Hvad er kravene?

Hvilke krav skal man leve op til, hvis man er omfattet af NIS 2?

Omfattede enheder skal leve op til en række cybersikkerhedskrav, herunder:

  • Registrering hos myndighederne
  • Ledelsens ansvar for cybersikkerhed
  • Rapportering af sikkerhedshændelser
  • Implementering af tilstrækkelige sikkerhedsforanstaltninger

Formålet med kravene er at øge robustheden mod cybertrusler og beskytte kritisk infrastruktur.

Registreringspligt og hændelsesindberetning

Læs mere om hvordan du registrerer din virksomhed og indberetter sikkerhedshændelser

Du kan læse mere om de generelle krav til enheder omfattet af NIS 2 på Styrelsen for Samfundssikkerheds hjemmeside.

Er der specielle regler for enheder, der leverer digitale tjenester?

Kommissionen har vedtaget gennemførselsforordning (EU) 2024/2690 med særlige regler for en række tjenesteudbydere for at skabe en ensartet ramme og sikre en fælles tilgang til cybersikkerhed. Reglerne præciserer, hvornår en hændelse skal betragtes som væsentlig, og fastsætter de tekniske og metodologiske krav til håndtering af cybersikkerhedsrisici.

Vejledning til gennemførselsforordningen for NIS 2

EUs Agentur for Cybersikkerhed (ENISA) har lavet en vejledning, der understøtter enheder i at efterleve kravene i Kommissionens gennemførselsforordning (EU) 2024/2690. Den giver teknisk og metodisk vejledning til, hvordan organisationer kan implementere risikostyringsforanstaltninger, dokumentere efterlevelse og gennemføre relevante sikkerhedstiltag. Vejledningen indeholder konkrete eksempler på dokumentation, kravfortolkning og koblinger til både internationale standarder og nationale rammeværk.

Find vejledningen her.

Download mapping af sikkerhedskrav til internationale standarder og nationale rammeværk her.

Hvem er omfattet af de specielle regler for enheder?

Disse regler gælder for:

  • DNS-tjenesteudbydere
  • Administratorer af topdomænenavne
  • Udbydere af cloudcomputingtjenester
  • Udbydere af datacentertjenester
  • Udbydere af indholdsleveringsnetværk
  • Udbydere af administrerede tjenester
  • Udbydere af administrerede sikkerhedstjenester
  • Udbydere af onlinemarkedspladser
  • Udbydere af onlinesøgemaskiner
  • Udbydere af sociale netværksplatforme
  • Udbydere af tillidstjenester

Reglerne fremgår af Kommissionens gennemførelsesforordning, som kan læses her.

Hvis en enhed leverer en tjeneste, der er omfattet af gennemførelsesforordningen, er hele enheden (CVR-nummeret) underlagt reglerne – også hvis tjenesten kun udgør en mindre biaktivitet. De nævnte enheder er dog ikke omfattet af NIS 2-lovens generelle krav til cybersikkerhedsforanstaltninger eller hændelsesrapportering. I stedet skal de følge gennemførelsesforordningen.

NIS 2-lovens § 11 findes der desuden særskilte krav for topdomæneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, om at føre en database over domænenavnsregistreringsdata.