Kontrol af cybersikkerhed i fødevarevirksomheder: NIS 2-loven

Fødevarestyrelsen fører tilsyn med nye skærpede cybersikkerhedskrav hos store fødevarevirksomheder, som er omfattet af NIS 2. Bliv klogere på om din fødevarevirksomhed er omfattet af loven, og hvad NIS 2 betyder for din virksomhed.

På siden kan du få overblik over:

  • Om din fødevarevirksomhed er omfattet af NIS 2
  • Hvilke krav der er til omfattede virksomheder, og hvordan du registrerer din virksomhed
  • Hvordan du indberetter en hændelse

Hvad er NIS 2?

Net- og Informationssikkerhedsdirektivet – NIS 2 – medvirker til at sikre fødevareforsyningssikkerheden i Danmark. NIS 2 handler om sikring af net- og informationssystemer – altså både hardware, software og digitale tjenester. Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven), som træder i kraft d. 1. juli 2025, implementerer NIS 2-direktivet og stiller nye og skærpede krav til cybersikkerheden i kritiske sektorer, herunder fødevaresektoren.

Er min virksomhed omfattet?


NIS 2-loven omtaler alle virksomheder som enheder. Fødevarevirksomheder af en vis størrelse er vigtige enheder i henhold til loven og er dermed omfattet af NIS 2.

Fødevarevirksomheder, som er enheder inden for fødevaresektoren, er virksomheder, der er registreret hos Fødevarestyrelsen.

Din virksomhed er underlagt reglerne i NIS 2, hvis du har engrosdistribution, produktion og tilvirkning af fødevarer.

I NIS 2-loven tillægges ’produktion og tilvirkning’ betegnelsen ’industriel’. EU-Kommissionen anvender dette begreb for, at tydeliggøre at NIS 2-lovgivningen kun er relevant for store virksomheder. For at afgøre om du har en stor industriel fødevarevirksomhed, kan du se uddybning nedenfor under 'Kriterier for fødevarevirksomheder der er omfattet grundet størrelse'.

Hvis din virksomhed udelukkende er en detailvirksomhed, vil den ikke være omfattet af NIS 2-lovgivningen. Foder- og FKM-virksomheder er ligeledes undtaget.

Fødevarestyrelsen vil på et senere tidspunkt udpege kritiske fødevarevirksomheder for fødevaresektoren under CER-loven, og disse vil blive væsentlige enheder under NIS 2.

Virksomheden skal selv vurdere, om den opfylder kriterierne og dermed er omfattet.

Få hjælp til at vurdere, om din virksomhed er omfattet af NIS 2

Fødevarevirksomheder er omfattet af NIS 2-loven, hvis de ud over ovenstående definition opfylder følgende størrelseskrav:

  • Enheden beskæftiger 50 eller flere ansatte

eller:

  • Enheden har en årlig omsætning på mere end 10 mio. EUR og har en årlig samlet balance på over 10 mio. EUR.

Når man skal afgøre en enheds størrelse, er det vigtigt at alle medarbejdere, også ikke direkte tilknyttede medarbejdere, tages i betragtning, da det kan tælle med i opgørelsen af antal ansatte /årsværk, en årlig omsætning og årlig samlet balance på mere end 10 mio EUR.

Størrelseskriterier baserer sig på en mere generel definition af mellemstore virksomheder. Der kan i den forbindelse henvises til artikel 2 i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj. Den nævnte henstilling fastsætter i artiklerne 3-6 nærmere regler om typer af virksomheder, som tages i betragtning ved beregningen af antal beskæftigede og beløbsstørrelser, om data, der skal anvendes ved beregningen af antal beskæftigede og beløbsstørrelser og referenceperiode, om antal beskæftigede og om fastlæggelse af oplysninger om virksomheden.

Fødevarestyrelsen kan træffe afgørelse om, at fødevarevirksomheder, der ikke lever op til størrelseskravene, alligevel er omfattet af NIS 2-loven. Det gælder:

Enheder, der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS I-direktivet), jf. dog § 5, stk. 2.

Øvrige enheder af en type, hvor mindst en af følgende betingelser er opfyldt, jf. dog § 5, stk.:

  • Enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
  • En forstyrrelse af den tjeneste, som enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
  • En forstyrrelse af den tjeneste, som enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
  • Enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.

