NIS2-direktivet (NIS2) er et EU-direktiv, der skal sikre et højere niveau af cybersikkerhed i hele EU. NIS2 erstatter det tidligere cybersikkerhedsdirektiv (NIS1) og skal sikre mere ensartethed, harmonisering og robusthed på tværs af EU-medlemslandene. NIS2-direktivet stiller derfor skærpede krav til enheders cybersikkerhed, ligesom direktivet omfatter en større kreds af aktører i hvert medlemsland.

I transportsektoren går man fra at omfatte fire specifikke aktører under NIS1 ( Københavns Lufthavne, Naviair, DSB og Banedanmark) til, at flere virksomheder i transportsektoren nu omfattes af NIS2-direktivet inden for fem delsektorer: luft, jernbane, vand, vejtransport og post- og kurertjenester (se mere her).

De største forskelle på NIS1 og NIS2 er følgende:

Anvendelsesområdet: I NIS1 skulle den kompetente myndighed udpege, hvilke aktører man anså som samfundskritiske. I NIS2 er der nedskrevet objektive kriterier for, hvornår man er omfattet af direktivet. Det er derfor ikke længere den kompetente myndighed, der skal udpege kritiske aktører – i stedet skal enhederne selv registrere sig, såfremt de falder under anvendelsesområdet .

Ensartede krav: NIS1-direktivet blev implementeret på en måde, hvor hver medlemsstat skulle udmønte de konkrete krav for, hvordan omfattede enheder efterlevede NIS1. NIS2-direktivet skaber mere harmonisering i EU og på tværs af sektorer, da kravene er mere konkrete.

Harmonisering, ensartethed og robusthed: NIS1 direktivet blev implementeret forskelligt i hver medlemsstat, både hvad angår kravene og hvilke aktører, der blev omfattet. De objektive kriterier for anvendelsesområdet i NIS2 og de mere konkrete krav for efterlevelse skaber større ensartethed og harmonisering på tværs af medlemslande, ligesom det er forventningen, at NIS2 vil skabe mere robusthed hvad angår cybersikkerheden i hele EU. 

Man skal som udgangspunkt efterleve NIS2, hvis man som virksomhed omfattes af de retsakter, der er oplistet i direktivets bilag 1 og 2, og man samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på  over10 mio. EUR.

Helt overordnet omfatter NIS2 aktører inden for 17 forskellige sektorer, som er delt op i kategorierne ”særligt kritiske sektorer” i bilag 1 og ”andre kritiske sektorer” i bilag 2. Falder man som aktør under bilag 1, kan man både omfattes af direktivet som en væsentlig eller vigtig enhed, hvor man kun kan omfattes som en vigtig aktør, hvis man omfattes af bilag 2. Læs mere om forskellen på væsentlige og vigtige enheder her.

Direktivet åbner desuden op for, at man kan være omfattet af direktivet, hvis man for eksempel udpeges som kritisk infrastruktur af Trafikstyrelsen i regi af CER-direktivet. De nærmere detaljer herom fastlægges i bekendtgørelsen. Man kan læse om anvendelsesområdet i direktivets artikel 2.

Direktivet fastsætter, at NIS2 skal være implementeret i medlemslandene den 17. oktober 2024, men en forsinkelse i arbejdet med lovgivningen betyder, at den danske implementering er udskudt til 2025. 

Ministeriet for Samfundssikkerhed og Beredskab har oktober 2024 oplyst, at et lovforslag om cybersikkerhed forventes at træde i kraft i Danmark 1. juli 2025.

Direktivet skelner mellem væsentlige og vigtige enheder. Enhederne skal grundlæggende efterleve de samme krav, men væsentlige enheder pålægges et løbende tilsyn, ligesom sanktioner af væsentlige enheder er stærkere.

Virksomheden med 250 ansatte eller derover, eller som omsætter over 50 mio. EUR årligt eller har en balance på over 43 mio. EUR, anses for væsentlige enheder, hvis de er omfattet af bilag 1 (transportvirksomheder inden for luftfart, jernbane, vand eller vejtransport).

Virksomheder, som ikke opfylder kriterierne for at være væsentlige enheder, anses som vigtige enheder. Dette gælder virksomheder, som er defineret i bilag 2 (post- og kurertjenester) uanset deres størrelse.

