Omfattede enheder skal leve op til en række cybersikkerhedskrav, herunder:
Formålet med kravene er at øge robustheden mod cybertrusler og beskytte kritisk infrastruktur.
Du kan læse mere om de generelle krav til enheder omfattet af NIS 2 på Styrelsen for Samfundssikkerheds hjemmeside.
Kommissionen har vedtaget gennemførselsforordning (EU) 2024/2690 med særlige regler for en række tjenesteudbydere for at skabe en ensartet ramme og sikre en fælles tilgang til cybersikkerhed. Reglerne præciserer, hvornår en hændelse skal betragtes som væsentlig, og fastsætter de tekniske og metodologiske krav til håndtering af cybersikkerhedsrisici.
EUs Agentur for Cybersikkerhed (ENISA) har lavet en vejledning, der understøtter enheder i at efterleve kravene i Kommissionens gennemførselsforordning (EU) 2024/2690. Den giver teknisk og metodisk vejledning til, hvordan organisationer kan implementere risikostyringsforanstaltninger, dokumentere efterlevelse og gennemføre relevante sikkerhedstiltag. Vejledningen indeholder konkrete eksempler på dokumentation, kravfortolkning og koblinger til både internationale standarder og nationale rammeværk.
Find vejledningen her.
Disse regler gælder for:
Reglerne fremgår af Kommissionens gennemførelsesforordning, som kan læses her.
Hvis en enhed leverer en tjeneste, der er omfattet af gennemførelsesforordningen, er hele enheden (CVR-nummeret) underlagt reglerne – også hvis tjenesten kun udgør en mindre biaktivitet. De nævnte enheder er dog ikke omfattet af NIS 2-lovens generelle krav til cybersikkerhedsforanstaltninger eller hændelsesrapportering. I stedet skal de følge gennemførelsesforordningen.
I NIS 2-lovens § 11 findes der desuden særskilte krav for topdomæneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, om at føre en database over domænenavnsregistreringsdata.
Enheder, der er omfattet af NIS 2, skal registrere sig senest 1. oktober 2025 på virk.dk. Hvis en enhed først bliver omfattet efter denne dato, skal registreringen ske senest to uger efter, at den er blevet omfattet.
Registreringen sker via en formular på virk.dk med MitID. Hvis en enhed opererer i flere sektorer, skal den afkrydse alle relevante sektorer, hvorefter registreringen automatisk fordeles til de rette myndigheder.
Efter registreringen modtager enheden en kvittering på skærmen og via Digital Post.
Enheder, der opererer i flere EU-medlemsstater, skal registrere sig separat i hvert land, hvor de er underlagt jurisdiktion.
Registreringsløsningen er endnu ikke tilgængelig. Der vil blive linket til registreringsside, når det bliver muligt for enheder at registrere sig.
Hvis du har spørgsmål om NIS 2 for enheder, der leverer digitale tjenester, kan du kontakte Digitaliseringsstyrelsen på NIS2@digst.dk.
