EU's NIS2-direktiv har ændret spillereglerne for cybersikkerhed i Danmark. Hvor det oprindelige NIS-direktiv primært berørte store aktører inden for kritisk infrastruktur, udvider NIS2 omfanget markant. Mange mellemstore virksomheder, der aldrig tidligere har skullet forholde sig til EU-regulering af cybersikkerhed, er nu omfattet af skærpede krav. I denne artikel gennemgår vi, hvad NIS2-direktivet indebærer, hvem der er berørt, hvilke sanktioner der er på spil, og hvilke konkrete skridt din virksomhed bør tage for at opnå compliance.
Hvad er NIS2-direktivet?
NIS2 (Network and Information Security Directive 2) er EU's opdaterede direktiv for net- og informationssikkerhed. Det erstatter det oprindelige NIS-direktiv fra 2016 og har til formål at hæve cybersikkerhedsniveauet på tværs af alle EU-medlemslande. Direktivet blev vedtaget i januar 2023 og skulle implementeres i national lovgivning inden oktober 2024. I Danmark er direktivet blevet omsat til en række sektorspecifikke love, der pålægger virksomheder inden for de berørte sektorer nye og strengere sikkerhedskrav.
Baggrunden for NIS2 er den hastigt voksende trussel fra cyberangreb. Ransomware, phishing og supply chain-angreb rammer ikke længere kun store koncerner — de rammer virksomheder i alle størrelser og brancher. EU har derfor besluttet at stramme kravene markant og samtidig gøre virksomhedernes ledelse personligt ansvarlig for, at sikkerhedskravene overholdes.
Hvem er omfattet af NIS2?
NIS2 opdeler berørte virksomheder i to kategorier: væsentlige enheder og vigtige enheder. Væsentlige enheder omfatter sektorer som energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning og rumfart. Vigtige enheder dækker blandt andet post- og kurertjenester, affaldshåndtering, fødevareproduktion, kemisk industri, fremstillingsindustri og digitale udbydere som cloud-tjenester og søgemaskiner.
En afgørende ændring i forhold til det tidligere direktiv er størrelseskravet. Virksomheder med mere end 50 ansatte eller en årlig omsætning på over 10 millioner euro er automatisk omfattet, hvis de opererer inden for de nævnte sektorer. Men selv mindre virksomheder kan falde ind under direktivet, hvis de leverer kritiske tjenester — for eksempel som underleverandør til en væsentlig enhed eller som udbyder af DNS-tjenester.
I praksis betyder det, at tusindvis af danske virksomheder, der aldrig har tænkt over NIS-regulering, nu skal forholde sig til direktivet. Selv om din virksomhed ikke direkte er omfattet, kan du blive påvirket indirekte, da NIS2 stiller krav til forsyningskædesikkerhed. Store virksomheder vil stille krav til deres underleverandører, og det kan i sidste ende betyde nye sikkerhedskrav for virksomheder af alle størrelser.
De vigtigste krav i NIS2
NIS2 stiller en lang række konkrete krav til de berørte virksomheder. Her er de vigtigste områder:
Risikostyring: Virksomheden skal gennemføre regelmæssige risikovurderinger af sine netværks- og informationssystemer. Det indebærer at identificere trusler, vurdere sandsynlighed og konsekvens, og implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger. Risikovurderingen skal dokumenteres og opdateres løbende.
Hændelseshåndtering og rapportering: Der skal etableres klare processer til at opdage, håndtere og rapportere sikkerhedshændelser. Alvorlige hændelser skal indrapporteres til de relevante myndigheder inden for 24 timer med en foreløbig advarsel og inden for 72 timer med en mere detaljeret rapport, der beskriver omfang og konsekvenser. En endelig rapport skal indsendes inden for en måned.
Forretningskontinuitet: Virksomheden skal have dokumenterede planer for, hvordan driften opretholdes under og efter en sikkerhedshændelse. Det omfatter backup-strategier, disaster recovery-procedurer, krisestyringsplaner og regelmæssig afprøvning af disse planer.
Forsyningskædesikkerhed: NIS2 kræver, at virksomheder vurderer og håndterer sikkerhedsrisici hos deres leverandører og samarbejdspartnere. Det er ikke tilstrækkeligt at sikre sin egen organisation — man skal også stille krav til og føre tilsyn med dem, man samarbejder med. Sikkerhedskrav bør indskrives i kontrakter med leverandører.
Ledelsesansvar: Ledelsen bærer et direkte og personligt ansvar for cybersikkerhed. Bestyrelse og direktion skal godkende sikkerhedsforanstaltningerne, deltage i sikkerhedstræning og kan holdes personligt ansvarlige ved manglende overholdelse af direktivet. Dette er en markant nyskabelse, der gør cybersikkerhed til et bestyrelsesanliggende.
Uddannelse og awareness: Alle medarbejdere skal have tilstrækkelig viden om cybertrusler og sikker adfærd. Ledelsen skal desuden gennemgå specifik træning i cybersikkerhed for at kunne varetage deres ansvar under direktivet.
Sanktioner og bøder
NIS2 indfører markant skærpede sanktioner sammenlignet med det oprindelige direktiv. For væsentlige enheder kan bøderne nå op på 10 millioner euro eller 2 % af den globale årsomsætning — alt efter hvad der er højest. For vigtige enheder er loftet 7 millioner euro eller 1,4 % af den globale årsomsætning.
