Forsvars-, Samfundssikkerheds- og Beredskabsudvalget 2024-25
L 141
Offentligt
3002743_0001.png
Dato:
8. april 2025
Sagsnr.: 2025 - 406
Akt-id.: 2257
Besvarelse af spørgsmål nr. 10 fra Folketingets Forsvars-, Sam-
fundssikkerheds- og Beredskabsudvalg vedrørende forslag til
lov om foranstaltninger til sikring af et højt cybersikkerhedsni-
veau (L 141)
Hermed sendes besvarelse af spørgsmål nr. 10, som Folketingets
Forsvars-, Samfundssikkerheds- og Beredskabsudvalg har stillet til
ministeren for samfundssikkerhed og beredskab den 4. april 2025.
Spørgsmålet er stillet efter ønske fra Alexander Ryle (LA).
Torsten Schack Pedersen
Side 1/4
 L 141 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om ministeren vil redegøre for uoverensstemmelsen mellem ministeriets definition af størrelseskravet i NIS 2-loven og EU-Kommissionens definition og bekræfte, at der med lovforslaget ikke lægges op til en overimplementering af NIS 2-direktivet
Spørgsmål nr. 10 vedrørende forslag til lov om foranstaltninger til sik-
ring af et højt cybersikkerhedsniveau (L 141) fra Folketingets For-
svars-, Samfundssikkerheds- og Beredskabsudvalg:
”I ministeriets handout om størrelseskravet i NIS 2-loven
(bilag 3 til L 141) fremgår det, at en mellemstor virksom-
hed beskæftiger mellem 50 og 250 ansatte ELLER har en
årlig balance mellem 10 mio. euro og 50 mio. euro OG har
en årlig samlet balance mellem 10 mio. euro og 43 mio.
euro. Dette står i direkte kontrast til EU-Kommissionen
vejledning (side 11) fra 2015, hvoraf det fremgår, at en
mellemstor virksomhed beskæftiger mellem 50 og 250 an-
satte OG har en årlig balance mellem 10 mio. euro og 50
mio. euro ELLER har en årlig samlet balance mellem 10
mio. euro og 43 mio. euro. Ministeren bedes redegøre for
uoverensstemmelsen mellem ministeriets definition og
EU-Kommissionens definition og bekræfte, at der med
lovforslaget ikke lægges op til en overimplementering af
NIS 2-direktivet.”
Svar:
1.
Det fremgår af artikel 2, stk. 1, i NIS 2-direktivet, at direktivet finder
anvendelse på offentlige eller private enheder af den type, der er om-
handlet i bilag I eller II, som udgør mellemstore virksomheder i hen-
hold til artikel 2 i bilaget til henstilling 2003/361/EF, eller overskrider
tærsklerne for mellemstore virksomheder fastsat i nævnte artikels
stk. 1, og som leverer deres tjenester eller udfører deres aktiviteter
inden for Unionen.
Det fremgår i forlængelse heraf af pkt. 3.1.3 i forslag til lov om foran-
staltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)
(L 141), at det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at loven – i overensstemmelse med NIS 2-direktivet – som
udgangspunkt kun bør omfatte enheder af en vis størrelse, således
at enheder af en størrelse svarende til mikrovirksomheder og små
virksomheder som udgangspunkt ikke bør omfattes at lovforslagets
anvendelsesområde.
Side 2/4
 L 141 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om ministeren vil redegøre for uoverensstemmelsen mellem ministeriets definition af størrelseskravet i NIS 2-loven og EU-Kommissionens definition og bekræfte, at der med lovforslaget ikke lægges op til en overimplementering af NIS 2-direktivet
3002743_0003.png
For så vidt angår definitionen af en mellemstor virksomhed fremgår
det af bilaget til henstilling 2003/361/EF af 6. maj 2004, at kategorien
mikrovirksomheder, små og mellemstore virksomheder (SMV’er) om-
fatter virksomheder, der beskæftiger under 250 personer, og som har
en årlig omsætning på ikke over 50 mio. EUR eller en årlig samlet
balance på ikke over 43 mio. EUR.
