Alle artikler
NIS2compliancecybersikkerheddansk lovgivning

NIS2-krav for danske virksomheder: Hvad skal I gøre?

NIS2-krav for danske virksomheder: Hvad skal I gøre?

NIS2 i Danmark: Hvad handler det om?

NIS2 er EU’s nye cybersikkerhedsdirektiv, der stiller skærpede krav til, hvordan virksomheder i kritiske sektorer beskytter sig mod cybertrusler og driftsafbrydelser. I Danmark er direktivet implementeret som NIS2-loven (L 141), der trådte i kraft den 1. juli 2025.

Hvor den gamle NIS-lov kun berørte ca. 1.000 virksomheder, rammer NIS2 nu over 6.000 danske virksomheder — en massiv udvidelse, der også rammer mange små og mellemstore virksomheder.

Loven er allerede i kraft

NIS2-loven trådte i kraft 1. juli 2025. Hvis jeres virksomhed er omfattet, skal I allerede være i gang med compliance. Virksomheder skulle have registreret sig hos den relevante sektormyndighed senest 1. oktober 2025.

Er I omfattet?

NIS2 gælder for virksomheder i 18 kritiske sektorer. Om I er omfattet, afhænger af jeres sektor og størrelse:

18 kritiske sektorer omfattet
6.000+ danske virksomheder berørt
10 sikkerhedskrav der skal implementeres
24 t til første varsling ved hændelse

Væsentlige enheder

Virksomheder med 250+ ansatte eller EUR 50M+ omsætning i kernesektorer:

  • Energi (el, gas, olie, fjernvarme)
  • Transport (luft, jernbane, vand, vej)
  • Sundhed
  • Drikkevand og spildevand
  • Digital infrastruktur
  • Offentlig forvaltning
  • Rumfart

Vigtige enheder

Virksomheder med 50+ ansatte eller EUR 10M+ omsætning i bredere sektorer:

  • Fødevareproduktion og -distribution
  • Fremstillingsindustri
  • Affaldshåndtering
  • Kemikalier
  • Post- og kurertjenester
  • Digitale udbydere (markedspladser, søgemaskiner, sociale netværk)
Særregel for energisektoren

Energivirksomheder reguleres af den særskilte Energiberedskabslov (Bkg. nr. 260 af 6. marts 2025), ikke den generelle NIS2-lov. Kravene er i praksis skærpede og sektorspecifikke. Læs mere om energiberedskab.

De 10 sikkerhedskrav

NIS2 Artikel 21 kræver, at I implementerer 10 risikostyringsforanstaltninger. Her er de forklaret i klart sprog:

1. Risikoanalyse
Systematisk vurdering af jeres risici og sikkerhedspolitikker.
2. Hændelseshåndtering
Processer til at opdage, analysere og reagere på sikkerhedshændelser.
3. Driftskontinuitet
Backup, genopretning og krisestyring, så I kan køre videre under en krise.
4. Forsyningskædesikkerhed
Vurdering af jeres leverandørers sikkerhedsniveau og beredskab.

De resterende seks krav:

  1. Sikkerhed i systemanskaffelse — Sikkerhed ved køb, udvikling og vedligeholdelse af IT-systemer
  2. Effektivitetsvurdering — Regelmæssig test af, om jeres sikkerhedsforanstaltninger rent faktisk virker
  3. Cyberhygiejne og uddannelse — Træning af medarbejdere i grundlæggende cybersikkerhed
  4. Kryptografi — Brug af kryptering til at beskytte følsomme data
  5. Personalesikkerhed og adgangskontrol — Styring af hvem der har adgang til hvad
  6. Multifaktorautentificering — MFA og sikret kommunikation for kritiske systemer

Hændelsesrapportering: Stramme tidsfrister

Når I oplever en væsentlig sikkerhedshændelse, gælder stramme rapporteringsfrister via Virk.dk:

Inden 24 timer
Tidlig varsling
Underret jeres sektormyndighed om, at en hændelse er indtruffet. Ingen detaljeret analyse kræves endnu.
Inden 72 timer
Hændelsesunderretning
Send en opdatering med jeres første vurdering: hvad skete der, hvad er omfanget, hvad gør I?
Inden 1 måned
Endelig rapport
Fuldt hændelsesforløb med årsagsanalyse, konsekvenser og afbødende foranstaltninger.

