Kontrol af cybersikkerhed i fødevarevirksomheder: NIS 2-loven

Fødevarestyrelsen kan træffe afgørelse om, at fødevarevirksomheder, der ikke lever op til størrelseskravene, alligevel er omfattet af NIS 2-loven. Det gælder:

Enheder, der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS I-direktivet), jf. dog § 5, stk. 2.

Øvrige enheder af en type, hvor mindst en af følgende betingelser er opfyldt, jf. dog § 5, stk.:

• Enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
• En forstyrrelse af den tjeneste, som enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
• En forstyrrelse af den tjeneste, som enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
• Enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.

Virksomheders tilknytning til partner- og tilknyttede virksomheder kan påvirke, om de er omfattet af NIS 2-loven, afhængigt af graden af ejerskab og teknologisk uafhængighed. Hvis din virksomhed har partnervirksomheder/tilknyttede virksomheder, er I alle sammen omfattet under samme registrering.

Læs mere i "Vejledning om anvendelsesområdet" (pdf)

Når man skal afgøre en enheds størrelse, er det vigtigt at alle medarbejdere, også ikke direkte tilknyttede medarbejdere, tages i betragtning, da det kan tælle med i opgørelsen af antal ansatte /årsværk, en årlig omsætning og årlig samlet balance på mere end 10 mio EUR.

Størrelseskriterier baserer sig på en mere generel definition af mellemstore virksomheder. Der kan i den forbindelse henvises til artikel 2 i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj. Den nævnte henstilling fastsætter i artiklerne 3-6 nærmere regler om typer af virksomheder, som tages i betragtning ved beregningen af antal beskæftigede og beløbsstørrelser, om data, der skal anvendes ved beregningen af antal beskæftigede og beløbsstørrelser og referenceperiode, om antal beskæftigede og om fastlæggelse af oplysninger om virksomheden.

Når man skal beregne sin enheds størrelse, skal man beregne for hele enheden. Man kan dermed ikke begrænse det til f.eks. de årsværk, der beskæftiger sig med den aktivitet eller tjenesteydelse, der ligger til grund for, at man er omfattet af sektorerne i NIS 2-lovens bilag 1 og 2. jf. side 14 i vejledning om anvendelsesområdet Vejledning om anvendelsesområdet.

Hvis du alligevel vurderer, at din virksomhed er omfattet af NIS 2-loven, skal du registrere virksomheden her Introduktion - Registrering af virksomhed efter NIS2 | Virk.  Hvis det efter registrering viser sig, at din virksomhed alligevel ikke er omfattet af loven, kontakter vi dig efter fristen for registrering den 1. oktober 2025.

Registrering efter NIS 2-loven skal ske pr. juridisk enhed, dvs. pr. fødevarevirksomhed, som er tildelt et CVR-nummer.

Det betyder, at hvis en koncern består af et moderselskab og et eller flere datterselskaber, og disse hver især har egne CVR-numre, skal de betragtes som separate enheder. Hver enhed vurderes dermed individuelt i forhold til, om den er omfattet af NIS 2-loven, og skal – hvis relevant – foretage selvstændig registrering hos Fødevarestyrelsen.

Når man skal beregne sin enheds størrelse, skal man beregne for hele enheden. Man kan dermed ikke begrænse det til f.eks. de årsværk, der beskæftiger sig med den aktivitet eller tjenesteydelse, der ligger til grund for, at man er omfattet af sektorerne i NIS 2-lovens bilag 1 og 2.

Vi kan desuden oplyse, at hvis en enhed er omfattet af NIS 2-loven, vil hele enheden være omfattet. Det indebærer, at virksomheden skal forholde sig til alle de net- og informationssystemer, der anvendes til levering af dens tjenester. Dette gælder også, hvis kun dele af virksomhedens aktiviteter falder inden for fødevaresektoren, som i NIS 2-loven er omfattet af bilag 2, nr. 4 (produktion, tilvirkning og distribution af fødevarer). Fødevarestyrelsens vejledning vedrører alene virksomheder, der hører under denne sektor.