Virksomheders tilknytning til partner- og tilknyttede virksomheder kan påvirke, om de er omfattet af NIS 2-loven, afhængigt af graden af ejerskab og teknologisk uafhængighed. Hvis din virksomhed har partnervirksomheder/tilknyttede virksomheder, er I alle sammen omfattet under samme registrering.

Læs mere i "Vejledning om anvendelsesområdet" (pdf)

Krav til omfattede virksomheder


Omfattede fødevarevirksomheder (som f.eks. har over 50 ansatte eller en årlig omsætning på mere end 10 mio. EUR) er forpligtigede til at leve op til NIS 2-lovens krav til vigtige enheder. Det indebærer bl.a., at du som virksomhed skal:

1) Registrere din virksomhed

Virksomheden skal registrere sig på en fælles portal på virk.dk mellem 1. juli og 1. oktober 2025.

Registrer din virksomhed

Få vejledning til, hvordan du registrerer dig

2) Leve op til 10 minimumskrav

Virksomheden skal sikre sig, at den lever op til de 10 minimumskrav, der som minimum omfatter følgende foranstaltninger.

  1. Politikker for risikoanalyse og informationssystemsikkerhed.
  2. Håndtering af hændelser.
  3. Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring.
  4. Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
  5. Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
  6. Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
  7. Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
  8. Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
  9. Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
  10. Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.

Vi har en hændelse, hvad gør vi?


Virksomheder der er omfattet af NIS 2-loven har hændelsesunderretningsforpligtelse, og skal derfor underrette Fødevarestyrelsen og Styrelsen for Samfundssikkerhed – Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse via virk.dk.

Frivillige underretninger

Virksomheder, der ikke er omfattet af NIS 2-loven, opfordres til frivilligt at underrette CSIRT om hændelser, nærved-hændelser og cybertrusler, fordi det muliggør hurtig reaktion, styrker vidensdeling og øger cybersikkerheden på tværs af sektorer og lande, i henhold til § 14 i NIS 2-loven.

Indsend indberetning

En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.
Underretning om en væsentlig hændelse skal ske på virk.dk. Den nuværende underretningsløsning vil blive opdateret ved NIS 2-lovens ikrafttræden.

Rammes en virksomhed af en væsentlig hændelse, skal den underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

  • Uden unødigt ophold og senest inden for 24 timer:

    Underretning af tidlig varsling, som angiver, om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.

  • Inden for 72 timer:

    Hændelsesunderretning, som ajourfører de oplysninger, der er blevet givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.

  • Efter anmodning fra CSIRT:

    En foreløbig rapport om relevante statusopdateringer.

  • Senest en måned efter hændelsen:

    En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af
    trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.

  • Pågår hændelsen fortsat en måned efter underretningen:

    Her forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.
    Når en organisation indberetter en hændelse, sørger den nationale CSIRT (Computer Security Incident Response Team) ifølge lovforslaget for, at de får en tilbagemelding på indberetningen, hvis muligt inden for 24 timer efter modtagelsen af den tidlige varsling.

Læs mere

Hvis en virksomhed er omfattet af NIS 2- loven, er registrering en forpligtelse på linje med lovens øvrige forpligtelser.

Lovens rettigheder og forpligtelser gælder for de omfattede virksomheder fra dens ikrafttræden, uafhængigt af registreringstidspunktet. Registrering har derfor ikke nogen betydning for, om virksomheden kan anses for omfattet af loven eller ej. Dette betyder, at en virksomhed, der er omfattet af NIS 2-loven, uanset om en virksomhed har registreret sig, skal opfylde andre krav af NIS 2-loven bl.a. krav om sikkerhedsforanstaltninger og krav om hændelsesunderretninger.

En virksomhed bliver dermed heller ikke omfattet af loven, hvis den ved en fejl registrerer sig.

Det oprindelige NIS-direktiv blev vedtaget i 2016 og var den første fælles EU-lovgivning på cybersikkerhedsområdet. Direktivet blev vedtaget for at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. NIS-direktivet placerer sikkerhedsansvaret hos tjenesteudbyderen, mens NIS2 skærper dette ved at gøre ledelsen direkte ansvarlig for IT-sikkerheden. Ledelsen skal godkende og overvåge tiltag for cybersikkerhed, og ledelsesmedlemmer forventes at opdatere deres viden gennem relevante kurser.

