NIS 2-loven: omfang og pligter
Den danske implementering af NIS 2 gælder for virksomheder i de sektorer, der er opført i lovens bilag, når de opfylder størrelseskrav om mindst 50 ansatte eller betydelig omsætning/balance. Sektorerne omfatter bl.a. energi, transport, finans, sundhed, vand og digital infrastruktur samt visse støttefunktioner.
Udvalgte aktører er omfattet uanset størrelse, herunder tillidstjenesteudbydere og topdomæneadministratorer. Virksomheder skal foretage en konkret aktivitetsanalyse, da biaktiviteter kan udløse pligter. Loven skærper krav til cybersikkerhed, risikostyring, leverandørstyring og beredskab, og kategoriserer enheder som væsentlige eller vigtige.
Registrering, tilsyn og sanktioner
Berørte virksomheder skal registrere sig hos kompetent myndighed senest 1. oktober 2025. Afhængigt af aktiviteter kan flere sektortilsyn være involveret; myndighederne forventes at koordinere tilsynet efter registreringsfristen. Kravene forudsætter ledelsesforankring og dokumenteret efterlevelse.
Tilsynet intensiveres, og bøder kan fastsættes som en procentdel af global omsætning. For at reducere risiko anbefales tidlig planlægning af registrering, gap-analyse af kontroller samt etablering af hændelseshåndtering og kontinuitetsplaner.