Det er dog vigtigt at bemærke, at selv om hele enheden er omfattet, behøver sikkerhedstiltagene ikke nødvendigvis at være ens for alle dele af virksomhedens forretning. Tiltagene skal afspejle de konkrete risici og systemers betydning for virksomhedens aktiviteter.

Fødevarestyrelsen vil fortolke bilag 2, nr. 4 i NIS 2-loven således, at kriterier om engrosdistribution, industriel produktion og tilvirkning er alternative frem for kumulative.

Det betyder, at en fødevarevirksomhed er omfattet af NIS 2-loven, hvis den beskæftiger sig med:

• Engrosdistribution eller
• Industriel produktion eller
• Tilvirkning

Begrundelse for fortolkningen

1. Henvisningen til grundforordningen: Bilag 2, nr. 4 henviser direkte til definitionen i forordning (EF) nr. 178/2002, som anvender alternative kriterier.
   
   
2. Formodning om lovgivningsmæssig konsistens: Det må antages, at lovgiver ikke har tilsigtet at skabe et snævrere anvendelsesområde end den definition, der udtrykkeligt henvises til.

En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.
Underretning om en væsentlig hændelse skal ske på virk.dk. Den nuværende underretningsløsning vil blive opdateret ved NIS 2-lovens ikrafttræden.

Rammes en virksomhed af en væsentlig hændelse, skal den underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

• Uden unødigt ophold og senest inden for 24 timer:

  Underretning af tidlig varsling, som angiver, om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.

• Inden for 72 timer:

  Hændelsesunderretning, som ajourfører de oplysninger, der er blevet givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.

• Efter anmodning fra CSIRT:

  En foreløbig rapport om relevante statusopdateringer.

• Senest en måned efter hændelsen:

  En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af
  trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.

• Pågår hændelsen fortsat en måned efter underretningen:

  Her forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.
  Når en organisation indberetter en hændelse, sørger den nationale CSIRT (Computer Security Incident Response Team) ifølge lovforslaget for, at de får en tilbagemelding på indberetningen, hvis muligt inden for 24 timer efter modtagelsen af den tidlige varsling.

Hvis en virksomhed er omfattet af NIS 2- loven, er registrering en forpligtelse på linje med lovens øvrige forpligtelser.

Lovens rettigheder og forpligtelser gælder for de omfattede virksomheder fra dens ikrafttræden, uafhængigt af registreringstidspunktet. Registrering har derfor ikke nogen betydning for, om virksomheden kan anses for omfattet af loven eller ej. Dette betyder, at en virksomhed, der er omfattet af NIS 2-loven, uanset om en virksomhed har registreret sig, skal opfylde andre krav af NIS 2-loven bl.a. krav om sikkerhedsforanstaltninger og krav om hændelsesunderretninger.

En virksomhed bliver dermed heller ikke omfattet af loven, hvis den ved en fejl registrerer sig.

Det oprindelige NIS-direktiv blev vedtaget i 2016 og var den første fælles EU-lovgivning på cybersikkerhedsområdet. Direktivet blev vedtaget for at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. NIS-direktivet placerer sikkerhedsansvaret hos tjenesteudbyderen, mens NIS2 skærper dette ved at gøre ledelsen direkte ansvarlig for IT-sikkerheden. Ledelsen skal godkende og overvåge tiltag for cybersikkerhed, og ledelsesmedlemmer forventes at opdatere deres viden gennem relevante kurser.

I udgangspunktet er det sådan, at enheder skal registrere sig senest to uger efter, at enheden bliver omfattet af loven. For digitale enheder er det senest tre måneder efter. I tilfælde af ændringer i disse oplysninger, skal enheden give sin sektoransvarlige myndighed underretning herom inden for de samme tidsfrister. Det vil sige senest efter tre måneder for digitale enheder, og senest efter to uger for alle øvrige enheder.

