Facebook LinkedIn Twitter Hvis du deler indholdet, vil udbyderen af servicen sætte en eller flere cookies på din computer.

Net- og informationssikkerhed (NIS-loven)

Formålet med NIS-loven er at sikre et højt niveau for net- og informationssikkerhed, bl.a. inden for dele af den digitale infrastruktur og for visse digitale tjenester med henblik på at skabe endnu mere robuste systemer.

Formålet med NIS-loven

Lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester (NIS-loven) indeholder krav til operatører af væsentlige tjenester inden for dele af den digitale infrastruktur (systemer for domæne- og topdomænenavne) og udbydere af visse digitale tjenester (onlinemarkedspladser, onlinesøgemaskiner og cloud computing-tjenester).

Formålet er, at sikkerheden i systemerne og tjenesterne tager højde for samfundets afhængighed af disse og afspejler det aktuelle trusselsbillede.

Loven stiller bl.a. krav om sikkerhedsforanstaltninger og krav om underretning om it-sikkerhedshændelser til myndighederne.

Hvem er omfattet af NIS-loven?

Operatører af væsentlige tjenester og udbydere af visse digitale tjenester er omfattet af NIS-loven.

Hvem er operatør af væsentlige tjenester?

For at være en operatør af væsentlige tjenester skal en virksomhed enten være en a) administrator af topdomænenavne eller en b) DNS-tjenesteudbyder:

a) En administrator af topdomænenavne anses for at være en operatør af væsentlige tjenester, hvis administratoren og dennes koncernforbundne selskaber har mere end 500.000 andenordens internetdomænenavne registreret under topdomænenavnet,

eller

b) en DNS-tjenesteudbyder anses for at være en operatør af væsentlige tjenester, hvis udbyderen og dennes koncernforbundne selskaber har:

  1. rekursive navneservere som mere end 100.000 brugere anvender, eller
  2. autoritative navneservere, som har mere end 100.000 andenordens internetdomænenavne tilsluttet.

Hvilke udbydere af digitale tjenester er omfattet?

Udbydere af digitale tjenester skal opfylde følgende 3 krav for at være omfattet af NIS-loven:

  1. Enheder, som udbyder onlinemarkedspladser, onlinesøgemaskiner eller cloud computing-tjenester.
  2. Enheder, som ikke er små virksomheder eller mikrovirksomheder, dvs. virksomheder med mindst 50 ansatte og en årlig omsætning eller en årlig balance over 10 mio. EUR.
  3. Enheden skal enten have hovedsæde i Danmark eller have en repræsentant i landet, hvis enheden ikke har hovedsæde i eller har udpeget en repræsentant i et andet EU-land.

Krav om sikkerhedsforanstaltninger

I loven er der krav om, at operatører og udbydere skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en vurdering af de konkrete risici. Det betyder, at operatører og udbydere, som er omfattet, skal gennemføre en risikoanalyse og identificere og vurdere alle væsentlige risici for driften af den væsentlige tjeneste. De nærmere krav fremgår af de to bekendtgørelser, som er udstedt i medfør af loven. Du finder bekendtgørelserne under afsnittet Hvilke data skal indberettes til myndighederne?

På baggrund af risikoanalysen skal operatørerne og udbyderne træffe passende sikkerhedsforanstaltninger for at forebygge og minimere konsekvensen af eventuelle hændelser, der berører sikkerheden i deres net- og informationssystemer.

Krav om underretning om it-sikkerhedshændelser til myndighederne

I loven er der krav om, at operatører og udbydere skal underrette myndighederne om hændelser, der har forstyrrende virkning på leveringen af de pågældende tjenester, og som hindrer gennemførelse af økonomiske aktiviteter, medfører finansielle tab og underminerer brugernes tillid og dermed skader samfundsøkonomien.

Hvilke data skal indberettes til myndighederne?

I tilfælde af, at en it-sikkerhedshændelse indtræffer, skal virksomheden hurtigst muligt indberette hændelsen på Virk Indberet.

Virksomheden skal bl.a. oplyse:

  • Om antallet af brugere, der er berørt af hændelsen.
  • Hændelsens årsag og varighed.
  • Hvor stort et geografisk område, der er berørt.
  • Om hændelsen berører andre EU-lande.
  • Hvilke foranstaltninger, der er truffet for at håndtere hændelsen.
  • Hvis virksomheden er udbyder af en digital tjeneste, skal omfanget af eventuelle konsekvenser for økonomiske og samfundsmæssige aktiviteter oplyses, såfremt virksomheden har oplysninger herom.
  • Hvis hændelsen skyldes en fejl hos en tredjepartsudbyder af digitale tjeneste, skal operatørerne også angive dette.
  • Virksomhedens kontaktoplysninger og oplysninger på en kontaktperson i virksomheden.

Du kan læse mere information om kravene til indberetning i bekendtgørelserne:

Hvor skal en virksomhed indberette om en it-sikkerhedshændelse?

Indberetning af en hændelse sker på den fælles indberetningsløsning på Virk Indberet. Indberetningen vil automatisk blive sendt parallelt til både Erhvervsstyrelsen og Center for Cybersikkerhed. 

Hvem fører tilsyn med operatører og udbydere?

Det er Erhvervsstyrelsen, der fører tilsyn med væsentlige operatører på området for domænenavne og over for udbydere af digitale tjenester, som er omfattet af lovforslaget.

Hvis reglerne ikke overholdes

Hvis operatører og udbydere ikke overholder reglerne, kan Erhvervsstyrelsen udstede påbud til virksomhederne om at overholde reglerne. Efterlever en operatør eller udbyder ikke et påbud, kan det medføre en bødestraf.