NIS2-direktivet (NIS2) er et EU-direktiv, der skal sikre et højere niveau af cybersikkerhed i hele EU. NIS2 erstatter det tidligere cybersikkerhedsdirektiv (NIS1) og skal sikre mere ensartethed, harmonisering og robusthed på tværs af EU-medlemslandene. NIS2-direktivet stiller derfor skærpede krav til enheders cybersikkerhed, ligesom direktivet omfatter en større kreds af aktører i hvert medlemsland.

I transportsektoren går man fra at omfatte fire specifikke aktører under NIS1 (Københavns Lufthavne, Naviair, DSB og Banedanmark) til, at flere virksomheder i transportsektoren nu omfattes af NIS2-direktivet inden for fem delsektorer: luft, jernbane, vand, vejtransport og post- og kurertjenester (se mere her).

NIS2-direktivet har ikke direkte retsvirkning, men skal gennemføres i Danmark ved lov.

De største forskelle på NIS1 og NIS2 er følgende:

Anvendelsesområdet: I NIS1 skulle den kompetente myndighed udpege, hvilke aktører man anså som samfundskritiske. I NIS2 er der nedskrevet objektive kriterier for, hvornår man er omfattet af direktivet. Det er derfor ikke længere den kompetente myndighed, der skal udpege kritiske aktører – i stedet skal enhederne selv registrere sig, såfremt de falder under anvendelsesområdet.

Ensartede krav: NIS1-direktivet blev implementeret på en måde, hvor hver medlemsstat skulle udmønte de konkrete krav for, hvordan omfattede enheder efterlevede NIS1. NIS2-direktivet skaber mere harmonisering i EU og på tværs af sektorer, da kravene er mere konkrete.

Harmonisering, ensartethed og robusthed: NIS1 direktivet blev implementeret forskelligt i hver medlemsstat, både hvad angår kravene og hvilke aktører, der blev omfattet. De objektive kriterier for anvendelsesområdet i NIS2 og de mere konkrete krav for efterlevelse skaber større ensartethed og harmonisering på tværs af medlemslande, ligesom det er forventningen, at NIS2 vil skabe mere robusthed hvad angår cybersikkerheden i hele EU. 

Man skal som udgangspunkt efterleve reglerne, hvis man som virksomhed omfattes af de retsakter, der er oplistet i direktivets bilag 1 og 2, og man samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på over 10 mio. EUR.

Helt overordnet omfatter NIS2 aktører inden for 17 forskellige sektorer, som er delt op i kategorierne ”særligt kritiske sektorer” i bilag 1 og ”andre kritiske sektorer” i bilag 2. Falder man som aktør under bilag 1, kan man både omfattes af direktivet som en væsentlig eller vigtig enhed, hvor man kun kan omfattes som en vigtig aktør, hvis man omfattes af bilag 2. Læs mere om forskellen på væsentlige og vigtige enheder her.

Direktivet åbner desuden op for, at man kan være omfattet af direktivet, hvis man for eksempel udpeges som kritisk infrastruktur af Trafikstyrelsen i regi af CER-direktivet. CER-direktivet gennemføres i Danmark ved en separat lov. Man kan læse om anvendelsesområdet i direktivets artikel 2.

Ministeriet for Samfundssikkerhed og Beredskab har den 6. februar 2025 fremsat et lovforslag om cybersikkerhed med ikrafttræden 1. juli 2025.

Reglerne skelner mellem væsentlige og vigtige enheder. Enhederne skal grundlæggende efterleve de samme krav, men væsentlige enheder pålægges et løbende tilsyn, ligesom sanktioner af væsentlige enheder er stærkere.

Virksomheden med 250 ansatte eller derover, eller som omsætter over 50 mio. EUR årligt eller har en balance på over 43 mio. EUR, anses for væsentlige enheder, hvis de er omfattet af bilag 1 (transportvirksomheder inden for luftfart, jernbane, vand eller vejtransport).

