Hvad er NIS2-direktivet?
NIS2 (Network and Information Security Directive 2) er EU’s opdaterede rammeværk for cybersikkerhed, som erstatter det oprindelige NIS-direktiv fra 2016. I Danmark implementeres direktivet gennem Lov om net- og informationssikkerhed som trådte i kraft den 17. oktober 2024.
Formålet er at skabe et højere og mere ensartet niveau af cybersikkerhed i hele EU — ikke ved at skabe bureaukrati, men ved at styrke organisationers faktiske modstandskraft mod cybertrusler.
Vigtigt at forstå: NIS2 handler ikke kun om compliance. Det er en mulighed for at styrke din organisations sikkerhed og troværdighed, både internt og eksternt. Organisationer, der ser det som en kulturændring snarere end et engangsprojekt, vil lykkes bedst.
Omfattes din organisation?
Størrelseskriterier
Generelt omfattes organisationer, der opfylder mindst ét af følgende kriterier:
- Mindst 50 ansatte
- Mindst 10 millioner euro i årsomsætning
Sektorer med høj kritikalitet (væsentlige enheder)
Disse omfattes af de strengeste krav og hårdeste sanktioner:
- Energi — el, olie, gas, fjernvarme, brint
- Transport — luftfart, jernbane, vejtransport, søfart
- Bankvirksomhed og finansmarkedsinfrastruktur
- Sundhed — hospitaler, laboratorier, lægemidler
- Drikkevand og spildevand
- Digital infrastruktur — DNS, datacentre, cloud-tjenester
- ICT-serviceledelse (B2B managed services)
- Offentlig forvaltning på centralt niveau
- Rummet — jordbaseret infrastruktur
Andre kritiske sektorer (vigtige enheder)
- Post- og budtjenester
- Affaldshåndtering
- Kemikalier
- Fødevareproduktion og distribution
- Fremstilling (medicinsk udstyr, elektronik, køretøjer)
- Digitale leverandører (markedspladser, søgemaskiner)
OBS: Visse kritiske tjenester — som DNS-leverandører, kvalificerede tillidsfulde tjenester og TLD-registre — omfattes uanset størrelse. Underleverandører kan også påvirkes indirekte gennem kundekrav.
Usikker på om I omfattes? Brug vores NIS2-klassificeringsværktøj for hurtigt at få svar baseret på jeres virksomhed og størrelse.
Almindelige faldgruber at undgå
Mange organisationer laver de samme fejl, når de nærmer sig NIS2. Her er de mest almindelige faldgruber:
Sikkerhed behandles som et rent IT-spørgsmål i stedet for en organisationsomspændende prioritet. NIS2 kræver, at hele virksomheden involveres.
Uden aktivt støtte fra bestyrelse og ledelse mangler der mandat og ressourcer. NIS2 stiller eksplicitte krav til ledelsens ansvar.
Sikkerhed ses som støttefunktion i stedet for kernevirksomhed. Det fører til utilstrækkelige investeringer og halvhjertede indsatser.
Alt for stort afhængighed af enkelte nøglepersoner skaber sårbarhed. Viden og processer skal dokumenteres og spredes.
Grundproblemet: Sikkerhed bliver et engangsprojekt i stedet for en langsigte kultur- og organisationsændring.
Kom i gang — trin for trin
At forberede sig på NIS2 behøver ikke at være overvældende. Her er en pragmatisk fem-trins model:
- GAP-analyse Kortlæg nuværende situation mod NIS2-kravene. Identificér huller inden for teknologi, processer, dokumentation og ansvarsfordeling. Dette giver et klart billede af, hvad der skal gøres.
- Vidensopbygning Uddann ledelse, bestyrelse og nøglefunktioner om direktivets krav og konsekvenser. Uden forståelse på rette niveau bliver det svært at få mandat og ressourcer.
- Strategisk planlægning Opret en struktureret årsplan med dokumenteret opfølgning. Opdel arbejdet i håndterbare dele med klare milepæle og ansvarlige.
- Tværfagligt arbejde Involvér hele organisationen — IT, juridisk, HR, forretning. Udnævn en ansvarlig, men undgå at centralisere alt hos én person eller afdeling.
