Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) § 3

Den konsoliderede version af denne lov er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 434 af 6. maj 2025

§ 3

I denne lov forstås ved følgende:

  • 1) Centralt kontaktpunkt: Den myndighed, der udøver forbindelsesfunktionen for at sikre grænseoverskridende samarbejde mellem de danske myndigheder, myndigheder i andre medlemsstater i Den Europæiske Union og Den Europæiske Unions institutioner og for at sikre tværsektorielt samarbejde mellem de nationale kompetente myndigheder.

  • 2) Cloudcomputingtjeneste: En digital tjeneste, som muliggør on demand-administration og giver bred fjernadgang til en skalerbar og fleksibel pulje af delbare computerressourcer, herunder hvor disse ressourcer er fordelt mellem flere lokaliteter.

  • 3) Cybersikkerhed: De aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.

  • 4) Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.

  • 5) Datacentertjeneste: En tjeneste, der omfatter strukturer eller grupper af strukturer, som er beregnet til central opbevaring, sammenkobling og drift af it- og netværksudstyr, der leverer datalagrings-, databehandlings- og datatransporttjenester, samt alle faciliteter og infrastrukturer til energidistribution og miljøkontrol.

  • 6) Digital tjeneste: Enhver tjeneste i informationssamfundet, dvs. enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager.

  • 7) DNS-tjenesteudbyder: En enhed, der leverer

    • a) offentligt tilgængelige rekursive domænenavnsoversættelsestjenester til internetslutbrugere eller

    • b) autoritative domænenavnsoversættelsestjenester til tredjepartsbrug, med undtagelse af rodnavneservere.

  • 8) Domænenavnesystem (DNS): Et hierarkisk distribueret navngivningssystem, der gør det muligt at identificere internettjenester og -ressourcer, således at slutbrugerudstyr kan benytte internetrouting- og konnektivitetstjenester til at nå disse tjenester og ressourcer.

  • 9) Enhed: En fysisk eller juridisk person, der er oprettet og anerkendt som sådan i henhold til den nationale ret på det sted, hvor den er etableret, og som i eget navn kan udøve rettigheder og være underlagt forpligtelser.

  • 10) Enhed, der leverer domænenavnsregistreringstjenester: En registrator eller en agent, der handler på vegne af registratorer, såsom en udbyder eller videresælger af privatlivs- eller proxyregistreringstjenester.

  • 11) Forskningsorganisation: En enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål. Dette indbefatter ikke uddannelsesinstitutioner.

  • 12) Hændelse: En begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

  • 13) Håndtering af hændelser: Enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

  • 14) Ikt-proces: Aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et ikt-produkt eller en ikt-tjeneste.

  • 15) Ikt-produkt: Et element eller en gruppe af elementer i net- og informationssystemer.

  • 16) Ikt-tjeneste: En tjeneste, der helt eller hovedsagelig består af overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer.

  • 17) Indholdsleveringsnetværk: Et net af geografisk distribuerede servere med det formål at sikre høj tilgængelighed af, adgang til eller hurtig levering af digitalt indhold og digitale tjenester til internetbrugere på vegne af indholds- og tjenesteudbydere.

  • 18) Kvalificeret tillidstjeneste: En tillidstjeneste, der opfylder de krav, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF.

  • 19) Kvalificeret tillidstjenesteudbyder: En tillidstjenesteudbyder, der udbyder en eller flere kvalificerede tillidstjenester og har fået tildelt status som kvalificeret tillidstjenesteudbyder af tilsynsorganet i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF.

  • 20) Ledelsesorganet:

    • a) For virksomheder omfattet af selskabsloven er ledelsesorganet

    • i) bestyrelsen i selskaber, der har en direktion og en bestyrelse,

    • ii) direktionen i selskaber, der alene har en direktion, og

    • iii) direktionen i selskaber, der både har en direktion og et tilsynsråd.

    • b) For virksomheder omfattet af lov om visse erhvervsdrivende virksomheder er ledelsesorganet

    • i) bestyrelsen i selskaber, der har en direktion og en bestyrelse,

    • ii) direktionen i selskaber, der alene har en direktion, og

    • iii) for de selskaber, der hverken har en bestyrelse eller en direktion, det ledelsesorgan, der har en kompetence, der svarer til den almindelige opfattelse af den kompetence, der tilkommer en bestyrelse eller en direktion.