Det fremgår endvidere af henstillingen, at inden for kategorien for
SMV’er defineres små virksomheder som virksomheder, der beskæf-
tiger under 50 personer, og som har en årlig omsætning eller en sam-
let årlig balance på ikke over 10 mio. EUR.
For at være omfattet af kategorien ’SMV’er’ skal man således ifølge
henstillingen opfylde følgende to
kumulative
betingelser
1. Virksomheden skal beskæftige under 250 personer.
2. Virksomheden skal have en årlig omsætning på under 50 mio.
EUR eller en årlig samlet balance på under 43 mio. EUR.
For at være omfattet af kategorien af ‘små virksomheder’ skal man
ifølge henstilling opfylde følgende to
kumulative
betingelser:
1. Virksomheden skal beskæftige under 50 personer.
2. Virksomheden skal have en årlig omsætning på ikke over 10
mio. EUR eller en årlig samlet balance på ikke over 10 mio.
EUR
2.
Henstillingen definerer ikke direkte henholdsvis mellemstore virk-
somheder eller virksomheder, som overskrider tærsklerne for mel-
lemstore virksomheder (store virksomheder), som det fremgår af NIS
2-direktivets artikel 2, stk. 1, men definitionerne heraf kan udledes af
de øvrige definitioner i henstillingen.
Definitionerne i henstilling 2003/361/EF beskriver således
de øvre
tærskler
for at være henholdsvis ’SMV’er’ og ’små virksomheder’,
hvor
to kumulative betingelser
skal være opfyldt. For at være en mel-
lemstor virksomhed skal en virksomhed falde uden for definitionen af
’små virksomheder’. Det betyder konkret, at virksomheden skal over-
skride mindst én af de to kumulative betingelser for at være omfattet
af definitionen ’små virksomheder’. Betingelserne for at være en mel-
lemstor virksomhed kan således opstilles på følgende måde, hvoraf
virksomheden skal opfylde
mindst én
af betingelserne:
Side 3/4
 L 141 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om ministeren vil redegøre for uoverensstemmelsen mellem ministeriets definition af størrelseskravet i NIS 2-loven og EU-Kommissionens definition og bekræfte, at der med lovforslaget ikke lægges op til en overimplementering af NIS 2-direktivet
3002743_0004.png
1. Virksomheden skal beskæftige 50 personer eller derover.
2. Virksomheden skal have en årlig omsætning på over 10 mio.
EUR og en årlig samlet balance på over 10 mio. EUR.
For at være en stor virksomhed skal virksomheden på samme vis
overskride tærsklerne for at udgøre SMV’er. Da de to betingelser for
at være en SMV’er i henstillingen er kumulative, skal en virksomhed
opfylde
mindst én
af følgende betingelser for at være en stor virk-
somhed:
1. Virksomheden skal beskæftige 250 personer eller derover.
2. Virksomheden skal have en årlig omsætning på over 50 mio.
EUR og en årlig samlet balance på over 43 mio. EUR.
3.
Ministeriet for Samfundssikkerhed og Beredskab er bekendt med
EU-Kommissionens brugervejledning til definitionerne af SMV’er,
hvori der er opstillet en definition af mellemstore virksomheder.
Det skal i den forbindelse bemærkes, at EU-Kommissionens bruger-
vejledning definerer den
øvre grænse
for at være mellemstor virk-
somhed, mens definitionen i lovforslaget har til formål at definere den
nedre grænse.
Baggrunden for, at Ministeriet for Samfundssikkerhed
og Beredskab definerer den nedre grænse i lovforslaget er, at den
nedre grænse vil være afgørende for, hvorvidt en virksomhed falder
inden for lovforslagets anvendelsesområde.
4.
Ministeriet for Samfundssikkerhed og Beredskab kan afslutnings-
vist bekræfte, at der med den foreslåede definition af størrelseskra-
vet ikke lægges op til en overimplementering af NIS 2-direktivet.
Side 4/4