Forside
Tilsyn
NIS 2
Hændelsesunderretning

Hændelsesunderretning

Virksomheder omfattet af NIS 2-loven er forpligtigede til at underrette om væsentlige hændelser. Her kan du læse mere om, hvad reglerne indebærer.

Hvad er en væsentlig hændelse?

En hændelse anses for at være væsentlig, hvis en af følgende betingelser er opfyldt jf. § 12 i NIS 2-loven:

1. Hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed.

2. Hændelsen har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikkefysisk skade.

Hvad indebærer en underretning?

Efter man som virksomhed har fået kendskab til en væsentlig hændelse, skal virksomheden inden for fastsatte tidsrammer underrette om hændelsen. Det sker på følgende måde:

Illustrationen viser en tidslinje med fire punkter. Punkt 1, tidlig varsling inden 24 timer. Punkt 2, hændelsesunderretning inden 72 timer. Punkt 3, eventuel foreløbig rapport. Punkt 4, endelig rapport inden 1 måned.

Underretninger om væsentlige hændelser skal ske via virk.dk. Underretningen bliver automatisk sendt videre til de relevante sektoransvarlige myndigheder og samt CSIRT’en (Computer Security and Incicent Response Team). CSIRT'en håndterer IT-sikkerhedshændelser og reagerer herunder på og udbyder bistand til berørte enheder i forbindelse med hændelser.

Du kan læse mere om hændelsesunderretning i Styrelsen for Samfundssikkerheds vejledning. Du skal dog være opmærksom på, at vejledningens kapitel 1 om hændelser ikke er dækkende for udbydere, der er omfattet af den digitale sektor.

Hændelsesunderretning for digitale udbydere

EU-Kommissionen har vedtaget en gennemførelsesforordning, der indeholder særlige krav til hændelsesunderretninger, herunder definitioner af hvad der udgør væsentlige hændelser (artikel 3-14). Kravene er relevante for virksomheder omfattet af den digitale sektor, men varierer alt efter, hvilke tjenester man som virksomhed udbyder. Du kan læse mere om gennemførselsforordningen på siden NIS 2 – Regelsæt.

Generelle kriterier for væsentlige hændelser for den digitale sektor

NIS 2-lovens definition af en væsentlig hændelse suppleres af Gennemførselsforordningen nr. 2024/2690. Her anses en hændelse for at være at være væsentlig for så vidt angår omfattede enheder i den digitale sektor, hvis et af følgende kriterier er opfyldt:

Hændelsen har forårsaget eller er i stand til at forårsage direkte økonomiske tab for den relevante enhed, som overstiger 500.000 EURO eller 5 % af den relevante enheds samlede årsomsætning i det foregående regnskabsår, alt efter hvad der er lavest.

Hændelsen har forårsaget eller er i stand til at forårsage afsløring af den relevante enheds forretningshemmeligheder som defineret i artikel 2, nr. 1), i direktiv (EU) 2016/943.

Hændelsen har forårsaget eller er i stand til at forårsage en fysisk persons død.

Hændelsen har forårsaget eller er i stand til at forårsage betydelig skade på en fysisk persons helbred.

Der er opnået formodet ondsindet og uautoriseret adgang til net- og informationssystemer, hvilket kan forårsage alvorlige driftsforstyrrelser.

Hændelsen opfylder kriterierne i Gennemførselsforordningens artikel 4.

Hændelsen opfylder et eller flere af kriterierne i Gennemførselsforordningens artikel 5-14.

Specifikke kriterier for væsentlige hændelser efter enhedstype:

Hvis ovenstående generelle kriterier for den digitale sektor ikke er opfyldt, men enheden hører inden for en af nedenstående enhedskategorier, og hændelsen opfylder en af de specifikke kriterier for enhedskategorien, er der tale om en væsentlig hændelse.

For så vidt angår DNS-tjenesteudbydere anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en rekursiv eller autoritativ domænenavnsoversættelsestjeneste er fuldstændig utilgængelig i mere end 30 minutter

i en periode på mindst en time er en rekursiv eller autoritativ domænenavnsoversættelsestjenestes gennemsnitlige svartid for DNS-anmodninger mere end 10 sekunder

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af den autoritative domænenavnsoversættelsestjeneste er bragt i fare, undtagen i tilfælde, hvor data om mindre end 1 000 domænenavne, der forvaltes af DNS-tjenesteudbyderen, hvilket højst må udgøre 1 % af de domænenavne, der forvaltes af DNS-tjenesteudbyderen, er ukorrekte på grund af fejlkonfiguration.
For så vidt angår topdomænenavneadministratorer anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en autoritativ domænenavnsoversættelsestjeneste er fuldstændig utilgængelig

i en periode på mindst en time er en autoritativ domænenavnsoversættelsestjenestes gennemsnitlige svartid for DNS- anmodninger mere end 10 sekunder

