaliseringsstyrelsen bemærker i den forbindelse, at der i en række internationale sammenhænge arbejdes på at fastsætte (regulatoriske) rammer for anvendelsen af cloud og i den forbindelse også skabe større klarhed om definitionerne af bl.a. cloudtjenester. Sådanne afklaringer og eventuelle fremtidige vejledninger fra fx ENISA, EU-Kommissionen og NIS-samarbejdsgruppen og afgørelser fra tilsynsmyndigheder og domstole vil efter omstændighederne kunne bidrage til et mere nuanceret billede af afgrænsningerne af cloudtjenester.
På det foreliggende grundlag er det imidlertid Digitaliseringsstyrelsens vurdering, at en tjeneste, der helt eller delvist bygger på elementer af en cloudløsning (fx fra tredjepart), ikke automatisk kan anses for at være en cloudcomputingtjeneste i NIS 2-lovens forstand. Forhold som vil kunne blive taget i betragtning ved vurderingen af, om der er tale en om en sådan cloudcomputingtjeneste, vil efter styrelsens umiddelbare vurdering bl.a. kunne være:
1. Formålet med og funktionerne ved tjenesten: Giver tjenesten brugeren direkte adgang til en skalerbar og fleksibel pulje af computerressourcer? Hvis ja, taler det for, at der er tale om en cloudcomputingtjeneste. Er der derimod tale om en specialiseret tjeneste med faste funktioner, er det mindre sandsynligt.
2. Graden af cloud-integration i den endelige tjeneste: Hvis cloudelementet er dybt integreret i en anden tjeneste og ikke kan fungere selvstændigt som digital tjeneste, kan det trække i retning af, at der ikke er tale om en selvstændig cloudcomputingtjeneste.
3. Brugerens kontrol med cloudelementerne: Hvis brugeren ikke har en direkte adgang til at styre, konfigurere eller administrere de underliggende cloud-ressourcer, peger det også på, at der ikke er tale om en cloudcomputingtjeneste.
En udbyder af administrerede tjenester defineres i NIS 2-lovens § 3, nr. 33, som en enhed, der leverer tjenester i forbindelse med installation, administration, drift eller vedligeholdelse af IKT-produkter, -net, -infrastruktur, -applikationer eller andre net- og informationssystemer via assistance eller aktiv administration. Tjenesterne vil typisk blive leveret som led i et kundeforhold mellem udbyderen af den administrerede tjeneste og en virksomhed, der køber sig til forskellige former for IKT-ydelser. Det er i den forbindelse underordnet, om udbyderens aktiviteter udføres fysisk hos den kunde, der har tilkøbt den administrerede tjeneste (f.eks. på kundens forretningssted), eller at aktiviteten udføres for kunden via assistance på afstand (remote).
Man bliver anset som udbyder af administrerede tjenester, hvis man leverer blot én af de nævnte ydelser – fx vedligeholdelse af kundens netværk – og samtidig opfylder alle følgende betingelser:
1. Der skal være tale om levering af administrerede tjenester. Udføres der udelukkende konsulentydelser, er man ikke omfattet.
2. Tjenesterne skal leveres til virksomheder eller organisationer. Levering til private forbrugere er ikke omfattet.
3. Tjenesterne skal leveres som led i en kommerciel aktivitet.
Visse koncerninterne tjenester vil efter omstændighederne kunne falde inden for definitionen af administrerede tjenester, jf. NIS 2-lovens § 3, nr. 34, når de leveres som led i en kommerciel aktivitet til andre juridiske enheder inden for koncernen, fx i tilfælde, hvor et it-driftsselskab leverer administrerede tjenester til andre koncernforbundne selskaber. Her er det værd at bemærke, at enheder i NIS 2-lovens forstand er opdelt på baggrund af CVR-numre. Et selskab med et underliggende datterselskab udgør således to separate enheder, forudsat at de har fået tildelt hver deres CVR-nummer. De øvrige selskaber i koncernen er således alene omfattet af NIS 2-loven, hvis de selvstændigt opfylder betingelserne i NIS 2-loven. Hvis du vil læse mere om, hvordan man er omfattet af NIS 2-loven som virksomhed kan der findes mere information i Styrelsen for Samfundssikkerheds Vejledning om anvendelsesområdet (PDF).