Hvad sker der, hvis I ikke overholder kravene?

Danmark anvender ikke administrative bøder på samme måde som andre EU-lande — i stedet går sanktioner gennem det almindelige retssystem. Bøderammerne følger dog EU-niveauet:

€10M eller 2% af global omsætning for væsentlige enheder
€7M eller 1,4% af global omsætning for vigtige enheder

Ud over bøder kan sektormyndighederne:

  • Pålægge påbud om at rette op på mangler inden en given frist
  • Udstede påtaler ved overtrædelser
  • Kræve uafhængig revision af jeres sikkerhedsforanstaltninger
  • I alvorlige tilfælde: midlertidigt forbyde ledelsesmedlemmer at udøve deres funktion
Ledelsesansvar

NIS2 gør cybersikkerhed til et ledelsesansvar. Den øverste ledelse skal godkende risikostyringsforanstaltningerne og kan holdes personligt ansvarlige for manglende compliance. Det betyder, at cybersikkerhed ikke længere kun er IT-afdelingens problem.

Trusselsbilledet: Hvorfor NIS2 er nødvendigt

Styrelsen for Samfundssikkerhed (CFCS) vurderer den generelle cybertrussel mod Danmark som meget høj. Truslen kommer fra flere retninger:

  • Cyberespionage: Statsstøttede aktører (særligt Rusland og Kina) retter sig mod danske virksomheder og institutioner
  • Cyberkriminalitet: Ransomware-angreb er den største trussel mod danske virksomheder, med gennemsnitlige løsekrav på $1M+
  • Cyberaktivisme: Angreb mod kritisk infrastruktur som politisk protest
  • Destruktive angreb: Truslen er stigende i lyset af geopolitiske spændinger

Sådan kommer I i gang: 6 trin

1 Afklar scope Er I omfattet? Tjek sektor og størrelse.
2 Registrer jer Hos den relevante sektormyndighed.
3 Gap-analyse Hvor står I i dag vs. NIS2-krav?
4 Risikovurdering Systematisk vurdering af jeres risici.
  1. Kortlæg forsyningskæden — Vurder jeres leverandørers beredskab og sikkerhedsniveau.
  2. Dokumenter alt — NIS2 kræver dokumenterbar compliance. Mundtlige aftaler og “sådan plejer vi at gøre” er ikke nok.
Start med det vigtigste

I behøver ikke løse alt på én gang. Start med risikovurdering og hændelseshåndtering — det er grundlaget for alt andet. Dærfra kan I bygge videre med driftskontinuitet, forsyningskædesikkerhed og de øvrige krav.

Gratis værktøj: Er I omfattet?

Sikkerdigital.dk har et gratis NIS2-tjek, hvor I på få minutter kan afklare, om jeres virksomhed er omfattet af NIS2-loven. Dansk Industri har også udgivet en NIS2-guide til medlemsvirksomheder.

Næste skridt

Læs mere om NIS2-direktivet eller se, hvordan RiskFinder hjælper jer med systematisk risikovurdering og leverandørstyring som del af NIS2-compliance.

Del denne artikel

Relaterede sider

Nis2 Risikovurdering Leverandoerer

Er I klar til at tage næste skridt?

Kontakt os i dag og hør, hvordan RiskFinder kan hjælpe jer med Business Continuity, beredskab og risikostyring.

Eller ring til os på +45 42 40 40 70 · emil@riskfinder.dk

Book Demo