NIS 2 på uddannelses- og forskningsområdet samt rumområdet

Hvem er omfattet af NIS 2?

Tre kriterier afgør, om en enhed er omfattet af NIS 2:

1. Enheden hører til en af de omfattede sektorer
2. Enhedens størrelse kategoriseres som mellemstor eller stor.
3. Enheden er omfattet uanset størrelse eller særlig vigtig fra et samfundsperspektiv.

En enhed vil være omfattet af NIS 2, hvis den som minimum opfylder kriterie 1 og ét af kriterierne 2 og 3. 

Virksomheder kan få hjælp til at vurdere, hvorvidt de er omfattet af NIS 2-loven, med NIS 2-værktøjet udviklet af Styrelsen for Samfundssikkerhed. Se link nedenfor. 

Det bemærkes, at det er enhedens eget ansvar at sikre overholdelse af NIS2-loven – herunder at vurdere, om den er omfattet af loven, og at registrere sig korrekt. Følgende skal således alene ses som en hjælp til potentielle enheders egen vurdering af, om de er omfattet af NIS 2. Det bemærkes desuden, at enheder kan være omfattet af flere sektorer.

Kriterie 1 - omfattede sektorer

Du kan finde listen over omfattede sektorer og enhedstyper i NIS 2-lovens bilag 1 og 2.

Uddannelses- og Forskningsstyrelsen bliver sektoransvarlig myndighed for enheder, der opererer inden for sektoren rummet (bilag 1 punkt 11) på nær styrelser og institutioner under Klima-, Energi- og Forsyningsministeriet, samt for enheder, der opererer inden for sektoren forskning (bilag 2 punkt 7).

Hvis din enhed ikke falder inden for disse kategorier, kan du få vejledning hos Ministeriet for Samfundssikkerhed og Beredskab om, hvilken sektor du tilhører.

Rumsektoren

Enheder under sektoren rummet defineres i NIS 2-lovens bilag I, pkt. 11 som: ”Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet.”

Sektoren rummet dækker alene over operatører af jordbaseret infrastruktur. Den juridiske definition af jordbaseret infrastruktur omfatter f.eks. missionskontrolcentre, opsendelsesfaciliteter og opsendelsessteder samt jordstationer, der modtager telemetri og satellitkommunikation samt downlinks. Således hører udbydere af satellitnetværk og satellitkommunikationstjenester samt fremstilling af rumgenstande (som f.eks. satellitter) ikke under sektoren rummet.

Forskningssektoren

En forskningsorganisation defineres i NIS 2-loven som ”en enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål, men som ikke indbefatter uddannelsesinstitutioner”, jf. § 3, nr. 11.

Det betyder, at følgende betingelser skal være opfyldt for at blive betragtet som en forskningsorganisation:

• Enhedens primære mål er at udføre anvendt forskning eller udvikling: Altså skal enhedens aktiviteter i al væsentlighed fokusere på forskning og udvikling. Enheder, som kun i mindre grad fokuserer deres aktiviteter på forskning og i større grad på fremstilling af eksisterende produkter, vurderes dermed ikke umiddelbart omfattet af definitionen.
• Formålet med enhedens forskning og udvikling er at udnytte resultaterne til kommercielle formål: Det kan eksempelvis være til fremstilling eller udvikling af et produkt, en proces, levering af service eller markedsføring heraf. Dermed er enheder, hvis mål med forskning er af ren almennyttig karakter ikke omfattet af anvendelsesområdet.
• Der skal være tale om ”anvendt forskning” eller ”udvikling”: Termen ”anvendt forskning” eller (eksperimentel) ”udvikling” skal forstås i overensstemmelse med Organisationen for Økonomisk Samarbejde og Udviklings (OECD) Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Research and Experimental Development. Af manualen fremgår det af kapitel 2, punkt 2.9, at ”anvendt forskning” er en original undersøgelse foretaget med henblik på opnåelsen af ny viden. Den er dog primært rettet direkte mod et bestemt praktisk mål. Eksperimentel ”udvikling” er systematisk arbejde, der er baseret på viden opnået gennem forskning og praktisk erfaring, og som resulterer i ny viden, der er rettet mod at producere nye produkter, processer eller at forbedre eksisterende produkter eller processer. Dermed er enheder, som alene udfører grundforskning, ikke omfattet af anvendelsesområdet.

Uddannelsesinstitutioner er undtaget fra definitionen: Uddannelsesinstitutioner er ikke at betragte som forskningsorganisationer i direktivets og lovens forstand, selvom de i normale sammenhænge bedriver forskning. Dermed er f.eks. universiteter ikke at betragte som forskningsorganisationer i relation til NIS 2. Universiteter kan derimod være omfattet af NIS 2, hvis de udfører aktiviteter, som falder ind under andre sektorer i NIS 2-lovens bilag 1 og 2.