Der er endnu ikke en fast praksis for, hvornår sådanne koncerninterne ydelser skal anses for at ske som en led i kommercielle aktiviteter. Det er Digitaliseringsstyrelsens umiddelbare opfattelse, at man ved vurderingen af sådanne kommercielle aktiviteter, bl.a. vil kunne inddrage karakteren af og formålet med de specifikke administrerede tjenester, indbyrdes forbundethed og rollefordeling mellem virksomhederne i koncernen samt om vilkår og priser i øvrigt fastsættes og udbydes på markedsvilkår.
Det er fx Digitaliseringsstyrelsens umiddelbare vurdering, at der i situationer, hvor to eller flere organisationer inden for en koncern i praksis deler data, netværk eller systemer med hinanden, og hvor de pågældende organisationer deler de tilknyttede omkostninger, ikke er tale om udbud af administrerede tjenester.
En enhed betragtes som udbyder af en administreret sikkerhedstjeneste, hvis enheden udbyder en administreret tjeneste, der enten udfører eller yder assistance til aktiviteter relateret til styring af cybersikkerhedsrisici, jf. NIS 2-lovens § 3, nr. 33. Definitionen af en administreret sikkerhedstjeneste tager udgangspunkt i den generelle definition af ’administrerede tjenester’, og der henvises derfor også til vurderingskriterierne for disse.
Ifølge præambelbetragtning 86 i NIS 2-direktivet spiller administrerede sikkerhedstjenester en vigtig rolle ved at bistå organisationer med en række aktiviteter som ”reaktion på hændelser, penetrationstest, sikkerhedsaudits og konsulentbistand” og at”bistå enheder i deres bestræbelser på at forebygge, opdage, reagere på eller reetablere sig efter hændelser”.
Der findes ikke en udtømmende liste over aktiviteter, der er omfattet af begrebet "styring af cybersikkerhedsrisici", men det er Digitaliseringsstyrelsens umiddelbare vurdering, at de foranstaltninger, der er beskrevet i Gennemførselsforordning nr. 2024/2690 og i artikel 21, stk. 2, i NIS 2-direktivet, kan tjene som eksempler:
• Udarbejdelse og overvågning af sikkerheds- og risikostyringspolitikker
• Håndtering af sikkerhedshændelser og nødsituationer
• Indsatser for driftskontinuitet og krisestyring
• Brug af kryptografiske løsninger
• Sikkerhed ved anskaffelse, udvikling og vedligeholdelse af net- og informationssystemer
Det er dog vigtigt at understrege, at en ren konsulentydelse inden for disse områder ikke i sig selv medfører, at enheden betragtes som udbyder af en administreret sikkerhedstjeneste.
Webhosting-tjenester er ikke omfattet af NIS 2-loven. Man skal dog være opmærksom på, at mange enheder, der udbyder webhosting-tjenester, også typisk vil kunne udbyde tjenester, der falder ind under NIS 2-loven, fx cloud computing-tjenester og datacentertjenester.
For at blive anset som en DNS-tjenesteudbyder efter NIS 2-loven kræver lovens § 3, nr. 7, at man udbyder én af følgende ydelser:
1. Offentligt tilgængelige rekursive domænenavnsoversættelsestjenester til internetslutbrugere
2. Autoritative domænenavnsoversættelsestjenester til tredjepartsbrug, med undtagelse af rodnavneservere.
En autoritativ DNS-tjeneste betragtes som værende til tredjepartsbrug, hvis tjenesten tilbydes til en fysisk eller juridisk person, der ikke er den pågældende enhed selv. Dette er tilfældet, hvis den autoritative DNS-tjeneste for et domænenavn ikke drives af registranten af domænenavnet selv, men i stedet leveres af en anden enhed, f.eks. en registrator eller en udbyder af en hostingtjeneste. I sådanne tilfælde anses registratoren eller hostingudbyderen for at være en DNS-tjenesteudbyder af autoritative DNS-tjenester til tredjepartsbrug.
