Kontrol af cybersikkerhed i fødevarevirksomheder: NIS 2-loven

Fødevarestyrelsen fører tilsyn med nye skærpede cybersikkerhedskrav hos store fødevarevirksomheder, som er omfattet af NIS 2. Bliv klogere på om din fødevarevirksomhed er omfattet af loven, og hvad NIS 2 betyder for din virksomhed.

På siden kan du få overblik over:

  • Om din fødevarevirksomhed er omfattet af NIS 2 
  • Hvilke krav der er til omfattede virksomheder, og hvordan du registrerer din virksomhed 
  • Hvordan du indberetter en hændelse

Hvad er NIS 2?

Net- og Informationssikkerhedsdirektivet – NIS 2 – medvirker til at sikre fødevareforsyningssikkerheden i Danmark. NIS 2 handler om sikring af net- og informationssystemer – altså både hardware, software og digitale tjenester. Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven), som træder i kraft d. 1. juli 2025, implementerer NIS 2-direktivet og stiller nye og skærpede krav til cybersikkerheden i kritiske sektorer, herunder fødevaresektoren.

Er min virksomhed omfattet?  

Fødevarevirksomheder af en vis størrelse er vigtige enheder i henhold til loven og er dermed omfattet af NIS 2.

Fødevarevirksomheder, som er enheder inden for fødevaresektoren, er virksomheder, der er registreret hos Fødevarestyrelsen.

Det gælder din virksomhed, hvis du har aktiviteterne engrosdistribution, produktion og tilvirkning af fødevarer. NIS 2-loven nævner industriel produktion og tilvirkning. For at afgøre om du har en stor industriel fødevarevirksomhed kan du se uddybning nedenfor under 'Kriterier for fødevarevirksomheder der er omfattet grundet størrelse.

Hvis din virksomhed udelukkende er en detailvirksomhed, vil den ikke være omfattet af NIS 2-lovgivningen. Foder- og FKM-virksomheder er ligeledes undtaget.

Fødevarestyrelsen vil på et senere tidspunkt udpege kritiske fødevarevirksomheder for fødevaresektoren under CER-loven, og disse vil blive væsentlige enheder under NIS2.

Virksomheden skal selv vurdere, om den opfylder kriterierne og dermed er omfattet.

Fødevarevirksomheder i henhold til ovenstående definition der opfylder størrelseskravene er omfattet af NIS 2-loven.

Kriterierne for at være omfattet: 

  • Enheden beskæftiger 50 eller flere ansatte 

eller:  

  • Enheden har en årlig omsætning på mere end 10 mio. EUR og har en årlig samlet balance på over 10 mio. EUR. 

Når man skal afgøre en enheds størrelse, er det vigtigt, at alle de forbindelser, en enhed har med andre enheder (direkte eller indirekte), tages i betragtning, da det kan tælle med i opgørelsen af antal ansatte /årsværk, en årlig omsætning og årlig samlet balance på mere end 10 mio EUR. 

Størrelseskriterier baserer sig på en mere generel definition af mellemstore virksomheder. Der kan i den forbindelse henvises til artikel 2 i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj. Den nævnte henstilling fastsætter i artiklerne 3-6 nærmere regler om typer af virksomheder, som tages i betragtning ved beregningen af antal beskæftigede og beløbsstørrelser, om data, der skal anvendes ved beregningen af antal beskæftigede og beløbsstørrelser og referenceperiode, om antal beskæftigede og om fastlæggelse af oplysninger om virksomheden.

Fødevarestyrelsen kan træffe afgørelse om, at fødevarevirksomheder, der ikke lever op til størrelseskravene, alligevel er omfattet af NIS 2-loven. Det gælder:   

Enheder, der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS I-direktivet), jf. dog § 5, stk. 2. 

Øvrige enheder af en type, hvor mindst en af følgende betingelser er opfyldt, jf. dog § 5, stk.:

  • Enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.
  • En forstyrrelse af den tjeneste, som enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.
  • En forstyrrelse af den tjeneste, som enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.
  • Enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark. 

Krav til omfattede virksomheder

Omfattede fødevarevirksomheder (som f.eks. har over 50 ansatte eller en årlig omsætning på mere end 10 mio. EUR) er forpligtigede til at leve op til NIS 2-lovens krav til ”vigtige enheder”. Det indebærer bl.a., at du som virksomhed skal: 

1) Registrere din virksomhed

Virksomheden skal registrere sig på en fælles portal på virk.dk mellem 1. juli og 1. oktober 2025. 

Registrer din virksomhed fra 1. juli

2) Leve op til 10 minimumskrav

Virksomheden skal sikre sig, at den lever op til de 10 minimumskrav, der som minimum omfatter følgende foranstaltninger.

1) Politikker for risikoanalyse og informationssystemsikkerhed. 

2) Håndtering af hændelser. 

3) Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring. 

4) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere. 

5) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder. 

6) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici. 

7) Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse. 

8) Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering. 

9) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver. 

10) Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.

Vi har en hændelse, hvad gør vi?

 

Virksomheder der er omfattet af NIS 2-loven har hændelsesunderretningsforpligtelse, og skal derfor underrette Fødevarestyrelsen og Styrelsen for Samfundssikkerhed – Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse via virk.dk. 

