Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) Kapitel 1

Den konsoliderede version af denne lov er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 434 af 6. maj 2025

Kapitel 1 1 Anvendelsesområde, jurisdiktion, definitioner m.v.
§ 1

Loven finder anvendelse på offentlige og private enheder, der er omfattet af lovens bilag 1 og 2, jf. dog stk. 2-5 og 7.

Stk. 2 Loven finder ikke anvendelse på enheder, i det omfang de er omfattet af lov om styrket beredskab i energisektoren. Loven finder ikke anvendelse på enheder, i det omfang de er omfattet af lov om sikkerhed og beredskab i telesektoren, jf. dog § 1, stk. 2, i denne lov. Loven finder endvidere ikke anvendelse på enheder, der er udpeget i medfør af § 333, stk. 1, i lov om finansiel virksomhed.

Stk. 3 Loven finder ikke anvendelse på enheder, hvor sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som bestemmelserne i §§ 6, 12, 13 og 15.

Stk. 4 Loven finder ikke anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger.

Stk. 5 Vedkommende minister kan inden for sit område træffe afgørelse om at undtage specifikke enheder, såfremt enhederne udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører disse aktiviteter, fra forpligtelserne i §§ 6, 8, 12, 13, 15 og 16, for så vidt angår disse aktiviteter eller tjenester. Udfører enheder udelukkende aktiviteter eller leverer udelukkende tjenester af den type som omhandlet i 1. pkt., kan vedkommende minister endvidere træffe afgørelse om at fritage disse enheder for forpligtelserne i medfør af §§ 9 og 10, jf. dog stk. 6.

Stk. 6 Der kan ikke fastsættes regler efter stk. 5, hvor en enhed fungerer som tillidstjenesteudbyder.

Stk. 7 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte regler om, at loven helt eller delvis også finder anvendelse på henholdsvis offentlige forvaltningsenheder på lokalt plan og uddannelsesinstitutioner.

1
§ 2

Under dansk jurisdiktion hører enheder, der er omfattet af lovens anvendelsesområde, og som er etableret i Danmark, jf. dog stk. 2.

Stk. 2 DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder, der leverer domænenavnsregistreringstjenester, og udbydere af henholdsvis cloudcomputingtjenester, datacentertjenester, indholdsleveringsnetværk, administrerede tjenester, administrerede sikkerhedstjenester, onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester, der har deres hovedforretningssted i Danmark, jf. stk. 3, hører under dansk jurisdiktion.

Stk. 3 En enhed som nævnt i stk. 2 anses for at have sit hovedforretningssted i Den Europæiske Union i den medlemsstat, hvor beslutningerne vedrørende foranstaltningerne til styring af cybersikkerhedsrisici overvejende træffes. Kan en sådan medlemsstat ikke fastslås, eller hvis sådanne beslutninger ikke træffes i Den Europæiske Union, anses hovedforretningsstedet for at være i den medlemsstat, hvor der udføres cybersikkerhedsoperationer. Kan en sådan medlemsstat ikke fastslås, anses hovedforretningsstedet for at være i den medlemsstat, hvor den pågældende enheds forretningssted med det største antal ansatte i Den Europæiske Union er beliggende.

Stk. 4 Er en enhed som nævnt i stk. 2 ikke etableret i Den Europæiske Union, men udbyder tjenester inden for Unionen, herunder i Danmark, skal enheden udpege en repræsentant, der er etableret i en af de medlemsstater i Unionen, hvor enhedens tjenester udbydes. Er repræsentanten etableret i Danmark, hører enheden under dansk jurisdiktion. Er der ikke udpeget en repræsentant efter 1. pkt., anses enheden for at høre under jurisdiktionen i de medlemsstater, hvor tjenesterne udbydes.

1
§ 3

I denne lov forstås ved følgende:

  • 1) Centralt kontaktpunkt: Den myndighed, der udøver forbindelsesfunktionen for at sikre grænseoverskridende samarbejde mellem de danske myndigheder, myndigheder i andre medlemsstater i Den Europæiske Union og Den Europæiske Unions institutioner og for at sikre tværsektorielt samarbejde mellem de nationale kompetente myndigheder.

  • 2) Cloudcomputingtjeneste: En digital tjeneste, som muliggør on demand-administration og giver bred fjernadgang til en skalerbar og fleksibel pulje af delbare computerressourcer, herunder hvor disse ressourcer er fordelt mellem flere lokaliteter.

  • 3) Cybersikkerhed: De aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.

  • 4) Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.

  • 5) Datacentertjeneste: En tjeneste, der omfatter strukturer eller grupper af strukturer, som er beregnet til central opbevaring, sammenkobling og drift af it- og netværksudstyr, der leverer datalagrings-, databehandlings- og datatransporttjenester, samt alle faciliteter og infrastrukturer til energidistribution og miljøkontrol.

  • 6) Digital tjeneste: Enhver tjeneste i informationssamfundet, dvs. enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager.