Opfylder en enhed NIS 2-lovens definition, er man – uanset størrelse – omfattet af NIS 2-loven og kategoriseret som væsentlige enheder, jf. lovens § 4, stk. 3, nr. 1, jf. § 1, stk. 1. Er enheden underlagt dansk jurisdiktion (som vil skulle ske på baggrund af jurisdiktionsreglen om enhedens hovedforretning), vil enheden skulle registrere sig i Danmark.
Hvis en udbyder af et offentligt elektronisk kommunikationsnet eller en offentlig tilgængelig elektroniske kommunikationstjeneste stiller en rekursiv DNS-tjeneste tilgængelig udelukkende som en del af en internetadgangstjenesten, anses DNS-tjenesten som en integreret del af internetadgangstjenesten. I dette tilfælde vil DNS-tjenesten ikke skulle registreres særskilt, men ske sammen med den registrering, som en udbyder af et offentligt elektronisk kommunikationsnet eller en offentlig tilgængelig elektroniske kommunikationstjeneste skal foretage efter NIS2-loven, når udbyderens ydelse udbydes i Danmark.
NIS 2-lovens regler om jurisdiktion afgør, hvornår danske myndigheder har ansvar for at håndhæve reglerne over for enheder, der er underlagt NIS 2. Hvis en enhed er under dansk jurisdiktion, vil det være i Danmark, at enheder skal registrere sig (NIS 2-lovens §§ 9 og 10) og i øvrigt foretage underretning om væsentlige hændelser (NIS 2-lovens §§ 12 og 13).
Den generelle jurisdiktionsregel omfatter enheder, der er inden for en sektor under NIS 2, og som er ”etableret i Danmark” jf. NIS 2-lovens § 2, stk.1. Der gælder dog en særlig jurisdiktionsregel i NIS 2-lovens § 2, stk. 2, for en række serviceenheder i den digitale sektor:
• DNS-tjenesteudbydere
• Topdomænenavneadministratorer
• Enheder, der leverer domænenavnsregistreringstjenester
• Udbydere af henholdsvis cloudcomputingtjenester, datacentertjenester indholdsleveringsnetværk
• Udbydere af administrerede tjenester, administrerede sikkerhedstjenester
• Udbydere af onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester.
For denne gruppe af enheder vil der alene være jurisdiktion for den medlemsstat, hvor de har ”hovedforretningssted” jf. NIS 2-lovens § 2, stk. 2 (NIS 2-direktivets artikel 26, stk. 1, litra b). Samtidig betyder det også, at det alene vil være det land, hvor hovedforretningsstedet er, der har jurisdiktion over den pågældende enheds aktiviteter vedr. den digitale sektor. Bemærk at hovedforretningsstedsreglen alene gælder for den type tjenester, der er nævnt ovenfor.
Definitionen af, hvad der anses som et ”hovedforretningssted”, findes i NIS 2-lovens § 2, stk. 3. Et hovedforretningssted vil oftest være i den medlemsstat, hvor beslutningerne vedrørende foranstaltningerne til styring af cybersikkerhedsrisici overvejende træffes. Læs mere her.
Leverer man som enhed både en af de ovennævnte tjenester og en anden tjeneste i NIS 2-lovens bilag 1 eller 2, kan man falde ind under flere jurisdiktionsregler, således at man som enhed vil skulle registrere sig i flere sektorer samt evt. i flere EU-lande. Læs mere herom under ”Kan man være omfattet af flere forskellige jurisdiktionsregler?”.
I de tilfælde hvor man som enhed er omfattet af to forskellige jurisdiktionsregimer, skal enheden leve op til begge jurisdiktionsregimer samtidigt. Det vil i praksis betyde, at hvis en enhed fx udbyder både cloudcomputingtjenester og elektroniske kommunikationstjenester, som falder under hver sit jurisdiktionsregime, skal enheden efterleve kravene fra begge jurisdiktionsregimer.
Du kan læse mere om jurisdiktion i Styrelsens for Samfundssikkerheds vejledning om anvendelsesområdet (PDF).
