Er din virksomhed omfattet af NIS 2-direktivet?

Virksomheder, der er omfattede af EU’s NIS 2-direktiv, som skal styrke cybersikkerheden i medlemslandene, skal registrere sig senest den 1. oktober 2025.

EU’s NIS 2-direktiv stiller nye krav, som skal sikre et højt fælles niveau for cybersikkerhed i medlemslandene. Direktivet er implementeret i dansk lovgivning og trådte i kraft den 1. juli 2025. Det medfører nye krav til de omfattede virksomheder, herunder pligt til at registrere sig senest den 1. oktober 2025.

Virksomheder i gartnerierhvervet kan være omfattet, hvis de for eksempel producerer fødevarer eller deltager på elektricitetsmarkedet.

Formålet med direktivet er at styrke cybersikkerheden og øge modstandsdygtigheden over for cybertrusler i hele EU. Baggrunden er et højere trusselsniveau end ved det tidligere NIS 1-direktiv, som blev implementeret i 2018.

Hvilke virksomheder er omfattede?

NIS 2 gælder for såkaldte "væsentlige" og "vigtige enheder" inden for de samfundskritiske sektorer, for eksempel:

Særligt kritiske sektorer: transport, sundhed og energi
Andre kritiske sektorer: post- og kurertjenester, affaldshåndtering og fødevareproduktion

En virksomhed i gartnerierhvervet kan være omfattet, hvis den producerer fødevarer eller deltager på elmarkedet og samtidig opfylder mindst ét af følgende kriterier:

Har mindst 50 ansatte målt i årsarbejdsenheder (ÅAE), jf. faktaboks (især relevant ved sæson- eller deltidsansatte)
Har en årlig omsætning og samlet balance på over 10 mio. euro

Det er virksomhedens eget ansvar at vurdere, om den er omfattet. Styrelsen for Samfundssikkerhed har udarbejdet et værktøj, der kan hjælpe med denne vurdering. Bemærk, at en virksomhed også kan være omfattet uanset størrelse, hvis den vurderes at have særlig samfundsmæssig betydning. Denne vurdering er dog op til den sektoransvarlige myndighed.

Hvis en virksomhed er omfattet af både fødevare- og energisektoren, skal den leve op til kravene fra begge sektorer.

Krav og registrering

NIS 2-lovgivningen sætter overordnet krav til de omfattede enheder om:

Risikostyring og foranstaltninger til cybersikkerhed
Ledelsesansvar
Hændelsesunderretning
Dokumentation og kontrol

Styrelsen for Samfundssikkerhed har udarbejdet fire sektortværgående NIS 2-vejledninger til kravene, som kan findes på styrelsens hjemmeside. Vær opmærksom på, at lovgivningen og kravene for de omfattede enheder i energisektoren er særskilte.

NIS 2 er baseret på sektoransvarlighed, hvilket indebærer, at det er de sektoransvarlige myndigheders ansvar at føre tilsyn og vejlede de omfattede virksomheder. For eksempel er Fødevarestyrelsen ansvarlig for fødevaresektoren, og Energistyrelsen er ansvarlig for energisektoren.

Hvis en virksomhed er omfattet, skal den registrere sig via Virk senest den 1. oktober 2025.

Manglende registrering eller manglende efterlevelse af NIS 2-kravene kan føre til sanktioner.

Beregning af årsarbejdsenheder (ÅAE)

1 ÅAE svarer til én fuldtidsansat i ét år. Deltidsansatte og sæsonarbejdere tæller som brøkdele. Lærlinge og elever under erhvervsuddannelse, som har indgået en lærlingekontrakt eller en erhvervsuddannelseskontrakt, medregnes ikke i antal beskæftigede.

I Danmark er fuldtidsarbejde typisk defineret som 37 timer pr. uge, og derfor kan antal ÅAE beregnes som følgende:

ÅAE = (antal måneder arbejdet / 12) x (arbejdstimer pr. uge / 37)

Eksempel 1

En fuldtidsansat i ét år: (12/12) x (37/37) = 1 ÅAE

Eksempel 2

En sæsonarbejder på fuldtid i tre måneder: (3/12) x (37/37) = 0,25 ÅAE

Hvis en virksomhed selv definerer fuldtid som for eksempel 40 timer pr. uge, er det denne virksomhedsdefinition, der skal bruges i beregningen af ÅAE.

Fødevaresektoren

Omfattede virksomheder i fødevaresektoren kan læse mere om krav og registreringer på Fødevarestyrelsens hjemmeside. Derudover anbefales det at sætte sig ind i Styrelsen for Samfundssikkerheds sektortværgående vejledninger. Virksomheder, der producerer småplanter, som videresælges til fødevareproducenter med henblik på videredyrkning, er ikke omfattede.

Energisektoren

Virksomheder i energisektoren er omfattede af en særskilt lovgivning og skal derfor ikke følge de generelle NIS 2-vejledninger. De relevante lovgivninger og bekendtgørelser for omfattede virksomheder kan findes på Energistyrelsens hjemmeside.

Kravene for energisektoren varierer fra de overordnede NIS 2-krav. Derfor er det vigtigt som for eksempel markedsdeltager at sætte sig ind i dem. Dog gælder de samme regler for, hvornår en virksomhed er omfattet i forhold til størrelse eller omsætning samt tidshorisont for registrering.

Markedsdeltagere defineres blandt andet som virksomheder, der sælger eller producerer elektricitet eller tilbyder fleksibelt elforbrug eller lagringstjenester. Derfor kan for eksempel væksthusgartnerier, som yder tjenester inden for fleksibelt elforbrug eller energilagring, være omfattede.