Virksomheder, som ikke opfylder kriterierne for at være væsentlige enheder, anses som vigtige enheder. Dette gælder virksomheder, som er defineret i bilag 2 (post- og kurertjenester) uanset deres størrelse.

Direktivet lægger op til, at enheder, som ikke falder under direktivets minimumskrav, for at være omfattet, alligevel kan omfattes af direktivet. Det gælder, hvis en enhed er eneudbyder af en væsentlig tjeneste, eller hvis den tjeneste, som enheden leverer, er kritisk for eksempelvis at opretholde samfundsmæssige eller økonomiske aktiviteter.

Desuden kan man blive omfattet af reglerne, hvis man som virksomhed af Trafikstyrelsen udpeges i som kritisk for samfundet medfør af en anden lov, som gennemfører CER-direktivet. CER er søsterdirektivet til NIS2 og omhandler kritiske enheders modstandsdygtighed.

Omfattes man af reglerne på en af ovenstående måder, anses man som en væsentlig enhed, uanset hvor stor virksomheden er.

På luftområdet omfattes enheder, som er defineret som luftfartsselskaber i artikel 3, nr. 4) i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål, lufthavnsdriftsorganer som defineret i artikel 2, nr. 2) i direktiv (EF) nr. 2009/12 og lufthavne defineret i artikel 2, nr. 1) i samme direktiv samt trafikledelses- og kontroloperatør som defineret i artikel 2, nr. 1) i forordning (EF) nr. 549/2004.

Det vil sige, at hvis der for eksempel er tale om et luftfartsselskab med en gyldig licens eller tilsvarende attest, som anvendes til kommercielle formål og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil selskabet skulle efterleve reglerne.

Hvis en aktør ligeledes er et lufthavnsdriftsorgan, som – eventuelt i tilknytning til andre aktiviteter, i henhold til nationale love, bestemmelser eller kontrakter – har fået til opgave at administrere og forvalte lufthavnsinfrastrukturen eller lufthavnsnetinfrastrukturen og at koordinere og kontrollere de aktiviteter, der udføres af de forskellige virksomheder, der opererer i de pågældende lufthavne eller lufthavnsnet og samtidig har mindst 50 ansatte eller en årlig omsætning eller samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

Hvis en aktør er en lufthavn, som er et område, der er specielt indrettet til landing, start og manøvrering af luftfartøjer, herunder også eventuelle tilknyttede anlæg, der er nødvendige af hensyn til flytrafikken og service af luftfartøjer, bl.a. nødvendige anlæg til betjening af den erhvervsmæssige lufttrafik og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

Hvis en aktør for eksempel er en trafikledelses- og kontroloperatør, der udøver flyvekontroltjenester, og som dermed har til opgave at a) forebygge sammenstød mellem luftfartøjer og mellem luftfartøjer og hindringer på manøvreområdet og b) fremme og opretholde en velordnet regulering af lufttrafikken og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

På jernbaneområdet omfattes infrastrukturforvaltere som defineret i direktiv (EU) nr. 2012/34, artikel 3, nr. 2), jernbanevirksomheder defineret i samme direktivs artikel 3, nr. 1) og operatører af servicefaciliteter som defineret i direktivets artikel 3, nr. 12).

Det vil sige, at hvis en aktør for eksempel er en infrastrukturforvalter og dermed er ansvarlig for anlæg, forvaltning og vedligeholdelse af jernbaneinfrastruktur, herunder trafikstyring, togkontrol og signaler og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

Hvis en aktør er en jernbanevirksomhed med licens i henhold til direktiv (EU) nr. 2012/34, hvis hovedaktivitet består i godstransport og/eller passagertransport med jernbane, og som er forpligtet til at sørge for trækkraften (udtrykket omfatter også virksomheder, der kun leverer trækkraft) og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

Hvis en aktør er en operatør af servicefaciliteter, der er ansvarlig for forvaltningen af en eller flere servicefaciliteter eller for leveringen af en eller flere af de ydelser til jernbanevirksomheder, der er omhandlet i direktivets bilag II, punkt 2-4 og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve NIS2.

