NIS2-loven implementerer et EU-direktiv (NIS2-direktivet, (EU) 2022/2555), der skal sikre et højere niveau af cybersikkerhed i hele EU. Det erstatter det tidligere cybersikkerhedsdirektiv (NIS1) og skal sikre mere ensartethed, harmonisering og robusthed på tværs af EU-medlemslandene. NIS2-direktivet stiller derfor skærpede krav til enheders cybersikkerhed, ligesom direktivet omfatter en større kreds af aktører i hvert medlemsland.

Med NIS2 går transportsektoren går fra at omfatte fire specifikke aktører under NIS1 (Københavns Lufthavne, Naviair, DSB og Banedanmark) til, at flere virksomheder i transportsektoren nu omfattes af NIS2-loven inden for fem delsektorer: luft, jernbane, vand, vejtransport og post- og kurertjenester (se mere her).

En virksomhed er omfattet, hvis den er omfattet af de retsakter, der er opregnet i lovens bilag 1 eller 2 og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på over 10 mio. EUR.

Et værktøj til vurdering af, om en virksomhed er omfattet af NIS2-lovens regler findes her

NIS2-loven omfatter aktører inden for 18 forskellige sektorer, som er delt op i kategorierne ”særligt kritiske sektorer” i bilag 1 og ”andre kritiske sektorer” i bilag 2. Falder en virksomhed under bilag 1, kan den både omfattes af loven som en væsentlig eller vigtig enhed, hvorimod den kun omfattes som en vigtig enhed, hvis den omfattes af bilag 2. Læs mere om forskellen på væsentlige og vigtige enheder her.

En virksomhed er endvidere omfattet af loven, hvis den identificeres som kritisk enhed i medfør af lov om kritiske enheders modstandsdygtighed (CER-loven)

Loven skelner mellem væsentlige og vigtige enheder. Enhederne skal grundlæggende efterleve de samme krav, men væsentlige enheder pålægges et løbende tilsyn.

Virksomheder med 250 ansatte eller derover, eller som omsætter for over 50 mio. EUR årligt og har en årlig samlet balance på over 43 mio. EUR, anses for væsentlige enheder, hvis de er omfattet af bilag 1 (transportvirksomheder inden for luftfart, jernbane, vand eller vejtransport).

Virksomheder, som ikke opfylder kriterierne for at være væsentlige enheder, anses som vigtige enheder. Dette gælder virksomheder, som er defineret i bilag 2 (post- og kurertjenester) uanset deres størrelse.

Enheder, som falder under lovens minimumskrav, kan alligevel være omfattet af loven. Det gælder, hvis en enhed er eneudbyder af en væsentlig tjeneste, eller hvis den tjeneste, som enheden leverer, er kritisk for eksempelvis at opretholde samfundsmæssige eller økonomiske aktiviteter.

Desuden kan en virksomhed være omfattet af loven, hvis den af Trafikstyrelsen identificeres som kritisk enhed i medfør af lov om kritiske enheders modstandsdygtighed (CER-loven).

Omfattes en virksomhed af loven på en af ovenstående måder, anses den som en væsentlig enhed uanset størrelse.

På luftfartsområdet omfattes enheder, som er defineret som luftfartsselskaber i artikel 3, nr. 4) i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål, lufthavnsdriftsorganer som defineret i artikel 2, nr. 2) i direktiv (EF) nr. 2009/12 og lufthavne defineret i artikel 2, nr. 1) i samme direktiv, herunder de hovedlufthavne, der er anført i afsnit 2 i bilag II til forordning (EU) nr. 2024/1679*; og enheder med tilknyttede anlæg i lufthavne samt trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som defineret i artikel 2, nr. 1) i forordning (EF) nr. 549/2004, og såfremt de opfylder størrelseskravet.

Luftfartsselskaber med en gyldig licens eller tilsvarende attest, som anvendes til kommercielle formål.

Lufthavnsdriftsorganer, som – eventuelt i tilknytning til andre aktiviteter, i henhold til nationale love, bestemmelser eller kontrakter – har fået til opgave at administrere og forvalte lufthavnsinfrastrukturen eller lufthavnsnetinfrastrukturen og at koordinere og kontrollere de aktiviteter, der udføres af de forskellige virksomheder, der opererer i de pågældende lufthavne eller lufthavnsnet.

