NIS2 eller ISO 27001? De fleste virksomheder skal besvare begge spørgsmål, ikke vælge ét.
NIS2 er en juridisk forpligtelse for virksomheder i specifikke sektorer. ISO 27001 er en frivillig certificering som enterprise-kunder i stigende grad kræver. De overlapper betydeligt, men de er ikke det samme. Her er hvordan du tænker over det.
Den korte version.
NIS2 er regulering. ISO 27001 er certificering.
NIS2 er et juridisk krav under EU-direktiv 2022/2555 (implementeret i dansk lov, gældende fra 1. juli 2025). Det gælder specifikke sektorer og virksomhedsstørrelser. ISO 27001 er en frivillig international standard som enhver virksomhed kan forfølge. Enterprise-kunder og indkøbsafdelinger kræver det ofte.
Hvis NIS2 gælder for jer, skal I overholde det uanset ISO 27001-status.
At have ISO 27001 betyder ikke automatisk NIS2-overholdelse. NIS2 har specifikke krav omkring hændelsesrapportering, ledelsesansvar, leverandørkædesikkerhed og registrering som ISO 27001 ikke dækker.
Hvis jeres kunder kræver ISO 27001, er NIS2-overholdelse alene ikke nok.
NIS2-overholdelse producerer ikke et ISO 27001-certifikat. Hvis jeres indkøbspipeline kræver certificering, har I brug for certificeringsprocessen uanset NIS2-status.
I praksis er overlappet ca. 60-70%.
Begge kræver risikovurdering, adgangskontrol, hændelsesstyring, forretningskontinuitet og leverandørstyring. Bygger I det ene godt, er den inkrementelle indsats for det andet betydeligt reduceret. Nøglen er rækkefølge: start med det der har den hårdeste deadline.
I har sandsynligvis brug for NIS2 hvis:
- I opererer i en sektor dækket af NIS2 Bilag I eller II (energi, transport, sundhed, digital infrastruktur, ICT-tjenestestyring og andre)
- I opfylder størrelsesgrænsen (50+ ansatte eller 10M+ EUR omsætning, selvom nogle sektorer ingen grænse har)
- I leverer tjenester til NIS2-dækkede enheder og de flyder forpligtelser til deres leverandørkæde
- Den danske kompetente myndighed har klassificeret jer som en væsentlig eller vigtig enhed
I har sandsynligvis brug for ISO 27001 hvis:
- Enterprise-kunder kræver det som betingelse for at handle (i stigende grad almindeligt for B2B SaaS)
- I bevæger jer ind på regulerede markeder hvor certificering giver et tillidssignal
- Jeres konkurrenter er certificerede og I taber aftaler på sikkerhedssammenligningen
- I ønsker et struktureret framework til at bygge jeres sikkerhedsprogram på, uanset regulatorisk pres
Mange danske SaaS-virksomheder har brug for begge.
Sælger I B2B SaaS til enterprise-kunder OG opererer i en NIS2-dækket sektor (eller leverer ICT-tjenester til enheder der gør), har I sandsynligvis brug for begge. Den smarte tilgang: byg ét program der tilfredsstiller begge, ikke to parallelle indsatser. Start med det der har den hårdeste deadline, udvid derefter til det andet.
Én vurdering dækker begge.
Readiness-vurderingen (25-35K DKK, 5-10 hverdage) mapper jeres nuværende postur mod både NIS2 og ISO 27001. I får ét samlet gap-register, et klart billede af overlappet og en sekventeret roadmap der undgår dobbeltarbejde. Har I kun brug for den ene, fortæller vurderingen jer det.
Start med den gratis NIS2 scope-tjekliste.
En hurtig selvvurdering for at finde ud af om NIS2 gælder for jeres virksomhed, inden I taler med nogen.
Åbn NIS2 scope-tjeklistenIkke sikker på hvad der gælder for jeres virksomhed?
Det er præcis hvad afklaringssamtalen er til. Tredive minutter, ingen forpligtelse.
Svarer typisk inden for 24 timer