Forordningen regulerer og præciserer særligt to elementer i relation til NIS 2-loven:
1. Den fastsætter de tekniske og metodologiske krav til håndtering af cybersikkerhedsrisici.
2. Den fastsætter specifikke krav til, hvornår der for de omhandlede tjenester vil være tale om en væsentlig hændelse. Her er det værd at bemærke, at NIS 2-lovens § 12, fortsat vil være relevant, da forordningen alene præciserer, hvad der forstås ved en væsentlig hændelse efter NIS 2-loven.
Gennemførelsesforordning gælder for følgende enheder:
• DNS-tjenesteudbydere
• Tillidstjenester
• Topdomænenavneadministratorer
• Enheder, der leverer domænenavnsregistreringstjenester
• Udbydere af cloudcomputingtjenester, datacentertjenester og indholdsleveringsnetværk
• Udbydere af administrerede tjenester og administrerede sikkerhedstjenester
• Udbydere af onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester
Hvis en enhed kun er omfattet af NIS 2, fordi den leverer en af ovenfornævnte tjenester, vil hele enheden være omfattet af forordningens krav.
Hvis en enhed både leverer tjenester, der er omfattet af gennemførelsesforordningen, men også er omfattet af NIS 2-loven inden for et andet område, skal enheden leve op til alle fastsatte relevante krav. Dette vil således kunne omfatte mere vidtgående eller detaljerede krav, der måtte følge af eventuelle tjeneste- eller sektorspecifikke regler i kombination med gennemførelsesforordningens bestemmelser, der må anses som minimumskrav.
Virksomheder, der er omfattet af NIS 2 som en del af den digitale sektor, skal i visse situationer indberette væsentlige hændelser til Digitaliseringsstyrelsen. Det følger i den forbindelse af den såkaldte gennemførelsesforordning (2024/2690) (se eventuelt FAQ om Gennemførelsesforordning nr. 2024/2960 eller NIS 2-loven – hvilke krav skal man leve op til?), at der i flere situationer udløses en pligt til at foretage en indberetning, når en vis procentdel eller et bestemt antal af virksomhedens brugere er påvirket af en given hændelse. Det er i den forbindelse relevant at præcisere, hvad der forstås ved “brugere”, herunder om begrebet alene omfatter virksomhedens direkte kunder eller også andre aktører, der påvirkes af hændelsen.
Det følger af gennemførelsesforordningen, at der med ”bruger” forstås alle juridiske og fysiske personer, der har adgang til virksomhedens net- og informationssystemer (præambelbetragtning 10), herunder de erhvervs- og slutkunder, som virksomheden har et kontraktforhold med, samt fysiske og juridiske personer med tilknytning til erhvervskunder (præambelbetragtning 32).
Det er således et relativt omfattende brugerbegreb, der skal lægges til grund for vurderingen, idet alle juridiske og fysiske personer, der benytter sig af virksomhedens tjenester, skal medregnes. Det er i den forbindelse Digitaliseringsstyrelsens vurdering, at man eksempelvis også skal medregne brugere som i praksis har adgang til systemerne, men som ikke nødvendigvis har et kontraktforhold med virksomheden eller virksomhedens erhvervskunder. Et eksempel herpå kunne være borgere, der anvender en kommunes bibliotek-system, og hvor der alene forelægger et kontraktforhold mellem en udbyder af systemet (NIS 2-virksomhed) og en kommune.
Det følger af gennemførelsesforordningen (2024/2690), at der i flere situationer udløses en pligt til at foretage en indberetning, når en tjeneste er fuldstændig utilgængelig. Det kan fx være når 5 pct. eller 1 mio. af en tjenestes brugere er påvirket af en hændelse. Forordningen angiver imidlertid ikke i alle tilfælde, hvor mange brugere, der skal være berørt af hændelsen, før der er tale om ”fuldstændig utilgængelighed”.
Hvis der ikke er angivet en procentsats eller et specifikt antal, skal det lægges til grund, at hvis blot én bruger er berørt af fuld utilgængelighed, foreligger der en væsentlig hændelse. Som eksempler på sådanne situationer kan henvises til forordningens artikel 8, litra a og artikel 14, litra a, om henholdsvis udbydere af datacentertjenester og udbydere af tillidstjenester.