Lufthavne, som er områder, der er specielt indrettet til landing, start og manøvrering af luftfartøjer, herunder også eventuelle tilknyttede anlæg, der er nødvendige af hensyn til flytrafikken og service af luftfartøjer, bl.a. nødvendige anlæg til betjening af den erhvervsmæssige lufttrafik.

Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester, og som dermed har til opgave at a) forebygge sammenstød mellem luftfartøjer og mellem luftfartøjer og hindringer på manøvreområdet og b) fremme og opretholde en velordnet regulering af lufttrafikken.

*) Forordning (EU) 2024/1679 erstatter den ophævede forordning (EU) 1315/2013.

På jernbaneområdet omfattes infrastrukturforvaltere som defineret i direktiv (EU) nr. 2012/34, artikel 3, nr. 2), jernbanevirksomheder defineret i samme direktivs artikel 3, nr. 1) og operatører af servicefaciliteter som defineret i direktivets artikel 3, nr. 12), og såfremt de opfylder størrelseskravet 

Infrastrukturforvaltere, som dermed er ansvarlig for anlæg, forvaltning og vedligeholdelse af jernbaneinfrastruktur, herunder trafikstyring, togkontrol og signaler.

Jernbanevirksomheder med licens i henhold til direktiv (EU) nr. 2012/34, hvis hovedaktivitet består i godstransport og/eller passagertransport med jernbane, og som er forpligtet til at sørge for trækkraften (udtrykket omfatter også virksomheder, der kun leverer trækkraft).

Operatører af servicefaciliteter, der er ansvarlig for forvaltningen af en eller flere servicefaciliteter eller for leveringen af en eller flere af de ydelser til jernbanevirksomheder, der er omhandlet i direktivets bilag II, punkt 2-4.

På vandområdet omfattes, på Trafikstyrelsens område, driftsorganer i havne som defineret i artikel 3, nr. 1) i direktiv (EF) nr. 2005/65, herunder havnefaciliteter som defineret i artikel 2, nr. 11 i forordning (EF) nr. 725/2004, samt enheder, der opererer anlæg og udstyr i havne og såfremt de opfylder størrelseskravet.

Havne, defineret som ethvert specifikt land- og vandområde, som de pågældende medlemsstater har afgrænset, bestående af anlæg og udstyr, som tjener til at lette kommerciel søtransport.

Havnefaciliteter, hvor grænsefladen mellem skib og havn forekommer, hvilket fx omfatter efter omstændighederne områder som ankerpladser, ventepladser og ankomstfaciliteter fra søsiden.

På vejområdet omfattes vejmyndigheder som defineret i artikel 2, nr. 10) i Kommissionens delegerede forordning (EU) nr. 2022/670*, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer ikke er en væsentlig del af deres generelle aktivitet og operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1) i direktiv nr. (EU) 2010/40, og såfremt de opfylder størrelseskravet.

En vejmyndighed defineret som en offentlig myndighed med ansvar for planlægning, kontrol eller forvaltning af veje, der henhører under dennes territoriale kompetence med undtagelse af de offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikke væsentlig del af deres generelle aktivitet.

Operatører af intelligente transportsystemer (ITS), der dermed anvender informations- og kommunikationsteknologi i forbindelse med vejtransport, herunder infrastruktur, køretøjer og brugere, og i forbindelse med trafikstyring og mobilitetsstyring samt for grænsefladerne til andre transportformer.

*) Forordning (EU) 2022/670 erstatter den ophævede forordning (EU) 2015/962.

På post- og kurertjenesteområdet omfattes postbefordrende virksomheder som defineret i artikel 2, nr. 1a) i direktiv nr. (EF) 97/67, herunder udbydere af kurertjenester, og såfremt de opfylder størrelseskravet.

Postbefordrende virksomheder, forstået som udbydere af posttjenester, der indsamler, sorterer, transporterer og omdeler postforsendelser, og kurertjenester. I Danmark betragtes disse virksomheder som postbefordrende virksomheder.

Ministeriet for Samfundssikkerhed og Beredskab vil udarbejde vejledningsmateriale. De vil løbende blive publiceret på Styrelsen for Samfundssikkerheds hjemmeside.