  • 7) DNS-tjenesteudbyder: En enhed, der leverer

    • a) offentligt tilgængelige rekursive domænenavnsoversættelsestjenester til internetslutbrugere eller

    • b) autoritative domænenavnsoversættelsestjenester til tredjepartsbrug, med undtagelse af rodnavneservere.

  • 8) Domænenavnesystem (DNS): Et hierarkisk distribueret navngivningssystem, der gør det muligt at identificere internettjenester og -ressourcer, således at slutbrugerudstyr kan benytte internetrouting- og konnektivitetstjenester til at nå disse tjenester og ressourcer.

  • 9) Enhed: En fysisk eller juridisk person, der er oprettet og anerkendt som sådan i henhold til den nationale ret på det sted, hvor den er etableret, og som i eget navn kan udøve rettigheder og være underlagt forpligtelser.

  • 10) Enhed, der leverer domænenavnsregistreringstjenester: En registrator eller en agent, der handler på vegne af registratorer, såsom en udbyder eller videresælger af privatlivs- eller proxyregistreringstjenester.

  • 11) Forskningsorganisation: En enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål. Dette indbefatter ikke uddannelsesinstitutioner.

  • 12) Hændelse: En begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

  • 13) Håndtering af hændelser: Enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

  • 14) Ikt-proces: Aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et ikt-produkt eller en ikt-tjeneste.

  • 15) Ikt-produkt: Et element eller en gruppe af elementer i net- og informationssystemer.

  • 16) Ikt-tjeneste: En tjeneste, der helt eller hovedsagelig består af overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer.

  • 17) Indholdsleveringsnetværk: Et net af geografisk distribuerede servere med det formål at sikre høj tilgængelighed af, adgang til eller hurtig levering af digitalt indhold og digitale tjenester til internetbrugere på vegne af indholds- og tjenesteudbydere.

  • 18) Kvalificeret tillidstjeneste: En tillidstjeneste, der opfylder de krav, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF.

  • 19) Kvalificeret tillidstjenesteudbyder: En tillidstjenesteudbyder, der udbyder en eller flere kvalificerede tillidstjenester og har fået tildelt status som kvalificeret tillidstjenesteudbyder af tilsynsorganet i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF.

  • 20) Ledelsesorganet:

    • a) For virksomheder omfattet af selskabsloven er ledelsesorganet

    • i) bestyrelsen i selskaber, der har en direktion og en bestyrelse,

    • ii) direktionen i selskaber, der alene har en direktion, og

    • iii) direktionen i selskaber, der både har en direktion og et tilsynsråd.

    • b) For virksomheder omfattet af lov om visse erhvervsdrivende virksomheder er ledelsesorganet

    • i) bestyrelsen i selskaber, der har en direktion og en bestyrelse,

    • ii) direktionen i selskaber, der alene har en direktion, og

    • iii) for de selskaber, der hverken har en bestyrelse eller en direktion, det ledelsesorgan, der har en kompetence, der svarer til den almindelige opfattelse af den kompetence, der tilkommer en bestyrelse eller en direktion.

    • c) For offentlige myndigheder er ledelsesorganet den øverste administrative ledelse i myndigheden.

  • 21) Net- og informationssystem:

    • a) Et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres.

    • b) Enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.

    • c) Digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

  • 22) Nærvedhændelse: En begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke indtraf.

  • 23) Onlinemarkedsplads: En tjenesteydelse, der gør brug af software, herunder et websted, en del af et websted eller en applikation, der drives af eller på vegne af den erhvervsdrivende, og som giver forbrugere mulighed for at indgå fjernsalgsaftaler med andre erhvervsdrivende eller forbrugere.

  • 24) Onlinesøgemaskine: En digital tjeneste, som giver brugerne mulighed for at indtaste forespørgsler for at foretage søgninger på principielt alle websteder eller alle websteder på et bestemt sprog på grundlag af en forespørgsel om et hvilket som helst emne ved hjælp af et søgeord, en stemmesøgning, en sætning eller andet input, og som fremviser resultater i et hvilket som helst format, hvor der kan findes oplysninger om det ønskede indhold.

  • 25) Platform for sociale netværkstjenester: En platform, der sætter slutbrugere i stand til at komme i forbindelse med hinanden på tværs af forskellige anordninger, navnlig via chats, opslag, videoer og anbefalinger.

  • 26) Repræsentant: En fysisk eller juridisk person, der er etableret i Den Europæiske Union, som udtrykkeligt er udpeget til at handle på vegne af en DNS-tjenesteudbyder, en topdomænenavneadministrator, en enhed, der leverer domænenavnsregistreringstjenester, eller en udbyder af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner eller af platforme for sociale netværkstjenester, som ikke er etableret i Den Europæiske Union, og som kan kontaktes af en kompetent myndighed eller en Computer Incident Response Team (CSIRT) på enhedens sted, for så vidt angår denne enheds forpligtelser i henhold til NIS 2-direktivet.

