NIS2-loven implementerer NIS 2-direktivet, (EU) 2022/2555, der skal sikre et højere niveau af cybersikkerhed i hele EU. NIS 2-loven stiller krav til cybersikkerhed.

I transportsektoren omfatter af NIS2-loven virksomheder inden for fem delsektorer: luftfartsområdet, jernbaneområdet, havne og havnefaciliteter, vejmyndigheder og ITS-tjenesteudbud samt post- og kurertjenester (se mere her).

Ministeriet for Samfundssikkerhed og Beredskab har udarbejdet et vejledningsmateriale, som er publiceret på Styrelsen for Samfundssikkerheds hjemmeside.

En virksomhed er omfattet, hvis den er omfattet af de retsakter, der er opregnet i lovens bilag 1 eller 2 og samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på over 10 mio. EUR. Der er ikke på transportområdet fastsat nærmere regler om, at andre enheder skal omfattes jf. lovens § 4, stk. 4.

Et værktøj til vurdering af, om en virksomhed er omfattet af NIS2-lovens regler findes her.

Loven kræver, at omfattede virksomheder senest 1. oktober 2025 skal registrere sig.

Loven skelner mellem væsentlige og vigtige enheder. Enhederne skal grundlæggende efterleve de samme krav, men væsentlige enheder underlægges et løbende tilsyn.

Styrelsen for Samfundssikkerhed har udgivet en vejledning om lovens anvendelsesområde, som du finder her, og som nærmere beskriver forskellen.

På luftfartsområdet omfattes enheder, som er defineret som luftfartsselskaber i artikel 3, nr. 4) i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål, lufthavnsdriftsorganer som defineret i artikel 2, nr. 2) i direktiv (EF) nr. 2009/12 og lufthavne defineret i artikel 2, nr. 1) i samme direktiv, herunder de hovedlufthavne, der er anført i afsnit 2 i bilag II til forordning (EU) nr. 2024/1679*; og enheder med tilknyttede anlæg i lufthavne samt trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som defineret i artikel 2, nr. 1) i forordning (EF) nr. 549/2004, og såfremt de opfylder størrelseskravet.

Luftfartsselskaber med en gyldig licens eller tilsvarende attest, som anvendes til kommercielle formål.

Lufthavnsdriftsorganer, som – eventuelt i tilknytning til andre aktiviteter, i henhold til nationale love, bestemmelser eller kontrakter – har fået til opgave at administrere og forvalte lufthavnsinfrastrukturen eller lufthavnsnetinfrastrukturen og at koordinere og kontrollere de aktiviteter, der udføres af de forskellige virksomheder, der opererer i de pågældende lufthavne eller lufthavnsnet.

Lufthavne, som er områder, der er specielt indrettet til landing, start og manøvrering af luftfartøjer, herunder også eventuelle tilknyttede anlæg, der er nødvendige af hensyn til flytrafikken og service af luftfartøjer, bl.a. nødvendige anlæg til betjening af den erhvervsmæssige lufttrafik.

Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester, og som dermed har til opgave at a) forebygge sammenstød mellem luftfartøjer og mellem luftfartøjer og hindringer på manøvreområdet og b) fremme og opretholde en velordnet regulering af lufttrafikken.

*) Forordning (EU) 2024/1679 erstatter den ophævede forordning (EU) 1315/2013.

På jernbaneområdet omfattes infrastrukturforvaltere som defineret i direktiv (EU) nr. 2012/34, artikel 3, nr. 2), jernbanevirksomheder defineret i samme direktivs artikel 3, nr. 1) og operatører af servicefaciliteter som defineret i direktivets artikel 3, nr. 12), og såfremt de opfylder størrelseskravet 

Infrastrukturforvaltere, som dermed er ansvarlig for anlæg, forvaltning og vedligeholdelse af jernbaneinfrastruktur, herunder trafikstyring, togkontrol og signaler.

Jernbanevirksomheder med licens i henhold til markedsåbningsdirektivet, (EU) nr. 2012/34, hvis hovedaktivitet består i godstransport og/eller passagertransport med jernbane, og som er forpligtet til at sørge for trækkraften (udtrykket omfatter også virksomheder, der kun leverer trækkraft).

Operatører af servicefaciliteter, der er ansvarlig for forvaltningen af en eller flere servicefaciliteter eller for leveringen af en eller flere af de ydelser til jernbanevirksomheder, der er omhandlet i markedsåbningsdirektivets bilag II, punkt 2-4.

På havneområdet omfattes driftsorganer i havne som defineret i artikel 3, nr. 1) i direktiv (EF) nr. 2005/65, herunder havnefaciliteter som defineret i artikel 2, nr. 11 i forordning (EF) nr. 725/2004, samt enheder, der opererer anlæg og udstyr i havne og såfremt de opfylder størrelseskravet.

Havne, defineret som ethvert specifikt land- og vandområde, som de pågældende medlemsstater har afgrænset, bestående af anlæg og udstyr, som tjener til at lette kommerciel søtransport.

Havnefaciliteter, hvor grænsefladen mellem skib og havn forekommer, hvilket fx omfatter efter omstændighederne områder som ankerpladser, ventepladser og ankomstfaciliteter fra søsiden.

På vejområdet omfattes vejmyndigheder som defineret i artikel 2, nr. 10) i Kommissionens delegerede forordning (EU) nr. 2022/670*, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer ikke er en væsentlig del af deres generelle aktivitet og operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1) i direktiv nr. (EU) 2010/40, og såfremt de opfylder størrelseskravet.

