Registreringen sker via en formular på virk.dk med MitID. Hvis en virksomhed opererer i flere sektorer, skal den afkrydse alle relevante sektorer, hvorefter registreringen automatisk fordeles til de rette myndigheder. Efter registreringen modtager virksomheden en kvittering på skærmen og via Digital Post.
Pr. d. 1. oktober 2025 skal virksomheder, der er omfattet af NIS 2, være registreret. Bliver en virksomhed omfattet, fx hvis den overstiger størrelseskravet, skal den lade sig registrere senest 2 uger herefter.
Se vejledning til registrering på Styrelsen for Samfundssikkerheds hjemmeside
For en række af de virksomheder, der er omfattet af NIS 2, er udgangspunktet, at man skal lade sig registrere i det land, hvor virksomheden er etableret. Der gælder imidlertid andre regler for de fleste virksomheder, der udbyder digitale tjenester, og som dermed er omfattet af Digitaliseringsstyrelsens sektoransvar. Udgangspunktet i disse tilfælde er, at virksomheden skal lade sig registrere i den medlemsstat, hvor hovedforretningsstedet er placeret.
Læs mere om hovedforretningsstedsreglen og enhedstyper under Digitaliseringsstyrelsens sektoransvar på siden Hvad er kravene?.
Efter man som virksomhed har fået kendskab til en væsentlig hændelse, skal virksomheden inden for fastsatte tidsrammer underrette om hændelsen. Det sker på følgende måde:
Der skal uden unødigt ophold og senest inden for 24 timer gives en tidlig varsling, som angiver, om hændelsen mistænkes for at skyldes ulovlige eller ondsindede handlinger, eller om den kunne have grænseoverskridende konsekvenser.
Uden unødigt ophold og senest inden for 72 timer skal der sendes en opdateret underretning, som ajourfører oplysningerne fra den tidlige varsling og giver en indledende vurdering af hændelsen – herunder dens alvor og indvirkning og eventuelle kompromitteringsindikatorer.
Der skal gives en foreløbig rapport om relevante statusopdateringer.
Senest en måned efter hændelsen skal der sendes en detaljeret rapport om hændelsen, som beskriver dens alvor og indvirkning, typen af trussel eller den årsag, der sandsynligvis udløste hændelsen, samt afbødende foranstaltninger, der er sat i gang eller stadig pågår. Rapporten skal også dække eventuelle grænseoverskridende virkninger.
Er hændelsen stadig igangværende en måned efter den tidlige varsling, skal enheden i stedet sende en statusrapport på dette tidspunkt, og en endelig rapport senest en måned efter hændelsen er håndteret.
For udbydere af tillidstjenester gælder det, at både den tidlige varsling og hændelsesunderretningen vil skulle sendes uden unødigt ophold og senest inden for 24 timer, efter at virksomheden har fået kendskab til hændelsen.
Hvis du har spørgsmål om NIS 2 for enheder, der leverer digitale tjenester, kan du kontakte Digitaliseringsstyrelsen på NIS2@digst.dk.
