1. Er I omfattet? – 2. Processen – 3. Prisberegner
Der er mange måder, en organisation kan blive ramt af NIS2-kravene. Den første er, at organisationen består af en enhed i en af de sektorer, du kan se nedenfor. Derudover skal organisationen have en vis størrelse: Mindst 50 ansatte og over 10 mio. EUR i årlig samlet balance/årlig omsætning. Indgår organisationen i en koncern er udgangspunktet, at selskaberne skal ses samlet for så vidt angår tærsklerne. Endelig skal organisationen ind og læse nærmere på, hvordan hver enkelt sektor er defineret. Det er således ikke alle enheder i en bestemt sektor, som er omfattet af NIS2.
Derudover kan organisationen være NIS2-ramt, hvis organisationen leverer til en NIS2-ramt enhed. Mange af de krav, som de NIS2-omfattede enheder skal efterleve, havner således i realiteten hos NIS2- enhedernes IT-leverandører. NIS2 indeholder nemlig et krav om forsyningskædesikkerhed.
NIS2-direktivet indeholder derudover en række andre muligheder for at være direkte omfattet. Vi gennemgår de væsentligste, men ikke alle, nedenfor.
Uanset størrelse finder direktivet således også anvendelse på enheder i sektorerne, der er vist ovenfor:
1. hvor tjenester leveres af udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester,
2. hvor tjenester leveres af tillidstjenesteudbydere,
3. hvor tjenester leveres af topdomænenavneadministratorer og udbydere af domænenavnesystemer,
4. hvor enheden er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,
5. hvor en forstyrrelse af den tjeneste, enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden,
6. hvor en forstyrrelse af den tjeneste, enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning,
7. hvor enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten og endelig
8. hvor enheden er en offentlig forvaltningsenhed a) under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret eller b) på regionalt plan som defineret af en medlemsstat i overensstemmelse med national ret, som efter en risikobaseret vurdering leverer tjenester, hvis forstyrrelse vil kunne have væsentlig indvirkning på kritiske samfundsmæssige eller økonomiske aktiviteter.
Derudover gælder NIS2:
9. Hvis man leverer domænenavnsregistreringstjenester.
10. Hvis man er en offentlig forvaltningsenhed på lokalt plan (kommune) eller en uddannelsesinstitution, der navnlig udfører kritiske forskningsaktiviteter. Det kræver dog, at Danmark som led i implementeringen beslutter, at disse enhedstyper skal være omfattet. 11. NIS2 undtager aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger.
Du er nu klar til at læse mere om trin 2 – NIS2 implementeringsprocessen.
1. Er I omfattet? – 2. Processen – 3. Prisberegner
FORTSAT I TVIVL?