I udgangspunktet er det sådan, at enheder skal registrere sig senest to uger efter, at enheden bliver omfattet af loven. For digitale enheder er det senest tre måneder efter. I tilfælde af ændringer i disse oplysninger, skal enheden give sin sektoransvarlige myndighed underretning herom inden for de samme tidsfrister. Det vil sige senest efter tre måneder for digitale enheder, og senest efter to uger for alle øvrige enheder.

I NIS 2-loven er der imidlertid indsat en overgangsbestemmelse for registreringstidspunktet. Man skal derfor ikke registrere sig senest to uger efter loven træder i kraft, men derimod senest den 1. oktober 2025. To ugers-reglen og tre måneders-reglen gør sig gældende efter den 1. oktober 2025 for nye registreringer og opdateringer til tidligere registreringer.

I alle typer af fødevareorganisationer er anvendelsen af digitale systemer og data forbundet med forskellige risici. Selvom det ikke er muligt at eliminere alle risici, kan en grundig kortlægning af eksisterende risici hjælpe ledelsen med at træffe informerede beslutninger om, hvordan ressourcerne bedst kan anvendes for at reducere risici til et acceptabelt niveau.

Fødevarestyrelsen vil i samarbejde med branchen og relevante myndigheder udvikle redskaber til at udføre vurderinger af risiko og sårbarhed med fokus på fødevare- og informationssikkerhed. Disse værktøjer vil indeholde en række scenarier, der belyser trusler mod de digitale systemer og data, der anvendes i fødevaresektoren. De kan anvendes af virksomheder uanset, om de allerede har en metode til vurdering af risiko og sårbarhed, eller hvis de ønsker at etablere en ny struktur for risikovurdering. Værktøjet vil også være nyttigt for organisationer uden forbindelse til fødevaresektoren.

De fødevarevirksomheder, som er omfattet, skal leve op til kravene for ”vigtige enheder” i loven, da de hører under andre kritiske sektorer jf. lovens Bilag 2.

Med fødevarevirksomheder menes ethvert offentligt eller privat foretagende, som med eller uden gevinst for øje udfører en hvilken som helst aktivitet, der indgår som et hvilket som helst led i produktionen, tilvirkningen eller distributionen af fødevarer (Fødevareforordningens artikel 3, nr. 2).

Loven anvender termen enhed. En enhed er en virksomhed, forening, organisation eller offentlig myndighed mv. (juridisk person), som er tildelt et CVR-nummer. Et selskab med et underliggende datterselskab udgør således to separate enheder, forudsat at de har fået tildelt hver deres CVR-nummer.

Så er du ikke omfattet af NIS 2 reglerne direkte. Det er dog sandsynligt, at din aftager/samarbejdspartner, som er en NIS 2 registreret virksomhed, vil stille krav til dine it-sikkerhedsforanstaltninger, når du leverer til dem. Læs herunder, hvilke forventninger en NIS 2 virksomhed kan have til dig som leverandør.

Forsyningskædesikkerhed handler om, at NIS 2-virksomheden er forpligtet til:

  1. At implementere procedurer for leverandørstyring, der sikrer både forsyningssikkerhed og cybersikkerhed i samarbejdet med direkte leverandører eller tjenesteudbydere – i det omfang deres ydelser kan påvirke sikkerheden i forhold til den eller de ydelser, som gør, at enheden er omfattet af NIS 2. Det gælder både ved levering af it-produkter og it-tjenester, samt andre kritiske leverancer som strøm, teknisk bistand med mere.
  2. At procedurerne skal gøre enheden i stand til at identificere og vurdere risici ved specifikke leverandører og indgå aftaler, der sikrer overholdelse af enhedens krav til forsynings- og cybersikkerhed.