Indsend indberetning

En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.
Underretning om en væsentlig hændelse skal ske på virk.dk. Den nuværende underretningsløsning vil blive opdateret ved NIS2-lovens ikrafttræden.

Rammes en virksomhed af en væsentlig hændelse, skal den underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

  • Uden unødigt ophold og senest inden for 24 timer:

    Underretning af tidlig varsling, som angiver, om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.

  • Inden for 72 timer:

    Hændelsesunderretning, som ajourfører de oplysninger, der er blevet givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.

  • Efter anmodning fra CSIRT:

    En foreløbig rapport om relevante statusopdateringer.

  • Senest en måned efter hændelsen:

    En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af
    trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.

  • Pågår hændelsen fortsat en måned efter underretningen:

    Her forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.
    Når en organisation indberetter en hændelse, sørger den nationale CSIRT (Computer Security Incident Response Team) ifølge lovforslaget for, at de får en tilbagemelding på indberetningen, hvis muligt inden for 24 timer efter modtagelsen af den tidlige varsling.

Læs mere

Hvis en virksomhed er omfattet af NIS 2- loven, er registrering en forpligtelse på linje med lovens øvrige forpligtelser.

Lovens rettigheder og forpligtelser gælder for de omfattede virksomheder fra dens ikrafttræden, uafhængigt af registreringstidspunktet. Registrering har derfor ikke nogen betydning for, om virksomheden kan anses for omfattet af loven eller ej. Dette betyder, at en virksomhed, der er omfattet af NIS 2-loven, uanset om en virksomhed har registreret sig, skal opfylde andre krav af NIS 2-loven bl.a. krav om sikkerhedsforanstaltninger og krav om hændelsesunderretninger.

En virksomhed bliver dermed heller ikke omfattet af loven, hvis den ved en fejl registrerer sig.

 

Det oprindelige NIS-direktiv blev vedtaget i 2016 og var den første fælles EU-lovgivning på cybersikkerhedsområdet. Direktivet blev vedtaget for at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. NIS-direktivet placerer sikkerhedsansvaret hos tjenesteudbyderen, mens NIS2 skærper dette ved at gøre ledelsen direkte ansvarlig for IT-sikkerheden. Ledelsen skal godkende og overvåge tiltag for cybersikkerhed, og ledelsesmedlemmer forventes at opdatere deres viden gennem relevante kurser. 

I udgangspunktet er det sådan, at enheder skal registrere sig senest to uger efter, at enheden bliver omfattet af loven. For digitale enheder er det senest tre måneder efter. I tilfælde af ændringer i disse oplysninger, skal enheden give sin sektoransvarlige myndighed underretning herom inden for de samme tidsfrister. Det vil sige senest efter tre måneder for digitale enheder, og senest efter to uger for alle øvrige enheder 

I NIS 2-loven er der imidlertid indsat en overgangsbestemmelse for registreringstidspunktet. Man skal derfor ikke registrere sig senest to uger efter loven træder i kraft, men derimod senest den 1. oktober 2025. To ugers-reglen og tre måneders-reglen gør sig gældende efter den 1. oktober 2025 for nye registreringer og opdateringer til tidligere registreringer.

I alle typer af fødevareorganisationer er anvendelsen af digitale systemer og data forbundet med forskellige risici. Selvom det ikke er muligt at eliminere alle risici, kan en grundig kortlægning af eksisterende risici hjælpe ledelsen med at træffe informerede beslutninger om, hvordan ressourcerne bedst kan anvendes for at reducere risici til et acceptabelt niveau. 

Fødevarestyrelsen vil i samarbejde med branchen og relevante myndigheder udvikle redskaber til at udføre vurderinger af risiko og sårbarhed med fokus på fødevare- og informationssikkerhed. Disse værktøjer vil indeholde en række scenarier, der belyser trusler mod de digitale systemer og data, der anvendes i fødevaresektoren. De kan anvendes af virksomheder uanset, om de allerede har en metode til vurdering af risiko og sårbarhed, eller hvis de ønsker at etablere en ny struktur for risikovurdering. Værktøjet vil også være nyttigt for organisationer uden forbindelse til fødevaresektoren. 

De fødevarevirksomheder, som er omfattet, skal leve op til kravene for ”vigtige enheder” i loven, da de hører under andre kritiske sektorer jf. lovens Bilag 2. 

Med fødevarevirksomheder menes ethvert offentligt eller privat foretagende, som med eller uden gevinst for øje udfører en hvilken som helst aktivitet, der indgår som et hvilket som helst led i produktionen, tilvirkningen eller distributionen af fødevarer (Fødevareforordningens artikel 3, nr. 2). 

Loven anvender termen enhed. En enhed er en virksomhed, forening, organisation eller offentlig myndighed mv. (juridisk person), som er tildelt et CVR-nummer. Et selskab med et underliggende datterselskab udgør således to separate enheder, forudsat at de har fået tildelt hver deres CVR-nummer.

kontakt

Har du spørgsmål?

Har du yderligere spørgsmål eller brug for hjælp, kan du kontakte nis2@fvst.dk.

Opdateres løbende

Indholdet på denne side opdateres løbende.