Kriterie 2 - enhedens størrelse

Det er et krav, at enheden opfylder et nærmere fastsat størrelseskrav (jf. artikel 2 i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj) baseret på antal ansatte eller årlig omsætning. Dermed er enheder omfattet, hvis en af følgende betingelser er opfyldt:

• Enheden beskæftiger 50 eller flere ansatte.
• Enheden har en årlig omsætning på mere end 10 mio. EUR samt en årlig samlet balance på over 10. mio. EUR.

Når man skal afgøre en enheds størrelse er det vigtigt, at alle de forbindelser, en enhed har med andre enheder (direkte eller indirekte), tages i betragtning, da det kan tælle med i opgørelsen af antal ansatte, omsætning og årlig samle balance. Den nævnte henstilling fastsætter i artiklerne 3-6 nærmere regler om typer af virksomheder, som tages i betragtning ved beregningen af antal beskæftigede og beløbsstørrelser, om data, der skal anvendes ved beregningen af antal beskæftigede og beløbsstørrelser og referenceperiode, om antal beskæftigede og om fastlæggelse af oplysninger om virksomheden.

Kriterie 3 - enheder omfattet uanset størrelse

Nogle enheder er omfattet af NIS 2-loven, selvom de ikke lever op til størrelseskravet. Det gælder f.eks., hvis enheden er den eneste udbyder af en væsentlig tjeneste, eller hvis forstyrrelser af tjenesten kan have alvorlige samfundsmæssige følgevirkninger. 

Derfor skal enheden afklare, om enheden tilhører en af de oplistede sektorer nedenfor, der er omfattet uanset størrelse, eller om enheden kan betegnes som særlig vigtig set fra et samfundsperspektiv. Hvis mindst et af de nedenstående udsagn gør sig gældende, er enheden omfattet.

Enheden tilhører en sektor, der er omfattet uanset størrelse hvis:

• Enheden er udbyder af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester.
• Enheden er tillidstjenesteudbydere.
• Enheden er topdomænenavnsadministrator og/eller udbyder af domænenavnesystemer.

Enheden tilhører en af de omfattede sektorer og er særlig vigtig set fra et samfundsperspektiv hvis:

• Enheden er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
• En forstyrrelse af den tjeneste, enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
• En forstyrrelse af den tjeneste, enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
• Enheden er kritisk på grund af sin specifikke betydning på et nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.
• Enheden er identificeret som en kritisk enhed i henhold til implementeringen af CER-direktivet i dansk lov, der omhandler fysisk sikkerhed i kritisk infrastruktur.

Offentlige forvaltningsenheder under den centrale forvaltning omfattes altid uanset størrelse, jf. NIS 2-lovens § 4 stk. 3 nr. 2.

Kan en enhed være omfattet i flere EU-medlemsstater?

Enheder, der kun er etableret og leverer deres tjenester i Danmark, er som udgangspunkt kun underlagt den danske NIS 2-lov.

Hvis en enhed er etableret i flere lande – f.eks. med filialer under samme CVR-nummer – er hovedreglen i NIS 2, at enheden er underlagt reguleringen og tilsynet i alle de medlemsstater, hvor den er etableret. Hvorvidt en enhed er etableret i en medlemsstat, baserer sig bl.a. på en vurdering af enhedens aktiviteter samt en vurdering af, hvorvidt disse drives gennem stabile strukturer, f.eks. en filial.

En enhed anses for at have sit hovedforretningssted i den medlemsstat, hvor beslutninger om styring af cybersikkerhedsrisici primært træffes. Hvis dette ikke kan fastslås, eller beslutningerne ikke træffes i EU, anses hovedforretningsstedet for at være i den medlemsstat, hvor cybersikkerhedsoperationerne udføres. Hvis dette heller ikke kan fastslås med sikkerhed, anses hovedforretningsstedet for at være etableret i den medlemsstat, hvor enheden har flest ansatte inden for EU. Hvis en enhed ikke er etableret i EU, men udbyder tjenester inden for unionen, herunder i Danmark, skal den udpege en repræsentant i en af de medlemsstater, hvor dens tjenester udbydes. Hvis repræsentanten er etableret i Danmark, hører enheden under dansk jurisdiktion. Hvis der ikke er udpeget en repræsentant, anses enheden for at høre under jurisdiktionen i de medlemsstater, hvor dens tjenester udbydes.

Du kan læse mere i NIS 2-lovens § 2.