Er min virksomhed omfattet af NIS2-direktivet? Få svaret her
- februar 14, 2024
Et spørgsmål, vi ofte får fra vores kunder, er:
“Er min virksomhed omfattet af NIS2-direktivet?”
Vi forstår godt, hvorfor mange er i tvivl. For svaret ikke er ligetil.
Måske er du stødt på den generelle fortælling derude: NIS2-direktivet gælder for dig, hvis du enten er en essentiel eller vigtig enhed.
Desværre er det en myte.
For hvad der gælder for din specifikke virksomhed, afhænger af flere faktorer og undtagelser, som kan være svære at navigere i.
Vi sørger dog for at lede dig direkte til svaret ved at tage dig igennem:
Enheder, der er direkte omfattet
NIS2-direktivet omfatter enheder – på tværs af alle områder og sektorer og med aktiviteter i EU – som anses for at være vitale for økonomien og samfundet.
Af den grund bør du forberede dig på at overholde NIS2, hvis du opererer inden for eller leverer til disse områder eller sektorer.
Først og fremmest er du direkte berørt af NIS2, hvis din virksomhed – uanset størrelse – er inden for en af disse 10 kategorier:
- Offentlige kommunikationsnetværk og –tjenester
- Udbydere af tillidstjenester (en enhed, der f.eks. laver og validerer elektroniske signaturer)
- Domænenavne
- Den eneste udbyder af en væsentlig tjeneste (det gælder ofte enheder som vand- eller elselskaber)
- Offentlig sikkerhed eller folkesundhed
- Systemisk risiko (et eksempel på systemisk risiko er finanskrisen i 2008 og Lehman Brothers’ kollaps, der havde en dominoeffekt på resten af verden)
- Kritisk for sektor
- Centralforvaltningen
- Defineret som “kritisk” i Critical Entities Resilience-direktivet
- Kommuner, regioner eller uddannelsesinstitutioner (hvis det besluttes i det enkelte medlemsland)
Hvis din virksomhed ikke er inden for disse 10 kategorier, er det andre faktorer, der afgør, om du er omfattet af NIS2 – eller sagt mere specifikt: Om din virksomhed er defineret som enten en væsentlig eller vigtig enhed.
Det er tilfældet, hvis din virksomhed er inden for en af de sektorer, der er vist i denne illustration:
Bemærk, at der er juridiske nuancer, der afgør, hvornår en enhed er enten væsentlig eller vigtig i NIS2-direktivet. Vi dækker ikke disse nuancer hér, men ræk endelig ud til os, hvis du har brug for hjælp.
Desuden er du som hovedregel kun omfattet af NIS2-direktivet, hvis din virksomhed falder inden for begge disse kriterier:
- Du har 50 ansatte eller flere; og
- Du har en årlig omsætning eller en balance på 10 millioner euro.
Kort sagt:
Du skal være compliant med NIS2-direktivet, hvis din virksomhed opfylder alle ovenstående krav, dvs. i forhold til sektoren, minimum 50 ansatte og en årlig omsætning eller balance på 10 millioner euro.
Men…
Selvom du ikke er direkte omfattet af NIS2, kan du stadig være indirekte omfattet – og skal derfor overholde direktivet.
Enheder, der er direkte omfattet
Du kan være indirekte omfattet af direktivet, hvis 1) dine kunder er direkte omfattet, og 2) hvis du leverer et informations- eller netværkssystem til dem.
Lad os give dig et eksempel:
Din virksomhed leverer medicinsk udstyr til hospitaler.
Hvis din virksomhed bliver ramt af et cyberangreb, kan det påvirke hospitalets evne til at fungere.
For at beskytte sig mod den slags risici skal hospitalet sikre sig, at din cybersikkerhed er passende i forhold til de potentielle risici. Hospitalet kan sikre dette gennem en forpligtelse i kontrakten.
Alle de faktorer, vi lige har gennemgået med dig, gør dig klogere på, om du er omfattet af NIS2 – enten direkte eller indirekte – eller slet ikke.
Men hvis du stadig har svært ved at finde svaret, har vi lavet dette NIS2-beslutningstræ til dig – det vil give dig et skudsikkert svar.
NIS2-beslutningstræ
Vil du gerne have dit eget eksemplar af vores NIS2-beslutningstræ? Du er velkommen til at snuppe det her.