Trafikstyrelsen arbejder med udgangspunkt i en tværministeriel koordination af NIS2-tilsynet i de enkelte sektorer på en model for tilsyn med transportsektoren. Modellen og en plan for prioritering af tilsynsarbejdet er afstemt med de øvrige myndigheder.

Trafikstyrelsen er opmærksom på, at samme enhed kan være omfattet af tilsyn fra flere myndigheder. Trafikstyrelsen er i dialog med de andre sektormyndigheder om, hvordan problemstillingen håndteres, så der er et minimum af administrative byrder for enheden i den forbindelse.

Trafikstyrelsen er opmærksom på, at der er enheder, som potentielt set rammes af direktivet i flere forskellige landes tilsyn. Som udgangspunkt er det virksomheder, der er tildelt dansk CVR-nummer, som skal efterleve de danske regler.

Der er forskel på væsentlige og vigtige enheder, når det kommer til tilsyn. Væsentlige enheder underlægges løbende tilsyn, mens vigtige enheder som udgangspunkt kun underlægges tilsyn, når der er konkret anledning til det, herunder hvis der er indikationer på, at enheden ikke efterlever reglerne.

Ja. Selvom en virksomhed ikke er omfattet af loven, kan den blive påvirket gennem det, der kaldes ”krav om forsyningskædesikkerhed” (§ 6, stk. 1, nr. 4). Der stilles nemlig krav om, at omfattede virksomheder skal træffe passende og forholdsmæssige foranstaltninger for at styre deres forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.

NIS2-loven stiller ikke i sig selv krav til underleverandører til virksomheder, der er omfattet af loven. Hvis en virksomhed leverer ydelser til en kunde, som er omfattet af loven, må den forvente, at kunden vil stille relevante krav.

Myndighederne udpeger ikke hvem, som skal efterleve NIS2. I stedet skal virksomheder selv konstatere, hvorvidt de er omfattet af NIS2-loven. Virksomhederne skal endvidere selv registrere sig som omfattede enheder til den kompetente myndighed, hvilket for transportvirksomheder betyder, at de skal registrere sig hos Trafikstyrelsen. Det vil i praksis skulle ske gennem en fælles løsning. Et link til registreringsløsningen vil blive publiceret, når løsningen sættes i drift.

Fristen for registrering er 1. oktober 2025.

Hvis en virksomhed er omfattet af NIS2-loven, men undlader at efterleve kravene, herunder undlader at registrere sig, kan den kompetente myndighed meddele påbud. Et påbud er en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler om bl.a. partshøring vil finde anvendelse. Loven indeholder også mulighed for sanktioner.

Registreringspligten betyder, at virksomheder, som falder under lovens anvendelsesområde, selv er ansvarlige for – og har pligt til – at registrere sig hos den kompetente myndighed. For virksomheder på transportområdet betyder det, at de skal registrere sig hos Trafikstyrelsen. Det vil i praksis skulle ske gennem en fælles løsning. Et link til registreringsløsningen vil blive publiceret, når løsningen sættes i drift.

Fristen for registrering er 1. oktober 2025.

Hvis virksomheden falder inden for lovens anvendelsesområde, men ikke registrerer sig, kan den kompetente myndighed meddele virksomheden påbud, indtil virksomheden registrerer sig og efterlever lovens krav. På transportområdet er Trafikstyrelsen den kompetente myndighed.

Det bemærkes, at der ved udstedelse af påbud vil være tale om forvaltningsretlige afgørelser, hvorfor forvaltningslovens regler om bl.a. partshøring vil finde anvendelse.

Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

Underretning om en væsentlig hændelse skal ske på virk.dk. Den nuværende underretningsløsning vil blive opdateret ved NIS2-lovens ikrafttræden. 

Rammes en virksomhed af en væsentlig hændelse, skal den underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

• Uden unødigt ophold og senest inden for 24 timer: Underretning af tidlig varsling, som angiver, om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.
• Inden for 72 timer: Hændelsesunderretning, som ajourfører de oplysninger, der er blevet givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.
• Efter anmodning fra CSIRT: En foreløbig rapport om relevante statusopdateringer.
• Senest en måned efter hændelsen: En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.
• Pågår hændelsen fortsat en måned efter underretningen, forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.