På vandområdet omfattes, på trafikstyrelsens område, driftsorganer i havne som defineret i artikel 3, nr. 1) i direktiv (EF) nr. 2005/65, herunder havnefaciliteter som defineret i artikel 2, nr. 11 i forordning (EF) nr. 725/2004.

Det vil sige, at hvis en aktør er en havn, defineret som ethvert specifikt land- og vandområde, som de pågældende medlemsstater har afgrænset, bestående af anlæg og udstyr, som tjener til at lette kommerciel søtransport og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

Hvis en aktør er en havnefacilitet, hvor grænsefladen mellem skib og havn forekommer, hvilket fx omfatter efter omstændighederne områder som ankerpladser, ventepladser og ankomstfaciliteter fra søsiden, og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

På vejområdet omfattes vejmyndigheder som defineret i artikel 2, nr. 12) i Kommissionens delegerede forordning (EU) nr. 2015/962, der er ansvarlig for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer ikke er en væsentlig del af deres generelle aktivitet og operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1) i direktiv nr. (EU) 2010/40.

Det vil sige, at hvis en aktør er vejmyndighed defineret som en offentlig myndighed med ansvar for planlægning, kontrol eller forvaltning af veje, der henhører under dennes territoriale kompetence og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne. Dette er dog med undtagelse af de offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikke væsentlig del af deres generelle aktivitet.

Hvis en aktør er operatør af intelligente transportsystemer (ITS) og dermed anvender informations- og kommunikationsteknologi i forbindelse med vejtransport, herunder infrastruktur, køretøjer og brugere, og i forbindelse med trafikstyring og mobilitetsstyring samt for grænsefladerne til andre transportformer og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

På post- og kurerområdet omfattes postbefordrende virksomheder som defineret i artikel 2, nr. 1a) i direktiv nr. (EF) 97/67, herunder udbydere af kurertjenester.

Det vil sige, at hvis en aktør er en postbefordrende virksomhed, forstået som en posttjeneste der indsamler, sorterer, transporterer og omdeler postforsendelser eller er en udbyder af kurertjenester og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på minimum 10 mio. EUR, så vil aktøren skulle efterleve reglerne.

Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret for implementeringen i Danmark og har fremsat et lovforslag.

Direktivet minimumimplementeres i dansk lov, hvilket betyder, at den danske implementering så vidt muligt ikke går videre end direktivets bestemmelser.

Der skal efter lovforslaget udarbejdes en eller flere bekendtgørelser. Disse vil blive sendt i offentlig høring.

Desuden vil myndighederne udarbejde vejledningsmateriale, som udkommer i forlængelse af bekendtgørelsen. Trafikstyrelsen vil løbende melde ud, når der sker en væsentlig udvikling.

Dette afsnit opdateres løbende i takt med, at Trafikstyrelsen bliver bekendt med konkrete datoer.

Trafikstyrelsen er opmærksom på, at samme enhed kan være omfattet af tilsyn fra flere myndigheder. Trafikstyrelsen er i dialog med de andre sektormyndigheder om problemstillingen.

Trafikstyrelsen er opmærksom på, at der er enheder, som potentielt set rammes af direktivet i flere forskellige landes tilsyn. Som udgangspunkt er det virksomheder der er tildelt dansk CVR-nummer, som skal efterleve de danske regler.

Det er under afklaring. Der er forskel på væsentlige og vigtige enheder, når det kommer til tilsyn. Væsentlige enheder underlægges løbende tilsyn, mens vigtige enheder som udgangspunkt kun underlægges tilsyn, når der er konkret anledning til det – hvis der er indikationer på, at enheden ikke efterlever reglerne.

