NIS2-direktivet: Skærpede krav til cybersikkerhed
NIS2 stiller nye krav til cybersikkerhed, risikostyring og hændelsesrapportering for virksomheder i kritiske sektorer. Den danske NIS2-lov (L 141) trådte i kraft 1. juli 2025.
Hvad er NIS2-direktivet?
NIS2-direktivet (EU 2022/2555) er EU’s opdaterede ramme for cybersikkerhed, der erstatter det oprindelige NIS-direktiv fra 2016. Direktivet etablerer et højt fælles sikkerhedsniveau for net- og informationssystemer på tværs af EU.
I Danmark betyder udvidelsen, at antallet af omfattede virksomheder stiger fra ca. 1.000 til over 6.000 fordelt på 18 kritiske sektorer. Dansk implementering sker via NIS2-loven (L 141), som trådte i kraft 1. juli 2025.
Direktivet dækker både væsentlige enheder (store virksomheder i kernesektorer) og vigtige enheder (mellemstore virksomheder i bredere sektorer), med strengere krav til de væsentlige.
Hvem er omfattet af NIS2?
NIS2 opdeler virksomheder i to kategorier baseret på størrelse og sektor. De 18 sektorer omfatter bl.a. energi, transport, sundhed, drikkevand, digital infrastruktur, offentlig forvaltning og rummet.
- Væsentlige enheder: 250+ ansatte eller EUR 50M+ omsætning. Strengeste krav og tilsyn
- Vigtige enheder: 50+ ansatte eller EUR 10M+ omsætning. Proportionale krav
- Uanset størrelse: Visse udbydere (DNS, tillid, telekommunikation) er altid omfattet
- Energisektoren: Reguleres af særskilt Energiberedskabslov
10 risikostyringsforanstaltninger
NIS2 Artikel 21 kræver, at både væsentlige og vigtige enheder træffer passende og forholdmæssige tekniske, operationelle og organisatoriske foranstaltninger til styring af cybersikkerhedsrisici.
Ledelsen skal godkende foranstaltningerne, føre tilsyn med implementeringen og kan holdes ansvarlig for manglende overholdelse.
- Risikoanalyse og informationssikkerhedspolitikker
- Hændelseshåndtering: detektion, analyse og respons
- Driftskontinuitet, backup og krisestyring
- Forsyningskædesikkerhed inkl. leverandørvurdering
- Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af systemer
- Vurdering af cybersikkerhedsforanstaltningers effektivitet
- Grundlæggende cyberhygiejne og uddannelse
- Kryptografi og kryptering
- Personalesikkerhed, adgangskontrol og aktivstyring
- Multifaktorautentificering og sikret kommunikation
Stram tidsramme for indberetning
Ved væsentlige cybersikkerhedshændelser skal virksomheder overholde en trebenet rapporteringsmodel:
Konsekvenser ved manglende overholdelse
NIS2 indfører væsentligt skærpede sanktioner sammenlignet med det oprindelige NIS-direktiv. Myndigheder kan også pålægge midlertidige servicebegrænsninger.
I Danmark kan sanktioner ikke pålægges direkte som administrative bøder, men skal følge de almindelige processer under anklagemyndigheden.
Maksimale bøder
Bødeniveauet afhænger af virksomhedens klassificering:
- Væsentlige enheder: Op til EUR 10 mio. eller 2 % af global årsomsætning
- Vigtige enheder: Op til EUR 7 mio. eller 1,4 % af global årsomsætning
Sådan hjælper RiskFinder med NIS2-compliance
RiskFinder dækker de centrale krav i NIS2 Artikel 21 gennem en samlet platform.
Risikovurdering (ROS)
Systematisk risiko- og sårbarhedsanalyse med 4-delt metodik. Opfylder Artikel 21, nr. 1.
Forsyningskædesikkerhed
Vurder og styr risici fra leverandører og underleverandører. Opfylder Artikel 21, nr. 4.
Hændelseshåndtering
Beredskabsplaner, handlingskort og krisestyring. Opfylder Artikel 21, nr. 2 og 3.
Relateret lovgivning og moduler
NIS2 hænger sammen med CER-direktivet og Energiberedskabsloven.
Er I klar til NIS2?
Kontakt os i dag og hør, hvordan RiskFinder kan hjælpe jer med NIS2-compliance, risikostyring og cybersikkerhed.
Eller ring til os på +45 42 40 40 70 · emil@riskfinder.dk