Fuld utilgængelighed dækker således over situationer, hvor én eller flere brugere ikke har adgang til samtlige funktionaliteter i et omfang (serviceniveau) som med rimelighed kan forventes af den eller de berørte bruger(e). Planlagte driftsafbrydelser og forventede konsekvenser af planlagt vedligeholdelsesarbejde, der udføres af eller på vegne af virksomheden, anses ikke for at være væsentlige hændelser (gennemførelsesforordningens artikel 3, stk. 2).
Utilgængelighed bør måles fra det tidspunkt, hvor tjenesten er helt utilgængelig for brugerne, til det tidspunkt, hvor regelmæssige aktiviteter eller regelmæssig drift genoprettes til det serviceniveau, der blev leveret forud for hændelsen. Hvis virksomheden ikke er i stand til at fastslå, hvornår den fuldstændige utilgængelighed af en tjeneste indtraf, bør utilgængeligheden måles fra det tidspunkt, hvor den pågældende enhed opdagede den (præambelbetragtning 35).
Det følger af gennemførelsesforordningen (2024/2690), at der i flere situationer udløses en pligt til at foretage en indberetning, når en tjeneste er begrænset tilgængelig.
Begrænset tilgængelighed opstår, når en tjeneste, der leveres af virksomheden, er betydeligt langsommere end den gennemsnitlige svartid, eller hvis ikke alle tjenestens funktionaliteter er tilgængelige. Hvis det er muligt, bør der til at vurdere forsinkelser i svartiden anvendes objektive kriterier baseret på de gennemsnitlige svartider for de tjenester, der leveres af virksomheden (dvs. virksomhedens egne gennemsnitlige svartider under normale driftsforhold). En funktionalitet kan f.eks. være en chatfunktion eller en billedsøgefunktion (præambelbetragtning 38).
Begrænset tilgængelighed af en tjeneste måles fra det tidspunkt, hvor der opstår en forstyrrelse af den forudsatte (korrekte) levering og indtil genopretningstidspunktet af leveringen. Hvis virksomheden ikke er i stand til at fastslå, hvornår forstyrrelsen indtraf, bør hændelsens varighed måles fra det tidspunkt, hvor hændelsen blev opdaget, eller fra det tidspunkt, hvor hændelsen blev registreret i net- eller systemlogfiler eller andre datakilder, alt efter hvad der indtraf først (præambelbetragtning 34).
I overensstemmelse med hvad der gælder for situationer med ”fuldstændig utilgængelighed” (se særskilt FAQ herom), kan planlagte driftsafbrydelser og forventede konsekvenser af planlagt vedligeholdelsesarbejde, der udføres af eller på vegne af virksomheden, ikke anses for at være væsentlige hændelser, jf. artikel 3, stk. 2, i gennemførelsesforordningen.
Det er ikke muligt for en enhed at være direkte omfattet af både DORA og NIS2. DORA (Digital Operational Resilience Act) er en EU-forordning, der finder anvendelse på finansielle enheder og visse kritiske IKT tredjepartsudbydere til finanssektoren, mens NIS 2 er et EU-direktiv, der stiller krav til cybersikkerhed for en bredere kreds af enheder på tværs af samfundskritiske og digitale sektorer.
Hvis en enhed er omfattet af DORA-forordningen, vil de krav, der følger af DORA, som udgangspunkt regulere enhedens digitale operationelle modstandsdygtighed inden for de aktiviteter, der er omfattet af både DORA og NIS 2.
Det vil sige, at i tilfælde hvor både DORA og NIS 2 kunne finde anvendelse på samme forhold, vil DORA have forrang og NIS 2 vil ikke finde anvendelse på forholdet efter lex specialis-princippet. Dette skyldes, at DORA er et mere specialiseret regelsæt målrettet finanssektoren, jf. § 1, stk. 3, i Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2- loven) og artikel 4, stk. 1 i NIS 2-direktivet. NIS 2 vil derfor ikke finde anvendelse for enheden, hvis enheden er reguleret af DORA.
Hvis du har spørgsmål om NIS 2 for enheder, der leverer digitale tjenester, kan du kontakte Digitaliseringsstyrelsen på NIS2@digst.dk.
