NIS2 hurtig-tjek for HR-systemer

Pure HR-SaaS-leverandører er ikke automatisk i NIS2-scope. Det er fakta-specifikt — i nogle tilfælde rammes vendoren som 'managed service provider', i andre er det kun jer som kunde, der er den regulerede entitet. Uanset hvad er leverandørkæde-kravene i Art 21 jeres ansvar, ikke vendorens.

Del 1 — Er JERES organisation i scope?

1. 1

   Har I 50+ ansatte ELLER over 10 mio EUR i årlig omsætning?

   Hvis nej til begge: I er generelt under størrelsestærsklen for NIS2. Hvis ja: gå videre. (Mikro- og små virksomheder er som hovedregel uden for, medmindre I udfører kritiske funktioner.)

   Art 2(1) jf. Kommissionens henvisning til 2003/361/EC.

2. 2

   Er jeres kerneaktivitet i Annex I (høj-kritiske sektorer) eller Annex II (andre kritiske sektorer)?

   Annex I dækker bl.a. energi, transport, bank, finansiel markedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, ICT-service-management (B2B), offentlig forvaltning, rumfart. Annex II dækker bl.a. post, affald, kemikalier, fødevarer, fremstilling (medicoteknik, computere, motorkøretøjer m.fl.), digital service (online markedspladser, søgemaskiner, sociale platforme), forskning. Ren HR-tech står ikke nævnt eksplicit — men kan trækkes ind som 'managed service provider'.

   Annex I + II, Direktiv (EU) 2022/2555.

3. 3

   Driver I 'managed services' eller 'managed security services' for tredjepart?

   Hvis I leverer outsourcet IT-drift, identity management, SOC-tjenester eller lignende administrerede tjenester til andre virksomheder, kan I være i scope under Annex I 'ICT service management (B2B)' — også selv om I selv kalder det HR-tech. Faktum slår etiket.

4. 4

   Resultat: Essential, Important eller Out-of-scope?

   Annex I + stor (250+ FTE eller >50 mio EUR omsætning / >43 mio EUR balance) = ESSENTIAL (proaktivt tilsyn). Annex I + mellem (50+ FTE eller >10 mio EUR) = IMPORTANT. Annex II + mellem eller stor = IMPORTANT (reaktivt tilsyn). Konkrete tærskler kan justeres af myndigheden for kritiske entiteter.

   Art 3 + Bilag I/II.

Del 2 — Hvad skal I kræve fra HR-SaaS-leverandøren?

Art 21(2)(d) og 21(3) gør det til JERES ansvar at vurdere og styre cyber-sikkerhedsrisici i forsyningskæden — inkl. den samlede kvalitet og resiliens af de produkter og tjenester, I køber. Disse 6 punkter er minimum for en HR-SaaS-vendor.

1. Har I et opdateret leverandørregister, der inkluderer HR-SaaS-vendoren?

   Art 21(2)(d) kræver, at I styrer sikkerhedsrisici i forsyningskæden. Det forudsætter et register, der mindst dækker leverandørens identitet, kontraktbasis, dataadgang, hosting-region og kontaktperson for sikkerhed.

2. Har I gennemført sikkerhedsdue diligence på HR-SaaS-vendoren?

   Minimum: udfyldt sikkerhedsspørgeskema (jeres eget eller branchestandard), kontrol af certificeringer (ISO 27001, SOC 2, ISAE 3000/3402), gennemgang af deres seneste pentest- eller sårbarheds-rapport, og bekræftelse af vendor-leverandørkæden (sub-processors).

   Art 21(2)(d), Art 21(3).

3. Indeholder kontrakten sikkerhedsklausuler, der spejler NIS2-kravene?

   Hændelsesnotifikation inden for definerede tidsfrister (typisk 24/72 timer), ret til audit eller tredjepartsrapporter, krav om sikker udvikling, sletningsforpligtelser ved opsigelse, og forpligtelse til at videregive ændringer i sub-processors.

4. Har vendoren defineret en hændelses-SLA, der lader jer overholde JERES tidsfrist?

   Essential og important entiteter har 24-timers tidlig advarsel, 72-timers hændelsesnotifikation og 1-måneds slutrapport over for myndighed. Hvis vendor først underretter jer efter 48 timer, kommer I bagud — sæt kontraktlig 12-24 timers vendor-til-jer-SLA.

   Art 23 notifikationsforpligtelser.

5. Har I dokumenteret vendor-redundans og udfasningsplan?

   Art 21(2)(c) kræver business continuity og crisis management. For et HR-system betyder det: kan I køre lønudbetaling og kandidatadgang videre, hvis vendoren er ude i 72 timer? Hvad er jeres exit-plan, hvis vendor-sikkerheden skuffer?

6. Er medarbejdere i HR + IT trænet i at genkende og rapportere hændelser i HR-systemet?

   Art 21(2)(g) kræver cyber-hygiejne-praksis og uddannelse. Personalet, der bruger HR-platformen dagligt, er ofte den første indikator på phishing, kontoovertagelse eller data-eksfiltration via HR-data.

Sanktioner — kort version

• Essential entiteter (NIS2): bøde op til mindst 10 mio EUR eller 2 % af samlet global årsomsætning (det højeste).
• Important entiteter (NIS2): bøde op til mindst 7 mio EUR eller 1,4 % (det højeste).
• Hertil kommer personligt ledelsesansvar for essential entiteter (Art 20 + Art 32).

Hvis NIS2 OG EU AI Act gælder samtidigt

Mange HR-tech deployere rammes af begge regimer — NIS2 fordi virksomheden ligger i en kritisk sektor, EU AI Act fordi HR-AI er Annex III højrisiko. Krav-overlapnings­zonen er primært: leverandørstyring, logning, hændelsesrapportering, oversight og uddannelse. Lav ét fælles kontrol-katalog, hvor hver kontrol-linje er mappet til både NIS2-artikel og AI Act-artikel. Det halverer arbejdet og giver én sandhed for revisor.

Bemærk: Hurtig-tjekket er en praktisk screening, ikke en formel scope-afgørelse. Den endelige vurdering af, om en konkret organisation er essential, important eller out-of-scope, ligger hos Center for Cybersikkerhed og den relevante sektoransvarlige myndighed. Vi leverer software og dokumentation til brug i jeres egen proces — ikke juridisk rådgivning.