Forventning til leverandørstyring hos NIS 2 virksomheder

  1.  For at undgå unødigt høje krav bør virksomheden anvende en risikobaseret tilgang, hvor kravene til den enkelte leverandør eller tjenesteudbyder er proportionale med den specifikke leverances betydning for enhedens forsynings- og cybersikkerhed.
  2. Virksomheden bør definere kriterier for, hvordan de udvælger leverandører eller tjenesteudbydere. Kriterierne kan omfatte:
    • Leverandørens og tjenesteudbyderens cybersikkerhedspraksis, herunder deres procedurer for sikker udvikling.
    • Leverandørens eller tjenesteudbyderens evne til at opfylde enhedens cybersikkerhedsspecifikationer.
    • Klassifikationsniveau for de it-tjenester, it-systemer eller it-produkter, som leverandøren eller tjenesteudbyderen leverer, herunder leverandørens opfattelse af risikoen.
    • Leverandørens evne til at opretholde et passende niveau af forsyningssikkerhed.
    • Virksomhedens evne og mulighed for at vælge en alternativ leverandør og begrænse leverandørafhængighed.
    • Leverandørens økonomi og geopolitiske risici.
  3. Virksomheden bør sikre, at direkte leverandører og udbydere, herunder cloud computing-udbydere, opretholder passende foranstaltninger, der lever op til de sikkerhedskrav, enheden har fastlagt i kontrakten. Det kan ske gennem aftaler om serviceniveau (SLA) og/eller revisionsmekanismer.
  4. Virksomheden bør overveje at anvende disse sikkerhedskrav til eksisterende leverandører som en del af udvælgelsesprocessen for nye direkte leverandører og udbydere, samt ved planlægning, forberedelse, styring og afslutning af indkøb af it-tjenester, it-systemer eller it-produkter.
  5. Virksomheden bør gennemgå procedurer til leverandørstyring og monitorere, gennemgå, evaluere og styre ændringer, der måtte opstå i de direkte leverandørers eller tjenesteudbyderes cybersikkerhedspraksis, med planlagte intervaller, eller i tilfælde af en hændelse, der har påvirket eller kan påvirke cybersikkerheden i enhedens net- og informationssystemer. Observationer fra disse gennemgange, monitoreringer, evalueringer mv. bør dokumenteres.

Sikkerhedskrav til leverandører i NIS2-virksomheder

Virksomheder omfattet af NIS2-direktivet kan i forbindelse med deres risikovurdering inkludere bestemmelser i aftaler (kontrakter) med direkte leverandører eller tjenesteudbydere, som eksempelvis omhandler:

  • Krav om, at leverandøren og det leverede følger relevante sikkerhedskrav, lovkrav, fortrolighedsklausuler, standarder mv.
  • Hvilke færdigheder og eventuelle uddannelser, der kræves af leverandørens personale.
  • Baggrundskontrol af leverandørens personale, hvis de beskæftiger sig med enhedens kritiske aktiver (i henhold til klassificeringen af aktiver og risikovurderingen).
  • Leverandørens forpligtelse til at underrette enheden om alle relevante hændelser, så snart de bliver opmærksomme på hændelsen, og til at bistå enheden med at overholde sine rapporteringsforpligtelser i tilfælde af væsentlige hændelser.
  • At direkte leverandører og tjenesteudbydere, hvis enheden er underlagt tilsyn, samarbejder med enheden om at bistå de sektoransvarlige myndigheder i forbindelse med udførelse af deres opgaver.
  • Virksomhedens ret til revision og/eller ret til at modtage revisionsrapporter fra leverandøren.
  • Aftale om leveringstider på serviceydelser, herunder eventuelle reparationer.
  • Forpligtelse til at håndtere sårbarheder, der udgør en risiko for cybersikkerheden i virksomhedens net- og informationssystemer underleverandører (hvis tilladt) og foranstaltninger for underleverandører.
  • Leverandørens forpligtelser ved aftalens ophør, eksempelvis forpligtelse til at udlevere og slette data.

Dokumentation:

Enheden bør gennemgå procedurer til leverandørstyring og monitorere, gennemgå, evaluere og styre ændringer, der måtte opstå i de direkte leverandørers eller tjenesteudbyderes cybersikkerhedspraksis, med planlagte intervaller eller i tilfælde af en hændelse, der har eller kan påvirke cybersikkerheden i enhedens net- og informationssystemer. Observationer fra disse gennemgange, monitoreringer, evalueringer mv. bør dokumenteres.

kontakt

Har du spørgsmål?

Har du yderligere spørgsmål eller brug for hjælp, kan du kontakte NIS 2.

Kontakt os

Opdateres løbende

Indholdet på denne side opdateres løbende.