I NIS 2-loven er der imidlertid indsat en overgangsbestemmelse for registreringstidspunktet. Man skal derfor ikke registrere sig senest to uger efter loven træder i kraft, men derimod senest den 1. oktober 2025. To ugers-reglen og tre måneders-reglen gør sig gældende efter den 1. oktober 2025 for nye registreringer og opdateringer til tidligere registreringer.

I alle typer af fødevareorganisationer er anvendelsen af digitale systemer og data forbundet med forskellige risici. Selvom det ikke er muligt at eliminere alle risici, kan en grundig kortlægning af eksisterende risici hjælpe ledelsen med at træffe informerede beslutninger om, hvordan ressourcerne bedst kan anvendes for at reducere risici til et acceptabelt niveau.

Fødevarestyrelsen vil i samarbejde med branchen og relevante myndigheder udvikle redskaber til at udføre vurderinger af risiko og sårbarhed med fokus på fødevare- og informationssikkerhed. Disse værktøjer vil indeholde en række scenarier, der belyser trusler mod de digitale systemer og data, der anvendes i fødevaresektoren. De kan anvendes af virksomheder uanset, om de allerede har en metode til vurdering af risiko og sårbarhed, eller hvis de ønsker at etablere en ny struktur for risikovurdering. Værktøjet vil også være nyttigt for organisationer uden forbindelse til fødevaresektoren.

De fødevarevirksomheder, som er omfattet, skal leve op til kravene for ”vigtige enheder” i loven, da de hører under andre kritiske sektorer jf. lovens Bilag 2.

Med fødevarevirksomheder menes ethvert offentligt eller privat foretagende, som med eller uden gevinst for øje udfører en hvilken som helst aktivitet, der indgår som et hvilket som helst led i produktionen, tilvirkningen eller distributionen af fødevarer (Fødevareforordningens artikel 3, nr. 2).

Loven anvender termen enhed. En enhed er en virksomhed, forening, organisation eller offentlig myndighed mv. (juridisk person), som er tildelt et CVR-nummer. Et selskab med et underliggende datterselskab udgør således to separate enheder, forudsat at de har fået tildelt hver deres CVR-nummer.

Så er du ikke omfattet af NIS 2-reglerne direkte. Det er dog sandsynligt, at din aftager/samarbejdspartner, som er en NIS 2-registreret virksomhed, vil stille krav til dine it-sikkerhedsforanstaltninger, når du leverer til dem. Læs herunder, hvilke forventninger en NIS 2-virksomhed kan have til dig som leverandør.

Forsyningskædesikkerhed handler om, at NIS 2-virksomheden er forpligtet til:

1. At implementere procedurer for leverandørstyring, der sikrer både forsyningssikkerhed og cybersikkerhed i samarbejdet med direkte leverandører eller tjenesteudbydere – i det omfang deres ydelser kan påvirke sikkerheden i forhold til den eller de ydelser, som gør, at enheden er omfattet af NIS 2. Det gælder både ved levering af it-produkter og it-tjenester, samt andre kritiske leverancer som strøm, teknisk bistand med mere.
2. At procedurerne skal gøre enheden i stand til at identificere og vurdere risici ved specifikke leverandører og indgå aftaler, der sikrer overholdelse af enhedens krav til forsynings- og cybersikkerhed.

