Vigtig enhed

En vigtig enhed er en organisation i en NIS2-sektor, der er underlagt cybersikkerhedskrav, men med et lettere tilsynsregime end væsentlige enheder. Myndighederne fører reaktivt tilsyn med vigtige enheder, hvilket betyder, at tilsyn typisk igangsættes på baggrund af en hændelse eller klage.

Tilbage til ordbog

Hvad er en vigtig enhed?

NIS2-direktivet deler alle organisationer, der er omfattet, i to kategorier: væsentlige enheder og vigtige enheder. Vigtige enheder er organisationer, der opererer i sektorer oplistet i bilag II til direktivet — sektorer der er vigtige for samfundet, men vurderes til at udgøre en lidt lavere systemisk risiko end de sektorer, der giver status som væsentlig enhed.

Det er vigtigt at forstå, at betegnelsen 'vigtig' ikke betyder, at kravene er uvæsentlige. Vigtige enheder skal opfylde de samme tekniske og organisatoriske sikkerhedskrav som væsentlige enheder.

Sektorer for vigtige enheder

Følgende sektorer er listet i NIS2's bilag II og giver typisk status som vigtig enhed:

Post- og pakketjenester
Affaldshåndtering
Kemikalier: Fremstilling, produktion og distribution
Fødevarer: Produktion, forarbejdning og distribution
Fremstillingsindustri: Medicinsk udstyr, elektronik, maskiner, køretøjer mv.
Digitale tjenester: Online markedspladser, onlinesøgemaskiner og sociale netværksplatforme
Forskning

Størrelseskriterium: Som udgangspunkt er mellemstore og store organisationer (50+ ansatte eller 10 mio. EUR+ i omsætning) i disse sektorer vigtige enheder. Medlemsstaterne kan dog udvide anvendelsesområdet til yderligere enheder baseret på nationale risikovurderinger.

Krav til vigtige enheder

Vigtige enheder skal implementere de samme typer sikkerhedsforanstaltninger som væsentlige enheder, herunder:

Risikostyring: Politikker for cybersikkerhedsrisikostyring og informationssikkerhed
Hændelsesrapportering: Rapportering af betydelige hændelser inden for de fastsatte tidsfrister
Leverandørkædesikkerhed: Vurdering og styring af risici fra leverandører og underleverandører
Forretningskontinuitet: Beredskabsplaner og forretningskontinuitet
Tekniske foranstaltninger: Kryptering, adgangskontrol, sårbarhedshåndtering
Ledelsesansvar: Ledelsens ansvar og obligatorisk uddannelse

Tilsyn og sanktioner

Den primære praktiske forskel fra væsentlige enheder handler om tilsynsregimet:

Reaktivt tilsyn: Myndighederne igangsætter normalt kun tilsyn ved tegn på manglende overholdelse, efter en hændelse eller på baggrund af klager.
Bødestørrelser: Bøder kan nå op til 7 mio. EUR eller 1,4 % af den globale årlige omsætning — mod 10 mio. EUR eller 2 % for væsentlige enheder.

Ofte stillede spørgsmål om vigtig enhed

Hvad er en vigtig enhed under NIS2?

En vigtig enhed er en organisation i en af NIS2's sektorer i bilag II, fx post- og pakketjenester, affaldshåndtering, kemikalier, fødevarer, fremstillingsindustri og digitale tjenester. De er underlagt NIS2's sikkerhedskrav med reaktivt tilsyn.

Er kravene de samme for vigtige og væsentlige enheder?

De tekniske og organisatoriske sikkerhedskrav er de samme. Forskellen er tilsynsregimet og bødestørrelserne. Vigtige enheder kontrolleres reaktivt (efter en hændelse eller klage), mens væsentlige enheder kontrolleres proaktivt.

Hvilke sektorer falder ind under vigtige enheder?

Sektorer for vigtige enheder inkluderer post- og pakketjenester, affaldshåndtering, kemikalier, fødevarer, fremstillingsindustri, digitale tjenester (online markedspladser, søgemaskiner, sociale netværk) og forskning.

Hvilke sanktioner risikerer vigtige enheder?

Vigtige enheder kan pålægges administrative bøder på op til 7 mio. EUR eller 1,4 % af den samlede globale årlige omsætning, alt efter hvad der er højest. Det er lavere end maksimum for væsentlige enheder (10 mio. EUR eller 2 %).

Kan en organisation i en bilag II-sektor klassificeres som væsentlig?

Ja. Medlemsstater kan udpege specifikke organisationer i bilag II-sektorer som væsentlige enheder, hvis en forstyrrelse af deres tjenester ville have en betydelig indvirkning. Desuden kan visse typer enheder omklassificeres baseret på nationale risikovurderinger.