Regulation

Store kommuner er omfattet af NIS 2-loven, hvad med de små?

February 17, 2025

NIS 2-Direktivet, Direktiv (EU) 2022/2555, om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, bliver snart til dansk lov.

Den 6. februar 2025 blev NIS 2-loven fremsat i folketinget (L141), og heraf fremgår det, at kommuner under nogle betingelser også bliver omfattet af NIS 2.

Først og fremmest bliver kommuner jf. § 4. stk. 1 omfattet, hvis de beskæftiger mere end 250 personer eller har en årlig omsætning på over 50 mio. EUR.

Det har fået mange i cybersikkerhedsfaget til at glæde sig.

Vi er i branchen, mange der ville sige: Selvfølgelig bør NIS 2 omfatte kommunerne, som er nøgleaktører i at udbyde kritiske ydelser til de danske borgere. Hvis deres organisationer kompromitteres af omfattende cyberhændelser, kan det få væsentlige konsekvenser for borgerne.

Men hvordan er det med de kommuner, som falder uden for kravet, dem med for få ansatte og for lav omsætning? De er også inkluderet under nogle omstændigheder jf. § 4 stk. 2.

Betingelserne i lovforslaget

De mindre kommuner nævnes i § 4 stk. 2:

Kommuner og regioner anses som væsentlige enheder, såfremt de med et kommercielt formål udfører opgaver som udbydere af offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, og opfylder mindst én af følgende betingelser:

  • Enheden beskæftiger mere end 50 personer.
  • Enheden har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR.

Hvordan skal dette forstås? Vi gennemgår det styk-for-styk.

Hvad er offentlige elektroniske kommunikationsnet?

Elektroniske kommunikationsnet generelt defineres i lovens § 3 nr. 20, og er, hurtigt opsummeret, det vi almindeligvis forbinder med disse ord, et netværk baseret på fysisk udstyr, der udveksler elektronmagnetiske signaler, uanset om output er tekst, billede, lyd eller video.

Specifikt offentlige elektroniske kommunikationsnet er dog et begreb taget fra EU’s kodeks for elektronisk kommunikation (Direktiv (EU) 2018/1972), og defineres af kodeksets Artikel 2(8) som:

et elektronisk kommunikationsnet, som udelukkende eller overvejende bruges til udbud af elektroniske kommunikationstjenester, der er tilgængelige for offentligheden, og som danner grundlag for overførsel af information mellem nettermineringspunkter.

Der er således tale om det netværksudstyr og de signaler, der gør det muligt for os at komme på nettet, få telefonsignal, se fjernsyn m.m. Stiller en kommune dette til rådighed for offentligheden med et kommercielt formål, er der altså en mulighed for, at den er omfattet af NIS 2-loven, alternativt, kan den være udbyder af offentligt tilgængelige kommunkationstjenester.

Hvad er offentligt tilgængelige elektroniske kommunikationstjenester?

Dette begreb defineres ikke i loven, men er igen taget fra EU’s kodeks for elektronisk kommunikation Direktiv (EU) 2018/1972 Artikel 2(4):

en tjeneste, som normalt ydes mod betaling via elektroniske kommunikationsnet, og som med undtagelse af tjenester, der består i tilrådighedsstillelse af eller udøvelse af redaktionel kontrol over indhold fremført via elektroniske kommunikationsnet og -tjenester omfatter følgende typer tjenester

  1. »internetadgangstjenester« som defineret i artikel 2, andet afsnit, nr. 2), i forordning (EU) 2015/2120
  2. »interpersonelle kommunikationstjenester«, og
  3. tjenester, der udelukkende eller overvejende består i overføring af signaler, som f.eks. transmissionstjenester, der anvendes til levering af maskine-til-maskine-tjenester og til radio- og tv-spredning

Der er med andre ord tale om de produkter vi køber adgang til, når vi som forbrugere betaler for internetforbindelser, mobilabonnementer, TV-kanaler og så videre. Stiller en kommune sådanne tjenester til rådighed for offentligheden med et kommercielt formål, er der således også en mulighed for, at den er omfattet af NIS 2-loven, hvis den opfylder betingelser til størrelse eller omsætning.

Hvornår er et formål kommercielt?

Nu forstår vi, at det der skal stilles til rådighed før en kommune bliver omfattet af loven er entiteter såsom mobilnet, internetkabler, wifi og lignende netværk eller mobilabonnementer, internetforbindelser og lignende tjenester.

Det er velkendt, at kommuner i mange tilfælde stiller wi-fi til rådighed for offentligheden på biblioteker og deslige. Men hvornår kan vi tale om, at det har et kommercielt formål?

Det har Digitaliseringsstyrelsen med udgangspunkt i Teleloven skrevet om. I forhold til Teleloven er spørgsmålet nemlig, om en enhed kan betegnes som udbyder på Teleområdet. Og i Teleloven, er en udbyder altså defineret ved sit kommercielle formål. Styrelsen forklarer:

Det kommercielle formål foreligger, hvis eksempelvis en virksomhed sælger eller markedsfører et produkt for at opnå en direkte eller indirekte fortjeneste. Det er uden betydning, om aktiviteten reelt medfører en fortjeneste. Stiller et hotel eksempelvis et hotspot op i lobbyen eller stiller internet/telefoni til rådighed på værelserne, uden at der opkræves særskilt betaling herfor, vil hotellet blive anset for udbyder, fordi udbuddet af forbindelsen sker for at gøre hotellet mere attraktivt, og dermed med det formål at opnå en fortjeneste.

