Den nye NIS 2-lov er trådt i kraft

Med de nye regler om cybersikkerhed skal virksomheder i en række kritiske sektorer overholde særlige krav. Reglerne gælder som udgangspunkt når en virksomhed:

• Er omfattet af en sektor i lovens bilag 1 eller 2, og
• Har 50 eller flere ansatte, eller har en
• Årlig omsætning og balance på over 10 mio. EUR

Bilagene omfatter væsentlige og vigtige virksomheder inden for sektorer som blandt andet energi, transport, bank, finansielle markedsinfrastrukturer, sundhed, drikkevand, og digital infrastruktur. Derudover omfattes sektorer såsom post- og kurér, affaldshåndtering, kemikalier, fødevarer, fremstilling, digitale tjenester og forskning eksempelvis også.

Undtagelser gælder, og nogle virksomheder kan være omfattet uanset sektor, størrelse eller omsætning. Det er for eksempel tilfældet for såkaldte tillidstjenesteudbydere og topdomænenavnsadministratorer.

Reglerne betyder, at virksomheder skal analysere forretningens aktiviteter for at vurdere, om reglerne gælder. Virksomheder kan blive omfattet uanset om aktiviteten, der udløser reglerne, er en biaktivitet eller hovedaktivitet.

De nye regler betyder skærpet tilsyn samt blandt andet bødeniveauer på op til 2 % af den årlige omsætning, alt efter om virksomheden er væsentlig eller vigtig.

IUNO mener

Virksomheder har pligt til at registrere sig ved den ansvarlige myndighed senest den 1. oktober 2025. De fleste virksomheder er allerede i fuld gang med vurderingen af, hvorvidt de nye regler gælder for dem eller ej. Nogle virksomheder kan risikere at være omfattet af flere tilsynsmyndigheder. Planen er, at myndighederne vil koordinere deres tilsyn efter fristens udløb.

IUNO anbefaler, at virksomheder forbereder registreringspligten i god tid. Der skal iværksættes en række overvejelser internt, som kan tage tid at komme i mål med, og det kan være, at der gælder en registreringspligt i mere end ét EU-land.

[Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) af den 29. marts 2025]