Lov- og myndighedskrav

Sundhedsdatastyrelsen er sektoransvarlig myndighed for implementering af EU’s lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau i sundhedssektoren – NIS2.

Det betyder, at vi vejleder og fører tilsyn med, om de omfattede enheder lever op til lovens krav om sikkerhedsforanstaltninger, hændelseshåndtering og registrering.

Hvad er NIS2?

Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau trådte i kraft d. 1. juli 2025 og udgør den danske implementering af EU’s NIS2-direktiv. Direktivet har særligt fokus på skærpede krav til cybersikkerhed og underretning af hændelser hos enheder på tværs af hele EU.

Loven medfører en række forpligtigelser for omfattede enheder, særligt:

  • Pligt til at registrere sig
  • Pligt til at indrapportere hændelser
  • Pligt til at indføre foranstaltninger til beskyttelse af enhedens net og informationssystemer.

Se Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

Vejledninger til NIS2

Styrelsen for Samfundssikkerhed har udarbejdet en række vejledninger til enheder omfattet af NIS2 på. På deres hjemmeside kan du finde vejledninger om anvendelsesområdet, ledelsens rolle og opgaver, foranstaltninger og hændelsesunderretning.

Gå til vejledninger på Styrelsen for Samfundssikkerheds hjemmeside

1. Omfattet sektor

  1. Enheden skal levere sine tjenester inden for en af de omfattede sektorer
    1. Alle de omfattede sektorer fremgår af NIS-lovens bilag 1 og 2.

  2. Sundhedsdatastyrelsen er sektoransvarlig myndighed for følgende områder:
    1. Sundhedstjenesteydere
    2. EU-referencelaboratorier
    3. Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler
    4. Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater
    5. Enheder, som fremstiller medicinsk udstyr, som den anser for at være kritisk i en folkesundhedsmæssig krisesituation
    6. Enheder, der fremstiller medicinsk udstyr, og enheder, der fremstiller medicinsk udstyr til in vitro-diagnostik 

2. Størrelseskriteriet

  1. Enheden skal overskride kriterierne for at være enten en stor eller mellemstor virksomhed
    1. Enheden beskæftiger 50 ansatte eller derover
    2. Enheden har både en årlig omsætning og årlig samlet balance på 10 mio. euro

3. Særlig kritisk ud fra et samfundsperspektiv

  1. Enheden kan omfattes uden at overskride størrelseskriterierne, hvis den vurderes som særlig kritisk ud fra et samfundsperspektiv eller er eneleverandør af særligt vigtige tjeneste.

Hvis en enhed kan svare ja til de to første punkter, så er den i udgangspunktet omfattet af loven. En enhed behøver altså ikke leve op til sidste punkt for at være omfattet.

I tvivl?

Hvis I som organisation er usikre på, om I er omfattet, kan I få hjælp til at vurdere det ved hjælp af et værktøj på sikkerdigital.dk:

Tjek, om din organisation er omfattet af NIS2

Vejledning til kriterier

Styrelsen for Samfundssikkerhed har også udarbejdet en vejledning, som uddyber de generelle kriterier:

Se Styrelsen for Samfundssikkerheds vejledning om anvendelsesområdet

Hvis jeres organisation er omfattet af NIS2-loven, skal I registrere jer senest 1. oktober 2025 via en blanket på Virk med MitID.

Gå til registrering på virk.dk

Når organisationen er registreret, modtager I en kvittering i Digital Post.

Som omfattet enhed er I forpligtiget til at underrette den sektoransvarlige myndighed og Center for Cybersikkerheds Computer Incident Response Team, CSIRT, om væsentlige hændelser, som understøtter leveringen af de tjenester, der er nævnt i lovens bilag.

Underret om en hændelse på virk.dk

Når du underretter om en hændelse via Virk, vil underretningen blive sendt til både Sundhedsdatastyrelsen og CSIRT.

Læs om frister for underretning og kriterier for en væsentlig hændelse i Styrelsen for Samfundssikkerheds vejledning 

Kontakt

Spørgsmål om NIS