De konkrete rammer for tilsynet udmøntes nærmere i lov og bekendtgørelse.

Ja. Selvom man ikke omfattes direkte af reglerne, kan man blive påvirket gennem det, der kaldes ”krav om forsyningskædesikkerhed”. Der stilles nemlig krav om, at omfattede virksomheder skal træffe passende og forholdsmæssige foranstaltninger for at styre deres forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.

Det ligger endnu ikke fast, hvordan det skal udmøntes i praksis, men hvis man leverer ydelser til en kunde, som er omfattet af reglerne, kan man forvente at kunden vil stille relevante krav.

Reglerne stiller ikke i sig selv krav underleverandører til virksomheder, der er omfattet af reglerne. Hvis man leverer ydelser til en kunde, som er omfattet af reglerne, kan man forvente, at kunden vil stille relevante krav.

Myndighederne udpeger ikke hvem, som skal efterleve NIS2. I stedet skal virksomheder selv konstatere, hvorvidt de er omfattet af reglerne. Virksomhederne skal endvidere selv registrere sig som omfattede enheder til den kompetente myndighed, hvilket for transportvirksomheder betyder, at de skal registrere sig hos Trafikstyrelsen. Det vil i praksis skulle ske gennem en fælles løsning på virk.dk.

Fristen for registrering er efter lovforslaget 1. oktober 2025.

Hvis en virksomhed er omfattet af reglerne, men undlader at efterleve kravene, herunder at registrere sig, kan den kompetente myndighed meddele påbud.

De konkrete rammer for sanktioner fastlægges nærmere i loven og bekendtgørelsen. Direktivet fastlægger blandt andet, at sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Desuden skal sanktionerne følge forvaltningsrettens almindelige regler på området.

Registreringspligten betyder, at enheder, som falder under direktivets anvendelsesområde, selv er ansvarlige for – og har pligt til – at registrere sig hos den kompetente myndighed. For virksomheder på transportområdet betyder det, at de skal registrere sig hos Trafikstyrelsen. Det vil i praksis skulle ske gennem en fælles løsning på virk.dk.

Fristen for registrering er efter lovforslaget 1. oktober 2025.

Hvis virksomheden falder under direktivet, men ikke registrerer sig, kan den kompetente myndighed meddele enheden påbud, indtil enheden registrerer sig og efterlever direktivets krav. På transportområdet er det Trafikstyrelsen, der er den kompetente myndighed.

Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

Rammes man af en væsentlige hændelse, skal man underrette inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

• Uden unødigt ophold og inden for 24 timer: Indberetning af tidlig varsling, som angiver om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.
• Inden for 72 timer: Hændelsesunderretning, som ajourfører de oplysninger, der er blev givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.
• Efter anmodning fra CSIRT eller den kompetente myndighed: En foreløbig rapport om relevante statusopdateringer.
• Senest en måned efter hændelsen: En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.
• Pågår hændelsen fortsat en måned efter indberetningen, forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.

Direktivet fastlægger, at man skal underrette CSIRT (Computer Security Incident Response Team) eller den kompetente myndighed om enhver hændelse, der har væsentlig indvirkning på leveringen af enhedens tjenester, og som anses som en væsentlig hændelse.

En hændelse anses som værende væsentlig, når den har, eller er i stand til, at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed. Det samme gælder, hvis hændelsen har forårsaget, eller er i stand til at forårsage, betydelig materiel eller immateriel skade.

Rammes man af en væsentlige hændelse, skal man underrette inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

• Uden unødigt ophold og inden for 24 timer: Indberetning af tidlig varsling, som angiver om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.
• Inden for 72 timer: Hændelsesunderretning, som ajourfører de oplysninger, der er blev givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.
• Efter anmodning fra CSIRT eller den kompetente myndighed: En foreløbig rapport om relevante statusopdateringer.
• Senest en måned efter hændelsen: En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.
• Pågår hændelsen fortsat en måned efter indberetningen, forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.