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende den tekniske drift af topdomænet er bragt i fare.
For så vidt angår udbydere af cloudcomputingtjenester anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en leveret cloudcomputingtjeneste er fuldstændig utilgængelig i mere end 30 minutter

tilgængeligheden af en udbyders cloudcomputingtjeneste er begrænset for mere end 5 % af brugerne af cloudcomputingtjenesten i Unionen eller for mere end 1 mio. brugere af cloudcomputingtjenesten i Unionen, alt efter hvilket tal der er lavest, i en periode på mindst en time

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af en cloudcomputingtjeneste er bragt i fare som følge af en formodet ondsindet handling

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af en cloudcomputingtjeneste er bragt i fare i et omfang, der påvirker mere end 5 % af brugerne af cloudcomputingtjenesten i Unionen eller mere end 1 mio. brugere af cloudcomputingtjenesten i Unionen, alt efter hvilket tal der er lavest.
For så vidt angår udbydere af datacentertjenester anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en datacentertjeneste fra et datacenter, der drives af udbyderen, er fuldstændig utilgængelig

tilgængeligheden af en datacentertjeneste fra et datacenter, der drives af udbyderen, er begrænset i en periode på mindst en time

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af en datacentertjeneste er bragt i fare som følge af en formodet ondsindet handling

den fysiske adgang til et datacenter, der drives af udbyderen, er bragt i fare.
For så vidt angår udbydere af indholdsleveringsnetværk anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

et indholdsleveringsnetværk er fuldstændig utilgængeligt i mere end 30 minutter

tilgængeligheden af et indholdsleveringsnetværk er begrænset for mere end 5 % af brugerne af indholdsleveringsnetværket i Unionen eller for mere end 1 mio. brugere af indholdsleveringsnetværket i Unionen, alt efter hvilket tal der er lavest, i en periode på mindst en time

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende et indholdsleveringsnetværks levering er bragt i fare som følge af en formodet ondsindet handling

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende et indholdsleveringsnetværks levering er bragt i fare i et omfang, der påvirker mere end 5 % af brugerne af indholdsleveringsnetværket i Unionen eller mere end 1 mio. brugere af indholdsleveringsnetværket i Unionen, alt efter hvilket tal der er lavest.
For så vidt angår udbydere af administrerede tjenester og udbydere af administrerede sikkerhedstjenester anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en administreret tjeneste eller administreret sikkerhedstjeneste er fuldstændig utilgængelig i mere end 30 minutter

tilgængeligheden af en administreret tjeneste eller administreret sikkerhedstjeneste er begrænset for mere end 5 % af brugerne af tjenesten i Unionen eller for mere end 1 mio. brugere af tjenesten i Unionen, alt efter hvilket tal der er lavest, i en periode på mindst en time

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af en administreret tjeneste eller administreret sikkerhedstjeneste er bragt i fare som følge af en formodet ondsindet handling

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af en administreret tjeneste eller en administreret sikkerhedstjeneste er bragt i fare i et omfang, der påvirker mere end 5 % af brugerne af den administrerede tjeneste eller den administrerede sikkerhedstjeneste i Unionen eller mere end 1 mio. brugere af tjenesten i Unionen, alt efter hvilket tal der er lavest.
For så vidt angår udbydere af onlinemarkedspladser anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en onlinemarkedsplads er fuldstændig utilgængelig for mere end 5 % af brugerne af onlinemarkedspladsen i Unionen eller for mere end 1 mio. brugere af onlinemarkedspladsen i Unionen, alt efter hvilket tal der er lavest

mere end 5 % af brugerne af en onlinemarkedsplads i Unionen eller mere end 1 mio. brugere af en onlinemarkedsplads i Unionen, alt efter hvilket tal der er lavest, er påvirket af en begrænset tilgængelighed af onlinemarkedspladsen

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende en onlinemarkedsplads' levering er bragt i fare som følge af en formodet ondsindet handling

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende en onlinemarkedsplads' levering er bragt i fare i et omfang, der påvirker mere end 5 % af brugerne af onlinemarkedspladsen i Unionen eller mere end 1 mio. brugere af onlinemarkedspladsen i Unionen, alt efter hvilket tal der er lavest.
For så vidt angår udbydere af onlinesøgemaskiner anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en onlinesøgemaskine er fuldstændig utilgængelig for mere end 5 % af brugerne af onlinesøgemaskinen i Unionen eller for mere end 1 mio. brugere af onlinesøgemaskinen i Unionen, alt efter hvilket tal der er lavest

mere end 5 % af brugerne af en onlinesøgemaskine i Unionen eller mere end 1 mio. brugere af en onlinesøgemaskine i Unionen, alt efter hvilket tal der er lavest, er påvirket af en begrænset tilgængelighed af onlinesøgemaskinen