Direktivet ligger op til, at enheder, som ikke falder under direktivets minimumskrav for at være omfattet, alligevel kan omfattes af direktivet. Det gælder, hvis en enhed er eneudbyder af en væsentlig tjeneste, eller hvis den tjeneste, som enheden leverer, er kritisk for eksempelvis at opretholde samfundsmæssige eller økonomiske aktiviteter.

Desuden kan man blive omfattet af NIS2, hvis man som virksomhed udpeges i regi af CER-direktivet. CER er søsterdirektivet til NIS2 og omhandler kritiske enheders modstandsdygtighed. I modsætning til NIS2 omfattes man af CER på transportområdet, hvis Trafikstyrelsen udpeger aktøren som værende kritisk for samfundet.

Omfattes man af NIS2 på en af ovenstående måder, anses man som en væsentlig enhed, uanset hvor stor virksomheden er.

På luftområdet omfattes enheder, som er defineret som luftfartsselskaber i artikel 3, nr. 4) i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål, lufthavnsdriftsorganer som defineret i artikel 2, nr. 2) i direktiv (EF) nr. 2009/12 og lufthavne defineret i artikel 2, nr. 1) i samme direktiv samt trafikledelses- og kontroloperatør som defineret i artikel 2, nr. 1) i forordning (EF) nr. 549/2004.

Det vil sige, at hvis der for eksempel er tale om et luftfartsselskab med en gyldig licens eller tilsvarende attest, som anvendes til kommercielle formål og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil selskabet skulle efterleve NIS2.

Hvis en aktør ligeledes er et lufthavnsdriftsorgan, som – eventuelt i tilknytning til andre aktiviteter, i henhold til nationale love, bestemmelser eller kontrakter – har fået til opgave at administrere og forvalte lufthavnsinfrastrukturen eller lufthavnsnetinfrastrukturen og at koordinere og kontrollere de aktiviteter, der udføres af de forskellige virksomheder, der opererer i de pågældende lufthavne eller lufthavnsnet og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

Hvis en aktør er en lufthavn, som er et område, der er specielt indrettet til landing, start og manøvrering af luftfartøjer, herunder også eventuelle tilknyttede anlæg, der er nødvendige af hensyn til flytrafikken og service af luftfartøjer, bl.a. nødvendige anlæg til betjening af den erhvervsmæssige lufttrafik og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

Hvis en aktør for eksempel er en trafikledelses- og kontroloperatør, der udøver flyvekontroltjenester, og som dermed har til opgave at a) forebygge sammenstød mellem luftfartøjer og mellem luftfartøjer og hindringer på manøvreområdet og b) fremme og opretholde en velordnet regulering af lufttrafikken og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

På jernbaneområdet omfattes infrastrukturforvaltere som defineret i direktiv (EU) nr. 2012/34, artikel 3, nr. 2), jernbanevirksomheder defineret i samme direktivs artikel 3, nr. 1) og operatører af servicefaciliteter som defineret i direktivets artikel 3, nr. 12).

Det vil sige, at hvis en aktør for eksempel er en infrastrukturforvalter og dermed er ansvarlig for anlæg, forvaltning og vedligeholdelse af jernbaneinfrastruktur, herunder trafikstyring, togkontrol og signaler og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

Hvis en aktør er en jernbanevirksomhed med licens i henhold til direktiv (EU) nr. 2012/34, hvis hovedaktivitet består i godstransport og/eller passagertransport med jernbane, og som er forpligtet til at sørge for trækkraften (udtrykket omfatter også virksomheder, der kun leverer trækkraft) og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

Hvis en aktør er en operatør af servicefaciliteter, der er ansvarlig for forvaltningen af en eller flere servicefaciliteter eller for leveringen af en eller flere af de ydelser til jernbanevirksomheder, der er omhandlet i direktivets bilag II, punkt 2-4 og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

På vandområdet omfattes, på trafikstyrelsens område, driftsorganer i havne som defineret i artikel 3, nr. 1) i direktiv (EF) nr. 2005/65, herunder havnefaciliteter som defineret i artikel 2, nr. 11 i forordning (EF) nr. 725/2004.

