NIS2-loven er her
Den 17. oktober 2024 trådte Danmark ind i en ny æra af cybersikkerhed. NIS2-loven — den danske implementering af EU’s NIS2-direktiv — er nu virkelighed. For organisationer som omfattes betyder det nye forpligtelser, strengere krav og potentielt mærkbare sanktioner.
Men det handler ikke kun om at undgå bøder. Rigtigt håndteret bliver NIS2-loven en katalysator for at styrke organisationens digitale modstandskraft for alvor.
Vigtigt at forstå: NIS2-loven er ikke et engangsprojekt. Det er en kontinuerlig proces som kræver, at sikkerhed bliver en integreret del af virksomheden — fra bestyrelseslokalet til serverrummet.
De fem vigtigste ændringer
Her er de fem områder som vil påvirke flest organisationer mest:
Antallet af sektorer som omfattes er mere end fordoblet — fra 7 til 18. Fremstilling, fødevarer, affaldshåndtering og forskningsorganisationer er blot nogle af de nye sektorer. Har I tidligere undgået regulering kan det være anderledes nu.
Cybersikkerhed er ikke længere kun IT-afdelingens ansvar. Bestyrelse og ledelse skal godkende sikkerhedspolitikker, sikre ressourcer og gennemgå uddannelse. Ansvaret kan ikke delegeres væk.
Ved betydelige sikkerhedshændelser skal en tidlig advarsel sendes inden for 24 timer — ikke 72 som tidligere. Det kræver forberedte processer og hændelseshåndteringsplaner som fungerer selv klokken tre om natten.
Maksimale bøder er hævet dramatisk. Væsentlige virksomheder risikerer op til 10 millioner euro eller 2% af global omsætning. Det er niveauer som tidligere kun GDPR kunne medføre.
5. Hele leverandørkæden granskes
NIS2 stiller eksplicitte krav til sikkerhed i leverandørkæden. Det betyder, at organisationer skal:
- Vurdere sikkerhedsrisici hos leverandører
- Stille sikkerhedskrav i aftaler
- Følge op og verificere efterlevelse
- Have beredskab for hændelser hos underleverandører
Konsekvens: Selvom I ikke direkte omfattes af NIS2-loven kan I blive påvirket indirekte gennem krav fra jeres kunder.
Hvem omfattes?
Størrelseskriterier
Generelt omfattes organisationer som opfylder mindst ét af følgende:
- Mindst 50 ansatte
- Mindst 50 millioner kroner i årsomsætning
Væsentlige virksomheder (strengeste krav)
- Energi (el, olie, gas, fjernvarme, brint)
- Transport (fly, jernbane, vej, søfart)
- Bankvirksomhed og finansmarkedsinfrastruktur
- Sundheds- og sygehusvæsen
- Drikkevand og spildevand
- Digital infrastruktur (DNS, datacentre, cloud)
- ICT-serviceledelse (B2B)
- Offentlig forvaltning (centralt niveau)
- Rummet (jordbaseret infrastruktur)
Vigtige virksomheder
- Post- og budtjenester
- Affaldshåndtering
- Kemikalier
- Fødevarer
- Fremstilling (medicinteknik, elektronik, køretøjer, maskiner)
- Digitale tjenester (markedspladser, søgemaskiner, sociale platforme)
- Forskning
Usikre på om I omfattes? Test vores NIS2-klassificeringsværktøj for at få svar på få minutter.
Hvad indebærer de nye krav i praksis?
- Risikostyring Implementer systematisk risikostyring for netværks- og informationssystemer. Det inkluderer risikovurderinger, sikkerhedspolitikker og tekniske foranstaltninger tilpasset risiciene.
- Hændelseshåndtering Etablér processer til at opdage, håndtere og rapportere sikkerhedshændelser. Hav tydelige roller, kontaktveje og eskaleringsrutiner dokumenteret og indøvet.
- Forretningskontinuitet Sikr at virksomheden kan fortsætte ved forstyrrelser. Det omfatter backup, katastrofegendannelse og kriseplaner som testes regelmæssigt.
- Leverandørsikkerhed Vurdér og håndtér sikkerhedsrisici i leverandørkæden. Stil krav til leverandører og følg op på at kravene efterleves.
- Uddannelse og bevidsthed Sikr at personalet har den viden der er nødvendig. Det gælder især ledelsen, som skal gennemgå specifik cybersikkerhedsuddannelse.
Tidslinje: Hvad gælder nu?
| Dato | Begivenhed |
|---|---|
| 17. okt 2024 | NIS2-loven trådte i kraft |
| Marts 2025 | Deadline for registrering hos tilsynsmyndigheder |
| Løbende | Tilsyn og kontroller påbegyndes |
| Ved hændelse | 24 timer til tidlig advarsel |
Almindelige fejl at undgå
Loven er allerede i kraft. At vente er at risikere både sanktioner og sikkerhedshændelser. Begynd nu — selv små skridt i den rigtige retning er værdifulde.
Cybersikkerhed er et forretningsspørgsmål, ikke et teknologispørgsmål. Uden ledelsens engagement og hele organisationens medvirken bliver det halvhjertet.
Der findes ingen genveje. Værktøjer hjælper, men de erstatter ikke processer, kultur og kompetence. Vælg værktøjer som understøtter jeres arbejdsmetode.
Jeres sikkerhed er ikke stærkere end det svageste led i kæden. Kortlæg jeres kritiske leverandører og begynd dialogen om sikkerhedskrav.
For en dybere gennemgang af NIS2-direktivets struktur og alle kravområder, se vores komplette NIS2-rammeoversigt.
Sådan kan Securapilot hjælpe
Securapilot er bygget til at støtte organisationer gennem hele NIS2/NIS2-lov-rejsen:
- GAP-analyse — Kortlæg hvor I står i dag i forhold til kravene
- Risikostyring — ISO 27005-baseret risikovurdering og behandling
- Hændelseshåndtering — Dokumentation og rapportgenerering inden for tidskravene
- Leverandørhåndtering — Vurdering og opfølgning af leverandører
- Ledelsesdashboard — Overblik for bestyrelse og ledelse
Book en demo og se hvordan vi kan hjælpe jeres organisation.
Ofte stillede spørgsmål
Hvornår trådte NIS2-loven i kraft?
NIS2-loven trådte i kraft den 17. oktober 2024. Organisationer som omfattes bør allerede have påbegyndt deres efterlevelsesarbejde.
Hvad er forskellen mellem NIS2-loven og NIS2-direktivet?
NIS2 er EU-direktivet som angiver minimumskravene. NIS2-loven er den danske implementering af direktivet. I praksis er kravene meget ens, men NIS2-loven tilpasser visse aspekter til danske forhold.
Hvilke myndigheder overvåger NIS2-loven?
Center for Cybersikkerhed (CFCS) har en central rolle, men flere sektormyndigheder har tilsynsansvar inden for deres respektive områder, eksempelvis Energistyrelsen for energisektoren og Finanstilsynet for finanssektoren.
Kan bestyrelsesmedlemmer blive personligt ansvarlige?
Ja, NIS2 og NIS2-loven stiller eksplicitte krav til ledelsens ansvar. Ved alvorlige overtrædelser kan ledelsespersoner holdes ansvarlige og i ekstreme tilfælde forbydes at inneha ledelsesroller.