En vejmyndighed defineret som en offentlig myndighed med ansvar for planlægning, kontrol eller forvaltning af veje, der henhører under dennes territoriale kompetence med undtagelse af de offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikke væsentlig del af deres generelle aktivitet.

Operatører af intelligente transportsystemer (ITS), der dermed anvender informations- og kommunikationsteknologi i forbindelse med vejtransport, herunder infrastruktur, køretøjer og brugere, og i forbindelse med trafikstyring og mobilitetsstyring samt for grænsefladerne til andre transportformer. Trafikstyrelsen er i gang med at udfærdige en liste over, hvilke typer enheder, som omfattes af en praktisk afgrænsning heraf i NIS 2-sammenhæng. Listen vil fremgå af denne side, når den foreligger.

Virksomheder, som leverer busdrift eller spedition, og som ikke samtidig er omfattet af nogen af de øvrige definitioner af lovens anvendelse , som fremgår af denne side, er ikke omfattet af NIS-loven på transportområdet. Særligt speditørvirksomheder bør dog afklare, hvorvidt de er omfattet af NIS 2 på andre myndighedsområder (fx hvis de transporterer fødevarer eller affald/spildevand).

*) Forordning (EU) 2022/670 erstatter den ophævede forordning (EU) 2015/962.

På post- og kurertjenesteområdet omfattes postbefordrende virksomheder som defineret i artikel 2, nr. 1a) i direktiv nr. (EF) 97/67, herunder udbydere af kurertjenester, og såfremt de opfylder størrelseskravet.

Postbefordrende virksomheder, forstået som udbydere af posttjenester, der indsamler, sorterer, transporterer og omdeler postforsendelser, og kurertjenester. I Danmark betragtes disse virksomheder som postbefordrende virksomheder.

NIS 2-loven omfatter en lang række sektorer og myndigheder. En oversigt over de sektoransvarlige myndigheder og deres ansvarsområder findes her.

Trafikstyrelsen arbejder med udgangspunkt i en tværministeriel koordination af NIS2-tilsynet i de enkelte sektorer på en model for tilsyn med transportsektoren. Modellen og en plan for prioritering af tilsynsarbejdet er afstemt med de øvrige myndigheder.

Trafikstyrelsen er opmærksom på, at samme enhed kan være omfattet af tilsyn fra flere myndigheder. Efter registreringsfristens udløb går sektormyndighederne i dialog om, hvordan problemstillingen håndteres, så der er et minimum af administrative byrder for enheden i den forbindelse.

Trafikstyrelsen er opmærksom på, at der er enheder, som potentielt set rammes af direktivet i flere forskellige landes tilsyn. Som udgangspunkt er det virksomheder, der er tildelt dansk CVR-nummer, som skal efterleve de danske regler.

Der er forskel på væsentlige og vigtige enheder, når det kommer til tilsyn. Væsentlige enheder underlægges løbende tilsyn, mens vigtige enheder som udgangspunkt kun underlægges tilsyn, når der er konkret anledning til det, herunder hvis der er indikationer på, at enheden ikke efterlever reglerne.

Ja. Selvom en virksomhed ikke er omfattet af loven, kan den blive påvirket gennem det, der kaldes ”krav om forsyningskædesikkerhed” (§ 6, stk. 1, nr. 4). Der stilles nemlig krav om, at omfattede virksomheder skal træffe passende og forholdsmæssige foranstaltninger for at styre deres forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.

NIS2-loven stiller ikke i sig selv krav til underleverandører til virksomheder, der er omfattet af loven. Hvis en virksomhed leverer ydelser til en kunde, som er omfattet af loven, må den forvente, at kunden vil stille relevante krav. For at undgå unødigt høje krav bør virksomheden anvende en risikobaseret tilgang, hvor kravene til den enkelte leverandør eller tjenesteudbyder er proportional med den specifikke leverances betydning for enhedens forsynings- og cybersikkerhed. Se mere i Styrelsen for Samfundssikkerhed vejledning om implementering af cybersikkerhedsforanstaltninger, som findes på Styrelsen for Samfundssikkerheds hjemmeside.

Myndighederne udpeger ikke hvem, som skal efterleve NIS 2-loven. I stedet skal virksomheder selv konstatere, hvorvidt de er omfattet af NIS 2-loven. Virksomhederne skal herefter selv registrere sig.

Hvis en virksomhed er omfattet af NIS 2-loven, men undlader at efterleve kravene, herunder undlader at registrere sig, kan den kompetente myndighed meddele påbud. Et påbud er en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler om bl.a. partshøring vil finde anvendelse. Loven indeholder også mulighed for sanktioner.

Registreringspligten betyder, at virksomheder, som falder under lovens anvendelsesområde, selv er ansvarlige for – og har pligt til – at registrere sig hos den kompetente myndighed.

Registrering skal ske på virk.dk.

Registreringerne skal sikre et overblik over de virksomheder, som er omfattet af loven. Man modtager en kvittering fra virk.dk, når man registrerer sig.

Fristen for registrering er 1. oktober 2025.

Hvis virksomheden falder inden for lovens anvendelsesområde, men ikke registrerer sig, kan den kompetente myndighed meddele virksomheden påbud, indtil virksomheden registrerer sig og efterlever lovens krav. Udstedelse af påbud er forvaltningsretlige afgørelser, hvorfor forvaltningslovens regler om bl.a. partshøring vil finde anvendelse.

Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

Underretning om en væsentlig hændelse skal ske på virk.dk. 

Læs mere i Styrelsen for Samfundssikkerheds vejledning om hændelsesunderretning, som findes her.