NIS2-loven er vedtaget – nye cybersikkerhedskrav i Danmark

Med NIS2-loven gennemføres den danske implementering af NIS2-direktivet, der har til formål at højne og styrke cybersikkerheden på tværs af EU. Loven omfatter både virksomheder og offentlige myndigheder, som vurderes at have samfundskritisk betydning.

Direktivet skal bl.a. sikre, at kritiske juridiske enheder er i stand til at opretholde deres drift og fortsat betjene samfundet – selv i tilfælde af et alvorligt cyberangreb.

Hvornår er en virksomhed omfattet af NIS2-loven?

En virksomhed er som udgangspunkt omfattet af NIS2-loven, hvis den opererer inden for én eller flere af de sektorer, der er oplistet i lovens bilag 1 og 2, herunder transport, drikke- og spildevand, digital infrastruktur og affaldshåndtering.

For at være omfattet af NIS2 skal virksomheden også opfylde et nærmere fastlagt størrelseskriterium. 

Størrelseskriteriet er todelt og omfatter dels et krav til antal ansatte, dels et krav til årlig omsætning og balance. Ifølge NIS2-loven skal en virksomhed enten overskride tærsklen for antal ansatte eller overskride tærsklen for både årlig omsætning og årlig samlet balance for at være omfattet.

For væsentlige enheder gælder det, at virksomheden enten skal beskæftige mere end 250 personer, eller have en årlig omsætning på over 50 mio. euro og en årlig samlet balance på over 43 mio. euro.

For vigtige enheder er grænsen lavere. Her skal virksomheden enten beskæftige mere end 50 personer, eller have en årlig omsætning på over 10 mio. euro og en samlet årlig balance på over 10 mio. euro.

Der er dermed sket en ændring i forhold til NIS2-direktivet. Ifølge direktivet kræver det nemlig, at både tærsklen for antal ansatte overskrides, og at enten den samlede årlige balance eller den årlige omsætning ligger over den fastsatte grænse, for at en enhed er omfattet.

Hvad skal du være opmærksom på, når du er omfattet?

Hvis din virksomhed er omfattet af NIS2-loven, skal I leve op til en række krav. Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i enhederne og forhindre hændelser eller minimere deres indvirkning. 

Disse foranstaltninger skal som minimum omfatte politikker for risikoanalyse, sikkerhed i forsyningskæden, grundlæggende cyberhygiejnepraksis samt løbende cybersikkerhedsuddannelse.

NIS2-loven træder i kraft den 1. juli 2025, og alle omfattede enheder skal senest den 1. oktober 2025 være registreret hos den relevante myndighed.

Er du i tvivl om, hvorvidt din virksomhed er omfattet – eller ønsker du at høre mere – er du velkommen til at kontakte compliance-teamet hos Roesgaard.