Registreringspligt og hændelsesindberetning

Virksomheder omfattet af NIS 2 er underlagt registreringspligt og krav om hændelsesindberetning. Her kan du læse mere om, hvad reglerne indebærer.


Registreringskrav og tidsfrister

Registreringen sker via en formular på virk.dk med MitID. Hvis en enhed opererer i flere sektorer, skal den afkrydse alle relevante sektorer, hvorefter registreringen automatisk fordeles til de rette myndigheder.

Efter registreringen modtager virksomheden en kvittering på skærmen og via Digital Post.

Særlig om registrering for virksomheder omfattet af Digitaliseringsstyrelsens sektoransvar

For en række de virksomheder, der er omfattet af NIS 2, er udgangspunktet, at man skal lade sig registrere i det land, hvor virksomheden er etableret. Der gælder imidlertid andre regler for de fleste virksomheder, der udbyder digitale tjenester, og som dermed er omfattet af Digitaliseringsstyrelsens sektoransvar. Udgangspunktet i disse tilfælde er, at virksomheden skal lade sig registrere i den medlemsstat, hvor hovedforretningsstedet er placeret.

Læs mere om hovedforretningsstedsreglen og enhedstyper under Digitaliseringsstyrelsens sektoransvar her (link til den relevante side).

Registrer din virksomhed på Virk.dk

Hændelsesunderretning og tidsfrister

Alle virksomheder, der er omfattet af NIS 2, skal underrette om væsentlige hændelser til den sektoransvarlige myndighed og CSIRT’en. Underretningspligten træder i kraft 1. juli 2025. Underretninger om væsentlige hændelser skal ske via virk.dk. Underretningen bliver automatisk sendt videre til de relevante sektoransvarlige myndigheder og CSIRT’en.

Du kan læse mere om hændelsesunderretning i Styrelsen for Samfundssikkerheds vejledning (pdf). Du skal dog være opmærksom på, at vejledningens kapitel 1 om hændelser ikke er dækkende for udbydere, der er omfattet af den digitale sektor.

Særlige regler om hændelsesunderretning for digitale udbydere

EU Kommissionen har vedtaget en gennemførelsesforordning, der indeholder særlige krav til hændelsesunderretninger, herunder definitioner af hvad der udgør væsentlige hændelser (artikel 3-14). Kravene er relevante for virksomheder omfattet af den digitale sektor, men varierer alt efter, hvilke tjenester man som virksomhed udbyder. Du kan læse mere om gennemførselsforordningen her.

Indberet en væsentlig hændelse på Virk.dk

Hvornår skal du indberette en hændelse?

Efter man som virksomhed har fået kendskab til en væsentlig hændelse, skal virksomheden inden for fastsatte tidsrammer underrette om hændelsen. Det sker på følgende måde:

  • Tidlig varsling

Der skal uden unødigt ophold og senest inden for 24 timer gives en tidlig varsling, som angiver, om hændelsen mistænkes for at skyldes ulovlige eller ondsindede handlinger, eller om den kunne have grænseoverskridende konsekvenser.

  • Hændelsesunderretning

Uden unødigt ophold og senest inden for 72 timer skal der sendes en opdateret underretning, som ajourfører oplysningerne fra den tidlige varsling og giver en indledende vurdering af hændelsen – herunder dens alvor og indvirkning og eventuelle kompromitteringsindikatorer.

  • Efter anmodning fra CSIRT

Der skal gives en foreløbig rapport om relevante statusopdateringer.

  • Endelig rapport

Senest en måned efter hændelsen skal der sendes en detaljeret rapport om hændelsen, som beskriver dens alvor og indvirkning, typen af trussel eller den årsag, der sandsynligvis udløste hændelsen, samt afbødende foranstaltninger, der er sat i gang eller stadig pågår. Rapporten skal også dække eventuelle grænseoverskridende virkninger.

Er hændelsen stadig igangværende en måned efter den tidlige varsling, skal enheden i stedet sende en statusrapport på dette tidspunkt, og en endelig rapport senest en måned efter hændelsen er håndteret.

  • Særligt for tillidstjenester

For udbydere af tillidstjenester gælder det, at både den tidlige varsling og hændelsesunderretningen vil skulle sendes uden unødigt ophold og senest inden for 24 timer, efter at virksomheden har fået kendskab til hændelsen.