NIS2-beredskab for danske virksomheder

Hvad NIS2 faktisk kræver

NIS2-direktivet (EU 2022/2555) erstatter det oprindelige NIS-direktiv og udvider markant omfanget af cybersikkerhedsforpligtelser på tværs af EU. Danmark implementerede direktivet den 1. juli 2025 via Cybersikkerhedsloven (Lov nr. 434 af 6. maj 2025). Kernekravene er fastsat på EU-niveau; sektortilsyn varetages af danske myndigheder, herunder Energistyrelsen, Finanstilsynet og Sundhedsdatastyrelsen.

Hvem det gælder

NIS2 gælder for "væsentlige" og "vigtige" enheder på tværs af specifikke sektorer. Sektorerne inkluderer energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, forvaltning af IKT-tjenester (B2B), offentlig forvaltning og rumfart. Det dækker også post- og kurertjenester, affaldshåndtering, kemikalier, fødevarer, fremstilling, digitale udbydere og forskning.

Størrelse har betydning: generelt falder mellemstore virksomheder (50+ ansatte eller 10M+ EUR omsætning) og store virksomheder i disse sektorer inden for omfanget. Nogle enheder er omfattet uanset størrelse, hvis de opfylder visse kriterier.

Kernekrav

NIS2 kræver at omfattede enheder træffer passende og proportionale tekniske, operationelle og organisatoriske foranstaltninger til at styre cybersikkerhedsrisici. Specifikt:

• Risikostyring: Politikker for risikoanalyse og informationssystemsikkerhed
• Hændelseshåndtering: Procedurer for at opdage, reagere på og rapportere hændelser
• Forretningskontinuitet: Backup-styring, katastrofegenopretning og krisestyring
• Forsyningskædesikkerhed: Sikkerhedsforanstaltninger for leverandør- og tjenesteudbyderforbindelser
• Sikkerhed i net- og informationssystemer: Sikker anskaffelse, udvikling og vedligeholdelse af net- og informationssystemer
• Sårbarhedsstyring: Håndtering og offentliggørelse af sårbarheder
• Cyberhygiejne og træning: Grundlæggende cyberhygiejne og sikkerhedsbevidsthed
• Kryptografi og kryptering: Politikker og procedurer for passende brug
• Personalesikkerhed: Adgangsstyring og aktivstyring

Ledelsesansvar

NIS2 placerer eksplicit ansvar hos ledelsesorganer. Ledelsen skal godkende cybersikkerhedsrisikostyringsforanstaltninger, overvåge deres implementering og kan holdes ansvarlig for overtrædelser. De skal også gennemgå cybersikkerhedstræning. Det er ikke noget der fuldt ud kan delegeres til IT.

Hændelsesrapportering

Væsentlige hændelser skal rapporteres til den relevante myndighed. Tidslinjen er stram:

• Tidlig advarsel: Inden for 24 timer efter at være blevet opmærksom på en væsentlig hændelse
• Hændelsesnotifikation: Inden for 72 timer med en indledende vurdering
• Slutrapport: Inden for én måned, inklusive årsagsanalyse

Sanktioner

Væsentlige enheder kan pålægges bøder på op til 10M EUR eller 2 % af global årlig omsætning, det højeste gælder. Vigtige enheder kan pålægges bøder på op til 7M EUR eller 1,4 % af global årlig omsætning, det højeste gælder. Begge tærskler er det maksimum myndighederne kan pålægge; den faktiske bøde afhænger af overtrædelsen. Ledelsen kan også stå over for personlige konsekvenser.

Dansk kontekst

Danmark har implementeret NIS2 gennem NIS 2-loven (LOV nr 434 af 06/05/2025), i kraft fra 1. juli 2025 med registreringsfrist 1. oktober 2025 for omfattede virksomheder. Styrelsen for Samfundssikkerhed (SAMSIK) er det nationale kontaktpunkt og koordinerer med sektormyndigheder (Energistyrelsen, Finanstilsynet, Sundhedsdatastyrelsen og andre), der fører tilsyn med omfattede virksomheder. Er I i scope, er første skridt at vide, hvilken myndighed der fører tilsyn med jeres sektor.

For mange danske virksomheder vil kundeassurance eller ISO 27001-beredskab stadig være den mere umiddelbare driftsprioritet. NIS2 betyder mest når din virksomhed tydeligt falder inden for en dækket sektor og opfylder størrelsestærsklerne, eller når dine kunder eller partnere kræver evidens for NIS2-overholdelse som del af deres egne forsyningskædeforpligtelser.

Sådan starter støtten typisk

1. En kort samtale for at forstå virksomheden, udløseren, og hvorfor NIS2 er på bordet nu.
2. Et fokuseret blik på anvendelighed, hast og hvad der kræver opmærksomhed først.
3. En praktisk anbefaling om hvorvidt næste skridt er intern handling, en Baseline-vurdering eller en mere fokuseret beredskabsindsats.

Hvornår denne side er mest nyttig

Denne side er mest nyttig for danske virksomheder der har en konkret grund til at tro NIS2 kan gælde, og ønsker en jordnær første beslutning frem for generisk politiksnak. Er du usikker på om NIS2 gælder for din virksomhed, er det spørgsmål alene værd en 30 minutters samtale.