  • 27) Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse, som kommer til udtryk som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

  • 28) Sikkerhed i net- og informationssystemer: Net- og informationssystemers evne til på et givent sikkerhedsniveau at modstå enhver begivenhed, der kan være til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

  • 29) Sårbarhed: En svaghed, modtagelighed eller fejl ved ikt-produkter eller -tjenester, som kan udnyttes af en cybertrussel.

  • 30) Tillidstjeneste: En elektronisk tjeneste, der normalt udføres mod betaling, og som består af

    • a) generering, kontrol og validering af elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler eller elektroniske registrerede leveringstjenester og certifikater relateret til tjenester,

    • b) generering, kontrol og validering af certifikater for webstedsautentifikation eller

    • c) bevaring af elektroniske signaturer, segl eller certifikater relateret til disse tjenester.

  • 31) Tillidstjenesteudbyder: En fysisk eller juridisk person, der udbyder en eller flere tillidstjenester, enten som en kvalificeret eller ikkekvalificeret tillidstjenesteudbyder.

  • 32) Topdomænenavneadministrator: En enhed, der har fået uddelegeret et specifikt topdomæne, og som er ansvarlig for at administrere topdomænet, herunder registrering af domænenavne under topdomænet og den tekniske drift af topdomænet, hvilket inkluderer driften af dets navneservere, vedligeholdelsen af dets databaser og distributionen af topdomænezonefiler til navneservere, uanset om nogen af disse operationer udføres af enheden selv eller outsources, men ikke situationer, hvor topdomænenavne kun anvendes af en administrator til eget brug.

  • 33) Udbyder af administrerede sikkerhedstjenester: En udbyder af administrerede tjenester, der udfører eller yder assistance til aktiviteter vedrørende styring af cybersikkerhedsrisici.

  • 34) Udbyder af administrerede tjenester: En enhed, der leverer tjenester i forbindelse med installation, administration, drift eller vedligeholdelse af ikt-produkter, -net, -infrastruktur, -applikationer eller andre net- og informationssystemer via assistance eller aktiv administration, der udføres enten i kundernes lokaler eller på afstand.

  • 35) Væsentlig cybertrussel: En cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester ved at forårsage betydelig fysisk eller ikkefysisk skade.

1
Væsentlige enheder
§ 4

Enheder af en type, som er omfattet af lovens bilag 1, anses for at være væsentlige enheder, hvis enheden opfylder en af følgende betingelser, jf. dog stk. 2 og 3:

  • 1) Enheden beskæftiger 250 personer eller derover.

  • 2) Enheden har en årlig omsætning på over 50 mio. euro og en årlig samlet balance på over 43 mio. euro.

Stk. 2 Kommuner og regioner anses som væsentlige enheder, såfremt de med et kommercielt formål udfører opgaver som udbydere af offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og opfylder mindst en af følgende betingelser:

  • 1) Enheden beskæftiger 50 personer eller derover.

  • 2) Enheden har en årlig omsætning på over 10 mio. euro og en årlig samlet balance på over 10 mio. euro.

Stk. 3 Uanset deres størrelse anses følgende enheder for at være væsentlige enheder:

  • 1) Kvalificerede tillidstjenesteudbydere og topdomæneadministratorer samt DNS-tjenesteudbydere.

  • 2) Offentlige forvaltningsenheder under den centrale forvaltning.

  • 3) Enheder, der er identificeret som kritiske enheder i henhold til CER-loven.

  • 4) Enheder, der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS I-direktivet), jf. dog § 5, stk. 2.

  • 5) Øvrige enheder af en type, som er omfattet af lovens bilag 1 eller 2, hvor mindst en af følgende betingelser er opfyldt, jf. dog § 5, stk. 2:

    • a) Enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.

    • b) En forstyrrelse af den tjeneste, som enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.

    • c) En forstyrrelse af den tjeneste, som enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.

    • d) Enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.

Stk. 4 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om, hvornår enheder er omfattet af stk. 3, nr. 5.

1
Vigtige enheder
§ 5

Enheder af en type, som er omfattet af lovens bilag 1 eller 2, anses for at være vigtige enheder, hvis enheden ikke opfylder kriterierne for at være væsentlige enheder i medfør af § 4 og enheden opfylder mindst en af følgende betingelser:

  • 1) Enheden beskæftiger 50 personer eller derover.

  • 2) Enheden har en årlig omsætning på over 10 mio. euro og en årlig samlet balance på over 10 mio. euro.

Stk. 2 Den kompetente myndighed kan træffe afgørelse om, at en enhed uanset størrelse, som er omfattet af § 4, stk. 3, nr. 4 eller 5, skal anses for at være en vigtig enhed.

Stk. 3 Uanset stk. 1, nr. 1 og 2, anses tillidstjenesteudbydere, der ikke opfylder kriterierne for at være væsentlige enheder, for at være vigtige enheder.

1