Det vil sige, at hvis en aktør er en havn, defineret som ethvert specifikt land- og vandområde, som de pågældende medlemsstater har afgrænset, bestående af anlæg og udstyr, som tjener til at lette kommerciel søtransport og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

Hvis en aktør er en havnefacilitet, hvor grænsefladen mellem skib og havn forekommer, hvilket fx omfatter efter omstændighederne områder som ankerpladser, ventepladser og ankomstfaciliteter fra søsiden, og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

På vejområdet omfattes vejmyndigheder som defineret i artikel 2, nr. 12) i Kommissionens delegerede forordning (EU) nr. 2015/962, der er ansvarlig for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer ikke er en væsentlig del af deres generelle aktivitet og operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1) i direktiv nr. (EU) 2010/40.

Det vil sige, at hvis en aktør er vejmyndighed defineret som en offentlig myndighed med ansvar for planlægning, kontrol eller forvaltning af veje, der henhører under dennes territoriale kompetence og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2. Dette er dog med undtagelse af de offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikkevæsentlig del af deres generelle aktivitet.

Hvis en aktør er operatør af intelligente transportsystemer (ITS) og dermed anvender informations- og kommunikationsteknologi i forbindelse med vejtransport, herunder infrastruktur, køretøjer og brugere, og i forbindelse med trafikstyring og mobilitetsstyring samt for grænsefladerne til andre transportformer og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

På post- og kurerområdet omfattes postbefordrende virksomheder som defineret i artikel 2, nr. 1a) i direktiv nr. (EF) 97/67, herunder udbydere af kurertjenester.

Det vil sige, at hvis en aktør er en postbefordrende virksomhed, forstået som en posttjeneste der indsamler, sorterer, transporterer og omdeler postforsendelser eller er en udbyder af kurertjenester og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret for implementeringen i Danmark.

Udkastet til lovforslag (link: https://hoeringsportalen.dk/Hearing/Details/68921) bemyndiger de enkelte ressortområder til at fastsætte de konkrete krav for hver sektor i bekendtgørelser. For at sikre ensartethed og harmonisering på tværs af myndigheder, udarbejdes bekendtgørelserne i samarbejde med Center for Cybersikkerhed (CFCS).

Direktivet minimumimplementeres i dansk lov, hvilket betyder, at den danske implementering så vidt muligt ikke går videre end direktivets bestemmelser.

Der skal efter lovforslaget udarbejdes sektorspecifikke bekendtgørelser. Disse vil blive sendt i offentlig høring.

Trafikstyrelsen vil løbende melde ud, når der sker en væsentlig udvikling. Desuden vil Trafikstyrelsen udarbejde vejledningsmateriale, som udkommer i forlængelse af bekendtgørelsen.

Dette afsnit opdateres løbende i takt med, at Trafikstyrelsen bliver bekendt med konkrete datoer.

Trafikstyrelsen er opmærksom på, at samme enhed kan være omfattet af flere sektorers tilsyn med NIS2. Trafikstyrelsen er i dialog med andre sektormyndigheder om problemstillingen.

Trafikstyrelsen er opmærksom på, at der er enheder, som potentielt set rammes af direktivet i flere forskellige landes tilsyn med NIS2. Trafikstyrelsen er i dialog med andre sektormyndigheder i forhold til problemstillingen.

Det er endnu ikke aftalt. Dog ligger det fast, at der er forskel på væsentlige og vigtige enheder, når det kommer til tilsyn. Væsentlige enheder underlægges løbende tilsyn, mens vigtige enheder som udgangspunkt kun underlægges tilsyn, når der er konkret anledning til det – f.eks. i tilfælde af en hændelse, eller hvis der er indikationer på, at enheden ikke efterlever kravene fra NIS2.

De konkrete rammer for tilsynet udmøntes nærmere i lov og bekendtgørelse.

Ja. Selvom man ikke omfattes direkte af direktivet, kan man blive påvirket af direktivet gennem det, der kaldes ”krav om forsyningskædesikkerhed”. Direktivet stiller nemlig krav til, at omfattede enheder stiller skærpede krav til deres egne leverandørers cybersikkerhed.

Det ligger endnu ikke fast, hvordan det skal udmøntes i praksis, men hvis man leverer ydelser til en aktør, som er underlagt NIS2, kan man selv forvente at skulle overholde skærpede krav.