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende en onlinesøgemaskines levering er bragt i fare som følge af en formodet ondsindet handling

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende en onlinesøgemaskines levering er bragt i fare i et omfang, der påvirker mere end 5 % af brugerne af onlinesøgemaskinen i Unionen eller mere end 1 mio. brugere af onlinesøgemaskinen i Unionen, alt efter hvilket tal der er lavest.
For så vidt angår udbydere af platforme for sociale netværkstjenester anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en platform for sociale netværkstjenester er fuldstændig utilgængelig for mere end 5 % af brugerne af platformen for sociale netværkstjenester i Unionen eller for mere end 1 mio. brugere af platformen for sociale netværkstjenester i Unionen, alt efter hvilket tal der er lavest

mere end 5 % af brugerne af en platform for sociale netværkstjenester i Unionen eller mere end 1 mio. brugere af en platform for sociale netværkstjenester i Unionen, alt efter hvilket tal der er lavest, er påvirket af en begrænset tilgængelighed af platformen for sociale netværkstjenester

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende en platform for sociale netværkstjenesters levering er bragt i fare som følge af en formodet ondsindet handling

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende en platform for sociale netværkstjenesters levering er bragt i fare i et omfang, der påvirker mere end 5 % af brugerne af platformen for sociale netværkstjenester i Unionen eller mere end 1 mio. brugere af platformen for sociale netværkstjenester i Unionen, alt efter hvilket tal der er lavest.
For så vidt angår tillidstjenesteudbydere anses en hændelse for at være væsentlig i henhold til artikel 3, stk. 1, litra g), når den opfylder et eller flere af følgende kriterier:

en tillidstjeneste er fuldstændig utilgængelig i mere end 20 minutter

en tillidstjeneste er utilgængelig for brugere eller tilknyttede parter i mere end en time beregnet på kalenderugebasis

mere end 1 % af brugerne eller de tilknyttede parter i Unionen eller mere end 200 000 brugere eller tilknyttede parter i Unionen, alt efter hvilket tal der er lavest, er påvirket af en begrænset tilgængelighed af en tillidstjeneste

den fysiske adgang til et område, hvor net- og informationssystemer er placeret, og hvortil adgangen er begrænset til tillidstjenesteudbyderens betroede personale, eller beskyttelsen af denne fysiske adgang, er bragt i fare

integriteten, fortroligheden eller autenticiteten af lagrede, overførte eller behandlede data vedrørende leveringen af en tillidstjeneste er bragt i fare i et omfang, der påvirker mere end 0,1 % af brugerne af tillidstjenesten eller de tilknyttede parter i Unionen eller mere end 100 brugere af tillidstjenesten eller tilknyttede parter i Unionen, alt efter hvilket tal der er lavest.

Hændelsesunderretning

Virksomheder omfattet af NIS 2-loven er forpligtigede til at underrette om væsentlige hændelser. Her kan du læse mere om, hvad reglerne indebærer.

Hvad er en væsentlig hændelse?

Hvad indebærer en underretning?

Hændelsesunderretning for digitale udbydere

Generelle kriterier for væsentlige hændelser for den digitale sektor

Specifikke kriterier for væsentlige hændelser efter enhedstype:

Underret om en væsentlig hændelse

Kontakt tilsynet

Digitaliseringsstyrelsen

Genveje

Ofte besøgte sider

Digitaliseringsministeriet

Hændelsesunderretning

Virksomheder omfattet af NIS 2-loven er forpligtigede til at underrette om væsentlige hændelser. Her kan du læse mere om, hvad reglerne indebærer.

Hvad er en væsentlig hændelse?

Hvad indebærer en underretning?

Hændelsesunderretning for digitale udbydere

Generelle kriterier for væsentlige hændelser for den digitale sektor

Kriterier for væsentlige hændelser for den digitale sektor

Specifikke kriterier for væsentlige hændelser efter enhedstype:

DNS-tjenesteudbydere

Topdomænenavneadministratorer

Udbydere af cloudcomputingtjenester

Udbydere af datacentertjenester

Udbydere af indholdsleveringsnetværk

Udbydere af administrerede tjenester og administrerede sikkerhedstjenester

Udbydere af onlinemarkedspladser

Udbydere af onlinesøgemaskiner

Udbydere af platforme for sociale netværkstjenester

Tillidstjenesteudbydere

Underret om en væsentlig hændelse

Kontakt tilsynet

Digitaliseringsstyrelsen

Genveje

Ofte besøgte sider

Digitaliseringsministeriet