Forventning til leverandørstyring hos NIS 2-virksomheder

1.  For at undgå unødigt høje krav bør virksomheden anvende en risikobaseret tilgang, hvor kravene til den enkelte leverandør eller tjenesteudbyder er proportionale med den specifikke leverances betydning for enhedens forsynings- og cybersikkerhed.
2. Virksomheden bør definere kriterier for, hvordan de udvælger leverandører eller tjenesteudbydere. Kriterierne kan omfatte:
   • Leverandørens og tjenesteudbyderens cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.
   • Leverandørens eller tjenesteudbyderens evne til at opfylde enhedens cybersikkerhedsspecifikationer.
   • Klassifikationsniveau for de it-tjenester, it-systemer eller it-produkter, som leverandøren eller tjenesteudbyderen leverer, herunder leverandørens opfattelse af risikoen.
   • Leverandørens evne til at opretholde et passende niveau af forsyningssikkerhed.
   • Virksomhedens evne og mulighed for at vælge en alternativ leverandør og begrænse leverandørafhængighed.
   • Leverandørens økonomi og geopolitiske risici.
3. Virksomheden bør sikre, at direkte leverandører og udbydere, herunder cloud computing-udbydere, opretholder passende foranstaltninger, der lever op til de sikkerhedskrav, enheden har fastlagt i kontrakten. Det kan ske gennem aftaler om serviceniveau (SLA) og/eller revisionsmekanismer.
4. Virksomheden bør overveje at anvende disse sikkerhedskrav til eksisterende leverandører som en del af udvælgelsesprocessen for nye direkte leverandører og udbydere, samt ved planlægning, forberedelse, styring og afslutning af indkøb af it-tjenester, it-systemer eller it-produkter.
5. Virksomheden bør gennemgå procedurer til leverandørstyring og monitorere, gennemgå, evaluere og styre ændringer, der måtte opstå i de direkte leverandørers eller tjenesteudbyderes cybersikkerhedspraksis, med planlagte intervaller, eller i tilfælde af en hændelse, der har påvirket eller kan påvirke cybersikkerheden i enhedens net- og informationssystemer. Observationer fra disse gennemgange, monitoreringer, evalueringer mv. bør dokumenteres.

Sikkerhedskrav til leverandører i NIS2-virksomheder

Virksomheder omfattet af NIS2-direktivet kan i forbindelse med deres risikovurdering inkludere bestemmelser i aftaler (kontrakter) med direkte leverandører eller tjenesteudbydere, som eksempelvis omhandler:

• Krav om, at leverandøren og det leverede følger relevante sikkerhedskrav, lovkrav, fortrolighedsklausuler, standarder mv.
• Hvilke færdigheder og eventuelle uddannelser, der kræves af leverandørens personale.
• Baggrundskontrol af leverandørens personale, hvis de beskæftiger sig med enhedens kritiske aktiver (i henhold til klassificeringen af aktiver og risikovurderingen).
• Leverandørens forpligtelse til at underrette enheden om alle relevante hændelser, så snart de bliver opmærksomme på hændelsen, og til at bistå enheden med at overholde sine rapporteringsforpligtelser i tilfælde af væsentlige hændelser.
• At direkte leverandører og tjenesteudbydere, hvis enheden er underlagt tilsyn, samarbejder med enheden om at bistå de sektoransvarlige myndigheder i forbindelse med udførelse af deres opgaver.
• Virksomhedens ret til revision og/eller ret til at modtage revisionsrapporter fra leverandøren.
• Aftale om leveringstider på serviceydelser, herunder eventuelle reparationer.
• Forpligtelse til at håndtere sårbarheder, der udgør en risiko for cybersikkerheden i virksomhedens net- og informationssystemer underleverandører (hvis tilladt) og foranstaltninger for underleverandører.
• Leverandørens forpligtelser ved aftalens ophør, eksempelvis forpligtelse til at udlevere og slette data.

Dokumentation

Enheden bør gennemgå procedurer til leverandørstyring og monitorere, gennemgå, evaluere og styre ændringer, der måtte opstå i de direkte leverandørers eller tjenesteudbyderes cybersikkerhedspraksis, med planlagte intervaller eller i tilfælde af en hændelse, der har eller kan påvirke cybersikkerheden i enhedens net- og informationssystemer. Observationer fra disse gennemgange, monitoreringer, evalueringer mv. bør dokumenteres.