- Risikobaseret prioritering Begynd med de højeste risici. Implementér løbende forbedringer baseret på regelmæssige risikovurderinger. Perfekt er fjenden af godt nok.
“Rejsen er målet” — Det vigtigste er at begynde, hvor du er, og tage små skridt i den rigtige retning. NIS2-compliance er ikke et slutmål, men en kontinuerlig forbedringsproces.
Hændelsesrapportering — de nye tidskrav
NIS2 indfører betydeligt strengere tidsfrister for rapportering af betydelige sikkerhedshændelser:
| Tidsfrist | Rapport | Indhold |
|---|---|---|
| 24 timer | Tidlig advarsel | Indledende notifikation om, at hændelse er indtrådt, foreløbig vurdering af grænseoverskridende effekter |
| 72 timer | Hændelsesmeddelelse | Opdatering med vurdering af alvorlighedsgrad, påvirkning og eventuelle kompromitterings-indikatorer |
| 1 måned | Slutrapport | Fuldstændig analyse med grundårsag, iværksatte tiltag og erfaringer |
En hændelse regnes som “betydelig”, hvis den har forårsaget eller kan forårsage alvorlig driftsforstyrrelser, økonomisk tab, eller påvirket andre gennem materielle eller immaterielle skader.
Sanktioner og konsekvenser
NIS2 introducerer betydeligt strengere sanktioner:
Væsentlige enheder: Op til €10 millioner eller 2% af global årsomsætning
Vigtige enheder: Op til €7 millioner eller 1,4% af global årsomsætning
Afhængig af hvilket beløb der er højest
Udover bøder kan tilsynsmyndigheder:
- Kræve offentliggørelse af overtrædelser
- Udstede offentlige udtalelser, der identificerer ansvarlige
- I alvorlige tilfælde udstede midlertidige forbud mod ledelsesroller
Vil du dykke dybere? Læs mere om NIS2-direktivets struktur og krav på vores rammeværks-side.
Sådan kan Securapilot hjælpe
Securapilot tilbyder en komplet platform for NIS2-compliance, som gør rejsen håndterbar:
- Automatiseret GAP-analyse — kortlæg nuværende situation mod NIS2-kravene
- Risikohåndteringsmodul — ISO 27005-baseret risikovurdering
- Hændelseshåndtering — automatisk rapportgenerering inden for tidskravene
- Leverandørhåndtering — sikkerhed i hele leveringskæden
- Ledelses-dashboard — overblik for bestyrelse og ledelse
Book en demo for at se, hvordan vi kan hjælpe din organisation på rejsen mod NIS2-compliance.
Ofte stillede spørgsmål
Hvornår træder NIS2 i kraft i Danmark?
NIS2 implementeres i Danmark gennem Lov om net- og informationssikkerhed som trådte i kraft den 17. oktober 2024. Organisationer, der er omfattet, bør allerede nu have påbegyndt deres efterlevelsesarbejde.
Hvilke virksomheder omfattes af NIS2?
Generelt omfattes organisationer med mindst 50 ansatte eller 10 millioner euro i omsætning inden for de 18 definerede sektorer. Visse kritiske tjenester omfattes uanset størrelse. Også underleverandører kan påvirkes indirekte gennem kundekrav.
Hvad sker der, hvis man ikke følger NIS2?
Væsentlige enheder risikerer bøder op til 10 millioner euro eller 2% af global årsomsætning. Vigtige enheder risikerer op til 7 millioner euro eller 1,4%. Ledelsen kan også holdes personligt ansvarlig.
Hvor lang tid tager det at blive NIS2-compliant?
Det varierer afhængig af nuværende modenhedsniveau, men regn med 6-18 måneder for en fuldstændig implementering. Vigtigst er at begynde, hvor du er, og tage små skridt i den rigtige retning — rejsen er målet.
Påvirkes vi som underleverandør?
Ja, indirekte. NIS2 stiller krav om sikkerhed i leveringskæden, hvilket betyder, at organisationer, der er omfattet, vil stille sikkerhedskrav til deres leverandører. Selvom du ikke direkte omfattes, kan du have behov for at opfylde krav for at beholde kunder.