Styrelsen forklarer endvidere, at biblioteker, børnehaver, rådhuse og lignende  typisk vil kunne blive undtaget:

Styrelsen har gennem tiden vurderet flere konkrete sager, hvor kommuner vil stille trådløst internet til rådighed i kommunens lokaler. I det omfang der er tale om tilrådighedsstillelse på eksempelvis biblioteket, rådhuset, i børnehaver eller skoler, eller andre institutioner, der fungerer på et ikke-kommercielt grundlag, har styrelsen vurderet, at kommunerne ikke er udbydere på kommercielt grundlag, og derfor ikke omfattet af telelovens udbyderbegreb.

Men offentlige institutioner inkluderes gerne i tilfælde, hvor netværket/tjenesten udbydes i sammenhænge med eksempelvis lokaleudlejning (fx kommunen tjener penge på lejen, og wi-fi er med til at gøre lokalet attraktivt for kunder, hvorfor wi-fi indgår i et kommercielt formål).

Opsummering af situationen

Hvis lovforslaget vedtages som fremsat, vil det groft sagt være sådan, at kommuner med 51-250 ansatte eller omsætning på over 10 mio EUR og under 50 mio EUR kun er omfattet, hvis de stiller interforbindelse, mobilnet m.m. til rådighed for offentligheden, så det samtidig øger værdien af en vare såsom et lejemål, en café i biblioteket, kantinen i en offentlig sportshal.

Denne tilgang er egentlig højst besynderlig. På den ene side, signallerer ministeriet, at det eneste relevante ved en lille kommune i forhold til NIS 2, er kommunens evne til at agere teleudbyder med en specifik geografisk tilstedeværelse (fx på bibliotek og rådhus). Kommunens rolle som sagsbehandler og udbyder af velfærd, der forvaltes gennem internettet (borger.dk) og gennem skolers, bibliotekers, sportsklubbers interne IT-systemer, som skal komme borgeren til gavn, ignoreres i første omgang fuldstændig.

Men på den anden side, hvis kommunen omfattes, rammer hammeren til gengæld hårdt. For så skal de ikke blot sikre de offentligt tilgængelige netværk og tjenester, der gjorde, at de blev omfattet til at begynde med, så gælder omfanget af NIS 2-loven alle de systemer og netværk, som de bruger i organisationen. Som der står i bemærkningerne til lovforslaget:

I tilfælde hvor en enhed anvender flere forskellige typer af net- og informationssystemer, og hvor kun nogle af disse systemer er omfattet af lovens bilag, vil samtlige af de net- og informationssystemer, som enheden anvender til sine operationer, eller til at levere sine tjenester, således blive underlagt direktivets krav.

Man tager således udgangspunkt i et meget snævert grundlag (små kommuner, der agerer kommercielle udbydere) til at ramme med meget brede krav (foranstaltninger på alle systemer, der anvendes i drift og tjenester).

Det vil være interessant at se, om ministeriet fastholder denne tilgang, eller indsnævrer grundlaget yderligere, så de udbudte netværk og tjenester også skal kunne betegnes som væsentlige og vigtige i anden forstand inden kravet træder i kraft.

Ellers kan man nok forvente en heftig tilbagerulning i små kommuner af wi-fi, der gøres tilgængelige i caféer og udlejningslokaler.

Kilder

NIS 2-DirektivetDirektiv (EU) 2022/2555 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen. Tilgængeligt på: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng.

NIS 2-loven (som fremsat)L141 Forslag til Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau. Tilgængeligt på: https://www.ft.dk/samling/20241/lovforslag/l141/index.htm.

EU’s kodeks for elektronisk kommunikationDirektiv (EU) 2018/1972 om oprettelse af en europæisk kodeks for elektronisk kommunikation. Tilgængeligt på: https://eur-lex.europa.eu/legal-content/DA/ALL/?uri=CELEX:32018L1972.

Love og regler på teleområdetDigitaliseringsstyrelsens vejledning om gældende lovgivning. Tilgængeligt på: https://digst.dk/tele/love-og-regler-paa-teleomraadet/#accordion-hvornar-er-man-udbyder.

Get in touch

NIS2 compliance made simple.

Arba streamlines compliance, automates risk management, and keeps you aligned with regulatory mandates, so you can focus on running your business securely.

Book a discovery call

Niklas Rendboe is an information security expert specializing in governance, risk, and compliance. He serves as the Chief Information Security Officer (CISO) at Arba Security and works as a cybersecurity consultant at Trustworks Cyber Security.

Additionally, he is a member of a research group at the Royal Danish Defence College, where he studies Russian military capabilities, and he has served in several advisory roles concerning private actors in security politics.

Niklas earned his MSc in International Security & Law from the University of Southern Denmark in 2019 and holds multiple certifications related to information security and risk management.