    • c) For offentlige myndigheder er ledelsesorganet den øverste administrative ledelse i myndigheden.

  • 21) Net- og informationssystem:

    • a) Et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres.

    • b) Enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.

    • c) Digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

  • 22) Nærvedhændelse: En begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke indtraf.

  • 23) Onlinemarkedsplads: En tjenesteydelse, der gør brug af software, herunder et websted, en del af et websted eller en applikation, der drives af eller på vegne af den erhvervsdrivende, og som giver forbrugere mulighed for at indgå fjernsalgsaftaler med andre erhvervsdrivende eller forbrugere.

  • 24) Onlinesøgemaskine: En digital tjeneste, som giver brugerne mulighed for at indtaste forespørgsler for at foretage søgninger på principielt alle websteder eller alle websteder på et bestemt sprog på grundlag af en forespørgsel om et hvilket som helst emne ved hjælp af et søgeord, en stemmesøgning, en sætning eller andet input, og som fremviser resultater i et hvilket som helst format, hvor der kan findes oplysninger om det ønskede indhold.

  • 25) Platform for sociale netværkstjenester: En platform, der sætter slutbrugere i stand til at komme i forbindelse med hinanden på tværs af forskellige anordninger, navnlig via chats, opslag, videoer og anbefalinger.

  • 26) Repræsentant: En fysisk eller juridisk person, der er etableret i Den Europæiske Union, som udtrykkeligt er udpeget til at handle på vegne af en DNS-tjenesteudbyder, en topdomænenavneadministrator, en enhed, der leverer domænenavnsregistreringstjenester, eller en udbyder af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner eller af platforme for sociale netværkstjenester, som ikke er etableret i Den Europæiske Union, og som kan kontaktes af en kompetent myndighed eller en Computer Incident Response Team (CSIRT) på enhedens sted, for så vidt angår denne enheds forpligtelser i henhold til NIS 2-direktivet.

  • 27) Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse, som kommer til udtryk som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

  • 28) Sikkerhed i net- og informationssystemer: Net- og informationssystemers evne til på et givent sikkerhedsniveau at modstå enhver begivenhed, der kan være til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

  • 29) Sårbarhed: En svaghed, modtagelighed eller fejl ved ikt-produkter eller -tjenester, som kan udnyttes af en cybertrussel.

  • 30) Tillidstjeneste: En elektronisk tjeneste, der normalt udføres mod betaling, og som består af

    • a) generering, kontrol og validering af elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler eller elektroniske registrerede leveringstjenester og certifikater relateret til tjenester,

    • b) generering, kontrol og validering af certifikater for webstedsautentifikation eller

    • c) bevaring af elektroniske signaturer, segl eller certifikater relateret til disse tjenester.

  • 31) Tillidstjenesteudbyder: En fysisk eller juridisk person, der udbyder en eller flere tillidstjenester, enten som en kvalificeret eller ikkekvalificeret tillidstjenesteudbyder.

  • 32) Topdomænenavneadministrator: En enhed, der har fået uddelegeret et specifikt topdomæne, og som er ansvarlig for at administrere topdomænet, herunder registrering af domænenavne under topdomænet og den tekniske drift af topdomænet, hvilket inkluderer driften af dets navneservere, vedligeholdelsen af dets databaser og distributionen af topdomænezonefiler til navneservere, uanset om nogen af disse operationer udføres af enheden selv eller outsources, men ikke situationer, hvor topdomænenavne kun anvendes af en administrator til eget brug.

  • 33) Udbyder af administrerede sikkerhedstjenester: En udbyder af administrerede tjenester, der udfører eller yder assistance til aktiviteter vedrørende styring af cybersikkerhedsrisici.

  • 34) Udbyder af administrerede tjenester: En enhed, der leverer tjenester i forbindelse med installation, administration, drift eller vedligeholdelse af ikt-produkter, -net, -infrastruktur, -applikationer eller andre net- og informationssystemer via assistance eller aktiv administration, der udføres enten i kundernes lokaler eller på afstand.

  • 35) Væsentlig cybertrussel: En cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester ved at forårsage betydelig fysisk eller ikkefysisk skade.