Ud over bøderne kan myndighederne pålægge virksomheder at gennemføre sikkerhedsaudits, udstede påbud om at udbedre mangler inden for en fastsat frist og i yderste konsekvens midlertidigt suspendere ledelsesmedlemmer fra deres funktion. Det personlige ledelsesansvar er en markant nyskabelse, der understreger alvoren i direktivet og gør NIS2-compliance til et emne, der hører hjemme på bestyrelsens dagsorden.
Tidsplan og status i Danmark
EU's deadline for national implementering var den 17. oktober 2024. Danmark har vedtaget de nødvendige sektorspecifikke love, og de relevante tilsynsmyndigheder er udpeget og operationelle. Det betyder, at kravene allerede gælder i dag, og at virksomheder, der endnu ikke har påbegyndt arbejdet med compliance, er bagud i forhold til tidsplanen.
Tilsynsmyndighederne har i en indledende overgangsperiode fokuseret på vejledning, dialog og oplysning. Men signalerne er klare: håndhævelsen intensiveres i løbet af 2026, og der vil blive gennemført tilsyn og stikprøver. Virksomheder bør derfor ikke vente med at handle — jo længere man udsætter det, desto mere ressourcekrævende og kostbart bliver det at indhente det forsømte.
Syv praktiske skridt mod NIS2-compliance
At opnå NIS2-compliance er en proces, der kræver en systematisk og struktureret tilgang. Her er de vigtigste skridt, du bør tage:
1. Afklar om I er omfattet: Start med at vurdere, om jeres virksomhed falder inden for de berørte sektorer og opfylder størrelseskravene. Husk at underleverandører til væsentlige enheder også kan være omfattet. Søg professionel rådgivning, hvis I er i tvivl.
2. Gennemfør en GAP-analyse: Kortlæg jeres nuværende sikkerhedsniveau i forhold til NIS2-kravene. Identificér præcist, hvor I ikke lever op til kravene, og lav en prioriteret handlingsplan for at lukke hullerne.
3. Etabler risikostyring: Implementér en struktureret proces for løbende risikovurdering. Det behøver ikke nødvendigvis være kompliceret for mindre virksomheder, men det skal være dokumenteret, systematisk og opdateret regelmæssigt.
4. Opbyg hændelseshåndtering: Definér klare procedurer for, hvad der sker, når en sikkerhedshændelse indtræffer. Hvem kontaktes? Hvordan eskaleres? Hvordan rapporteres til myndighederne inden for de krævede frister? Sørg for at have de nødvendige værktøjer til at opdage hændelser hurtigt.
5. Sikr forsyningskæden: Gennemgå jeres leverandører og vurdér deres sikkerhedsniveau. Indfør sikkerhedskrav i kontrakter og samarbejdsaftaler, og følg op med regelmæssige vurderinger og audits.
6. Træn ledelse og medarbejdere: Cybersikkerhed er et fælles ansvar. Ledelsen skal forstå deres juridiske ansvar under NIS2, og alle medarbejdere bør modtage regelmæssig sikkerhedstræning — herunder om phishing, social engineering og sikker adfærd online.
7. Dokumentér systematisk: NIS2 kræver dokumentation for jeres sikkerhedsforanstaltninger. Sørg for at dokumentere politikker, procedurer, risikovurderinger, hændelser og de tiltag, I har iværksat. God dokumentation er afgørende ved et eventuelt tilsyn.
Sådan kan Cloud Zolutions hjælpe
NIS2-compliance kan virke overvældende, særligt for virksomheder uden en dedikeret IT-sikkerhedsafdeling. Hos Cloud Zolutions hjælper vi danske virksomheder med at navigere i kravene og implementere de nødvendige sikkerhedsforanstaltninger. Vi tilbyder alt fra indledende GAP-analyser og risikovurderinger til løbende overvågning, hændelseshåndtering og medarbejdertræning.
Vores tilgang er pragmatisk og tilpasset den enkelte virksomhed: vi skalerer indsatsen efter jeres størrelse, branche og risikoprofil, så I opnår compliance uden at overinvestere. Med én samlet IT-partner får I overblik, kontinuitet og en fast kontaktperson, der kender jeres setup ind og ud. Kontakt os for en uforpligtende snak om, hvordan vi kan hjælpe jer i mål med NIS2.
Opsummering
NIS2-direktivet markerer et vendepunkt for cybersikkerhed i Danmark. Langt flere virksomheder end tidligere er nu omfattet af skærpede krav, og ledelsen bærer et personligt ansvar for compliance. Bøderne er markante, og tilsynet intensiveres. Den gode nyhed er, at de fleste krav bygger på sund fornuft og god sikkerhedspraksis — ting, som enhver virksomhed bør have styr på uanset regulering. Start med at afklare jeres status, gennemfør en GAP-analyse, og tag fat på de vigtigste mangler. Jo før I kommer i gang, desto bedre er I rustet — både mod cyberangreb og mod tilsynsmyndighederne.
Har du brug for hjælp med NIS2-compliance?
Kontakt os i dag og få en uforpligtende vurdering af jeres sikkerhedsniveau.
Kontakt os i dag