Væsentlig enhed

En væsentlig enhed er en organisation i en af NIS2's højest prioriterede sektorer. Disse organisationer er underlagt de strengeste krav til cybersikkerhed under NIS2-direktivet og er genstand for proaktivt tilsyn fra de nationale myndigheder — uafhængigt af om der har været en hændelse.

Tilbage til ordbog

Hvad er en væsentlig enhed?

Under NIS2-direktivet inddeles alle omfattede organisationer i to kategorier: væsentlige enheder og vigtige enheder. Kategoriseringen afgør primært, hvilket tilsynsregime organisationen er underlagt.

Væsentlige enheder er organisationer, der opererer i sektorer, som EU har vurderet som særlig kritiske for samfundets funktion. En forstyrrelse i disse sektorer ville have potentielt katastrofale konsekvenser for mange mennesker og for den samfundsøkonomiske stabilitet.

Hvilke sektorer er omfattet?

NIS2 bilag I angiver følgende sektorer for væsentlige enheder:

Energi: El, gas, olie og fjernvarme
Transport: Luft, jernbane, vej og sø
Bankvæsen: Kreditinstitutter
Finansielle markedsinfrastrukturer: Handelspladser og centrale modparter
Sundhed: Hospitaler, laboratorier, medicinalvirksomheder
Drikkevand: Forsyning og distribution
Spildevand: Behandling og bortskaffelse
Digital infrastruktur: DNS, TLD-registre, cloud-tjenester, datacentre, CDN, TSP'er
IKT-tjenestestyring: Administrerede tjenesteudbydere og sikkerhedsudbydere
Offentlig forvaltning: Centrale statslige myndigheder
Rumfart: Jordbaseret infrastruktur

Størrelseskriterier og undtagelser

Organisationer i disse sektorer er som udgangspunkt væsentlige enheder, hvis de er mellemstore (50+ ansatte eller 10 mio. EUR+ i omsætning) eller store. Visse typer organisationer er dog altid væsentlige enheder uanset størrelse, fx DNS-udbydere, TLD-registre og udbydere af offentlige elektroniske kommunikationsnet.

Proaktivt tilsyn: Det afgørende kendetegn ved væsentlige enheder er, at de er underlagt proaktivt tilsyn. Nationale myndigheder kan gennemføre inspektioner, revisioner og tilsyn på stedet når som helst, uden at afvente en hændelse eller klage. Dette adskiller sig fra det reaktive tilsyn, der gælder for vigtige enheder.

Forpligtelser for væsentlige enheder

Væsentlige enheder skal overholde alle NIS2's krav, herunder:

Risikostyring: Implementering af en omfattende ramme for cybersikkerhedsrisikostyring, der dækker politikker, procedurer og tekniske foranstaltninger.
Hændelsesrapportering: Rapportering af betydelige hændelser inden 24 timer (tidlig advarsel) og 72 timer (fuld rapport) til den kompetente myndighed.
Leverandørkædesikkerhed: Vurdering og styring af risici fra leverandører og underleverandører.
Ledelsesansvar: Ledelsens godkendelse og personlige ansvar for cybersikkerhedsforanstaltninger, herunder obligatorisk uddannelse.
Tekniske foranstaltninger: Kryptering, adgangskontrol, sårbarhedshåndtering, backup og forretningskontinuitet.

Væsentlig vs. vigtig enhed

Den praktiske forskel mellem de to kategorier handler primært om tilsyn og sanktioner, ikke om selve sikkerhedskravene:

Tilsyn: Væsentlige enheder er underlagt proaktivt tilsyn — myndighederne kan inspicere dem når som helst. Vigtige enheder er underlagt reaktivt tilsyn.
Sanktioner: Bøder for væsentlige enheder kan nå op til 10 mio. EUR eller 2 % af den globale årlige omsætning. For vigtige enheder er maksimum 7 mio. EUR eller 1,4 %.

Ofte stillede spørgsmål om væsentlig enhed

Hvad er en væsentlig enhed under NIS2?

En væsentlig enhed er en organisation i en af NIS2's højtprioriterede sektorer, fx energi, transport, sundhed eller digital infrastruktur. Disse organisationer er underlagt de strengeste cybersikkerhedskrav og proaktivt tilsyn fra de nationale myndigheder.

Hvad er forskellen på en væsentlig og en vigtig enhed under NIS2?

Begge kategorier er underlagt de samme grundlæggende sikkerhedskrav. Forskellen ligger primært i tilsynsregimet: væsentlige enheder er underlagt proaktivt tilsyn (myndighederne kan kontrollere dem uden forudgående hændelse), mens vigtige enheder er underlagt reaktivt tilsyn.

Hvilke sektorer falder ind under væsentlige enheder?

Sektorer for væsentlige enheder inkluderer: energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, IKT-tjenestestyring, offentlig forvaltning og rumfart.

Hvilke sanktioner risikerer væsentlige enheder ved manglende overholdelse?

Væsentlige enheder kan pålægges administrative bøder på op til 10 mio. EUR eller 2 % af den samlede globale årlige omsætning, alt efter hvad der er højest. Nationale myndigheder kan også pålægge ikke-monetære sanktioner som påbud og bindende instrukser.

Kan små organisationer klassificeres som væsentlige enheder?

Som udgangspunkt er væsentlige enheder mellemstore eller store organisationer. Visse typer organisationer er dog altid væsentlige enheder uanset størrelse, herunder DNS-udbydere, TLD-registre og udbydere af offentlige elektroniske kommunikationsnet.