Leverandører og distributører samt udsendelse og salg af elektricitet, olie, gas, fjernvarme/køling, hydrogen, producenter af ladestander til elbil

Luftfart, lufthavnsdriftsorganer, trafikledelse- og kontrol, jernbane, rederier, vejtransport, havne, operatører af skibstrafik, operatører af intelligente transportsystemer

Finansielle markedsinfrastrukturer

Handels- og børsvirksomheder samt diverse infrastruktur

Sundhedsudbydere, forskningslaboratorier i sundhedsfremme, farmaceutiske virksomheder samt producenter af medicinalt udstyr

Leverandører og distributører af drikkevand

Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand

Digital infrastruktur

Udbydere af internetudvekslingspunkter, DNS-tjenesteudbydere, bortset fra operatører af rod-navneserver, topdomænenavneadministratorer, udbydere af cloudcomputing-tjenester, datacentertjenester, indholdsleveringsnetværk, tillidstjenesteudbydere, offentlige elektroniske kommunikationsnet og udbydere af offentligt tilgængelige elektroniske kommunikationstjenester

Forvaltning af IKT-tjenester (business-to-business)

Udbydere af administrerende tjenester eller sikkerhedstjenester (IKT = informations- og kommunikationsteknologi, anvendes f.eks. af forsikringsselskaber til at modtage anmeldelser af skader)

Offentlig forvaltning

Central administration, regional administration og kommunerne

Virksomheder der arbejder med ruminfrastruktur

Post- og kurertjenester

Postbefordrende virksomheder samt udbydere af kurertjenester

Virksomheder der varetager affaldshåndtering som deres vigtigste økonomiske aktivitet

Fremstilling, produktion og distribution af kemikalier

Virksomheder der arbejder med fremstilling, produktion og/eller distribution af kemikalier

Produktion, tilvirkning og distribution af fødevarer

Fødevarevirksomheder, der beskæftiger sig med engrosdistribution og industriel produktion og tilvirkning

Virksomheder der fremstiller medicinsk udstyr, computere og elektroniske produkter, elektrisk udstyr, maskiner og udstyr i.a.n., motorkøretøjer, påhængsvogne og sættevogne eller andre transportmidler

Udbydere af onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester

Guide: Sådan ved du, om din virksomhed er omfattet af NIS2

Indsigt

05.03.2025

Flere danske virksomheder, organisationer og kommunerne bliver omfattet af NIS2, når det danske lovforslag til implementering af NIS2-direktivet træder i kraft - forventeligt allerede den 1. juli 2025.

Men ved du, om din virksomhed eller organisation er omfattet eller ej? Find ud af det med vores 3-trins-guide.

Brug guiden og se, om du er omfattet af NIS2 eller ej

Denne guide er til dig, der er i tvivl om, hvorvidt din virksomhed eller organisation bliver omfattet eller ej.

Trin 1 indeholder en beskrivelse af alle de enheder, der bliver direkte omfattet, trin 2 indeholder undtagelserne, og trin 3 forklarer sammenhængen med CER-direktivet.

Trin 1. Er din virksomhed eller organisation en væsentlig eller vigtig enhed?

I NIS2-direktivet skelnes der mellem væsentlige og vigtige enheder, som betragtes som samfundskritiske.

Enhederne er samfundskritiske, fordi de leverer væsentlige tjenester, hvor et cyberangreb i værste tilfælde kan betyde, at samfundet går i stå i større eller mindre udstrækning.

I guidens trin 1 finder du en liste over de væsentlige og vigtige enheder.

Hvis din virksomhed falder ind under én af disse kategorier, er den som udgangspunkt omfattet af NIS2. Dog kan du se undtagelserne i trin 2.

NB: Eksemplerne under ”typer” er ikke en udtømmende liste.

Hvad er væsentlige enheder?

Udbydere af internetudvekslingspunkter, DNS-tjenesteudbydere, bortset fra operatører af rod-navneserver, topdomænenavneadministratorer, udbydere af cloudcomputing-tjenester, datacentertjenester, indholdsleveringsnetværk, tillidstjenesteudbydere, offentlige elektroniske kommunikationsnet og udbydere af offentligt tilgængelige elektroniske kommunikationstjenester

Hvad er vigtige enheder?

Særlige regler for enkelte sektorer

Loven finder ikke anvendelse på tele- energi- og finanssektorerne, idet NIS2-direktivet gennemføres ved særskilt lovgivning.

For så vidt angår den finansielle sektor, bliver disse enheder omfattet af Digital Operational Resilience Act – DORA. Telesektoren bliver omfattet af lov om cybersikkerhed i telesektoren. Den 4. december 2024 blev der fremsat lovforslag til lov om styrket beredskab i energisektoren, som skal implementere NIS2-direktivet.

Trin 2. Er din virksomhed eller organisation undtaget?

Hvis din virksomhed er omfattet af NIS2 som enten væsentlig eller vigtig, kan der være tilfælde, hvor din virksomhed alligevel er undtaget.

Din virksomhed er undtaget, hvis virksomheden har under 50 ansatte og en årlig omsætning eller samlet årlig balance under 10 mio. euro.

Derudover kan enkelte offentlige forvaltninger undtages fra NIS2, hvis deres arbejde og aktivitet omhandler den nationale sikkerhed, forsvaret, retshåndhævelse, efterforskning og retsforfølgning. Hvis organisationen alene i marginal grad er tilknyttet dette arbejde og aktiviteter, kan man dog stadig være omfattet.

Din virksomhed er dog ikke undtaget, hvis:

Virksomheden er en kvalificeret tillidstjenesteudbyder, topdomæneadministrator eller DNS-tjenesteudbydere
Der er tale om statslige myndigheder
Enheden er identificeret som kritiske i henhold til lov om kritiske enheders modstandsdygtighed (CER-direktivet)
Enheden er den eneste udbyder af en tjeneste, som er væsentlig for opretholdelse af kritiske samfundsmæssige eller økonomiske aktiviteter i Danmark
En forstyrrelse af den tjeneste, enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden
En forstyrrelse af den tjeneste, enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
Enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.

Trin 3. Er din virksomhed eller organisation omfattet af CER-direktivet?

Hvis din virksomhed er udpeget som en kritisk enhed efter CER-direktivet, er virksomheden alligevel omfattet af NIS2, selvom den ikke hører under en af de nævnte sektorer - for virksomheder, der er identificeret som kritiske enheder jf. CER-direktivet er automatisk omfattet af NIS2 uanset deres størrelse.

CER-direktivet vedrører digital modstandsdygtighed, hvor der stilles krav til beskyttelse mod hændelser i IT-systemer, der kan have negative konsekvenser for samfundet. Direktivet regulerer også krav til fysisk sikkerhed og personalesikkerhed, men ikke cybersikkerhed, som dermed bliver omfavnet i NIS2.

Det er staten, der udpeger og vurderer, hvilke enheder der bliver omfattet. Den indledende vurdering forventes færdig senest den 17. juli 2026.