Direktivet stiller ikke i sig selv krav til enheder, der er underleverandører til NIS2-aktører. Direktivet stiller dog krav om, at omfattede aktører har fokus på, om underleverandører sørger for god cybersikkerhed.

De konkrete krav til NIS2-aktørers leverandørstyring vil fremgå af bekendtgørelsen.

Myndighederne har ikke en aktiv rolle i at udpege aktører, som skal efterleve NIS2. I stedet skal virksomheder selv konstatere, hvorvidt de hører under eller ej. Virksomhederne skal endvidere selv registrere sig som omfattede enheder til den kompetente myndighed, hvilket for transportvirksomheder betyder, at de skal registrere sig hos Trafikstyrelsen. 

De konkrete rammer og terminer for registrering vil fremgå af loven og bekendtgørelsen.

Hvis man er omfattet af NIS2-direktivet, men undlader at efterleve kravene, herunder at registrere sig, kan den kompetente myndighed indføre sanktioner, indtil man efterlever NIS2.

De konkrete rammer for sanktioner fastlægges nærmere i loven og bekendtgørelsen. Direktivet fastlægger blandt andet, at sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Desuden skal sanktionerne følge forvaltningsrettens almindelige regler på området.

Registreringspligten betyder, at enheder, som falder under direktivets anvendelsesområde, selv er ansvarlige for – og har pligt til – at registrere sig hos den kompetente myndighed. For virksomheder på transportområdet betyder det, at de skal registrere sig hos Trafikstyrelsen.

Rammerne for enheders registrering vil fremgå af lov og bekendtgørelsen.

Hvis man falder under direktivet, men ikke registrerer sig, kan den kompetente myndighed potentielt set pålægge enheden en række bøder og sanktioner, indtil enheden registrerer sig og efterlever direktivets krav. På transportområdet er det Trafikstyrelsen, der er den kompetente myndighed.

De konkrete rammer for bøder og sanktioner vil fremgå af lov og bekendtgørelsen.

Direktivet fastlægger, at man skal underrette CSIRT (Computer Security Incident Response Team) eller den kompetente myndighed om enhver hændelse, der har væsentlig indvirkning på leveringen af enhedens tjenester, og som anses som en væsentlig hændelse.

En hændelse anses for væsentlig, når den har forårsaget, eller er i stand til, at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed. Det samme gælder, hvis hændelsen har forårsaget, eller er i stand til at forårsage, betydelig materiel eller immateriel skade.

Rammes man af en væsentlige hændelse, skal man underrette inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

• Inden for 24 timer: Indberetning af tidlig varsling, som angiver om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.
• Inden for 72 timer: Hændelsesunderretning, som ajourfører de oplysninger, der er blev givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.
• Efter anmodning fra CSIRT eller den kompetente myndighed: En foreløbig rapport om relevante statusopdateringer.
• Senest en måned efter hændelsen: En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.
• Foregår hændelsen fortsat en måned efter indberetningen, forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.

De konkrete rammer for hændelsesrapportering udmøntes nærmere i lov og bekendtgørelse.

Direktivet fastlægger, at man skal underrette CSIRT (Computer Security Incident Response Team) eller den kompetente myndighed om enhver hændelse, der har væsentlig indvirkning på leveringen af enhedens tjenester, og som anses som en væsentlig hændelse.

En hændelse anses som værende væsentlig, når den har, eller er i stand til, at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed. Det samme gælder, hvis hændelsen har forårsaget, eller er i stand til at forårsage, betydelig materiel eller immateriel skade.

Rammes man af en væsentlige hændelse, skal man underrette inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

• Inden for 24 timer: Indberetning af tidlig varsling, som angiver om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.
• Inden for 72 timer: Hændelsesunderretning, som ajourfører de oplysninger, der er blev givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.
• Efter anmodning fra CSIRT eller den kompetente myndighed: En foreløbig rapport om relevante statusopdateringer.
• Senest en måned efter hændelsen: En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.
• Foregår hændelsen fortsat en måned efter indberetningen, forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.

De konkrete rammer for hændelsesrapportering udmøntes nærmere i lov og bekendtgørelse.