Teknologi

NIS2-direktivet 2026: Cybersecurity-pligter for danske SMV'er

NIS2-direktivet er EU's tredje store compliance-bølge efter GDPR og AI-forordningen. Den danske NIS2-lov trådte i kraft 1. juli 2025 og rammer 18 kritiske sektorer. Læs om du er omfattet, hvilke pligter der gælder, og hvor stort ledelsens personlige ansvar er.

10 min læsning

NIS2-direktivet (EU 2022/2555) er EU's nye lovgivning om net- og informationssikkerhed. Det erstatter det oprindelige NIS-direktiv fra 2016 med markant udvidet anvendelsesområde, strengere krav og personligt ledelsesansvar. I Danmark er direktivet implementeret gennem den danske NIS2-lov, vedtaget 29. april 2025 og trådt i kraft 1. juli 2025. Hvis du er omfattet — og det er flere virksomheder end mange tror — er forsinkelsen allerede en risiko.

Vigtigste takeaway: NIS2 rammer ikke kun store virksomheder. Hvis din virksomhed er over 50 medarbejdere eller 10 mio. EUR i omsætning og er aktiv i en af de 18 listede sektorer (manufacturing, food, digital infrastructure, post, fødevarer m.fl.), er du sandsynligvis "important entity" eller "essential entity". Pligterne omfatter cybersecurity-foranstaltninger, 24-timers hændelsesrapportering, leverandørkædeansvar og personligt ledelsesansvar. Bøder op til 10 mio. EUR eller 2 % af global årsomsætning for essential entities.

Hvad er NIS2?

NIS2 (Network and Information Security Directive 2) er den nye, langt mere omfattende EU-regulering af cybersikkerhed for samfundskritiske og vigtige virksomheder. Direktivet erkender, at den oprindelige NIS-regulering fra 2016 var for snæver: kun få sektorer var dækket, kravene var inkonsistente på tværs af medlemslande, og håndhævelsen var svag.

NIS2 retter dette op ved:

  • Udvide listen af omfattede sektorer fra 7 til 18
  • Skabe ensartede minimumskrav til cybersikkerhed (artikel 21)
  • Indføre personligt ledelsesansvar — ledelsen kan straffes individuelt
  • Hæve bødestørrelser og strømline tilsyn
  • Stramme reglerne for leverandørkæder

Hvem fører tilsyn i Danmark?

Center for Cybersikkerhed (CFCS) har koordinerende rolle, men de enkelte sektortilsyn håndhæver regler i deres respektive områder — fx Trafikstyrelsen for transport, Sundhedsstyrelsen for sundhedssektoren, Energistyrelsen for energi og Digitaliseringsstyrelsen for digital infrastruktur. Styrelsen for Samfundssikkerhed (Samsik) varetager den tværgående koordinering.

Er du omfattet? Sektorer + størrelse

NIS2 rammer virksomheder, der opfylder begge kriterier:

  1. Du er aktiv i en af de listede sektorer (Bilag I = "højkritisk", Bilag II = "anden kritisk")
  2. Din virksomhed er over en størrelsestærskel (typisk 50+ ansatte eller 10 mio. EUR i årsomsætning)

Bilag I: Sektorer af særlig kritisk vigtighed

  • Energi (el, gas, fjernvarme, olie, brint)
  • Transport (luft, jernbane, sø, vej)
  • Bank og finans
  • Finansielle markedsinfrastrukturer
  • Sundhedssektor (hospitaler, lægemidler)
  • Drikkevand
  • Spildevand
  • Digital infrastruktur (DNS, TLD-registratorer, cloud-udbydere, datacentre, indholdsleveringsnetværk, telekommunikation)
  • ICT-tjenesteforvaltning (managed services, managed security services)
  • Offentlig administration
  • Rummet

Bilag II: Anden kritisk sektor

  • Post- og kurertjenester
  • Affaldshåndtering
  • Fremstilling, produktion og distribution af kemikalier
  • Fødevarer (produktion, behandling, distribution)
  • Fremstilling (medicinsk udstyr, computer/elektronik, maskiner, motorkøretøjer)
  • Digitale udbydere (online markedspladser, søgemaskiner, sociale netværk)
  • Forskning

Størrelsestærskler

Hovedreglen er, at NIS2 gælder hvis du er "medium" eller "large" enterprise efter EU's SMV-definition:

  • Medium: 50-249 ansatte og/eller 10-50 mio. EUR i omsætning
  • Large: 250+ ansatte og/eller 50+ mio. EUR i omsætning

Mindre virksomheder er som hovedregel undtaget — men der er undtagelser fra undtagelsen. Visse typer virksomheder er omfattet uanset størrelse, fx udbydere af offentlige elektroniske kommunikationstjenester, DNS-tjenester, TLD-registratorer, og virksomheder, der er eneudbyder af en kritisk tjeneste i en medlemsstat.

Essential vs. important entities

Direktivet skelner mellem to klasser med forskellige tilsyns- og bødeniveauer:

Essential entity Important entity
Hvem Store virksomheder i Bilag I-sektorer Mellemstore i Bilag I + alle Bilag II-virksomheder
Tilsyn Proaktivt og løbende Reaktivt — typisk kun ved hændelse eller indberetning
Bødeloft 10 mio. EUR eller 2 % af global årsomsætning (det højeste) 7 mio. EUR eller 1,4 % af global årsomsætning (det højeste)
Andre sanktioner Suspension af certificering eller godkendelse, midlertidigt forbud mod direktørposition Færre supplementære sanktioner

Hvis du er i tvivl om din kategori, er det første skridt at tjekke virksomhedens hovedaktivitet mod sektorlisterne i Bilag I og II til den danske NIS2-lov. Sektortilsynene har typisk vejledninger.

Registreringspligt

Omfattede virksomheder skulle registrere sig hos relevant tilsynsmyndighed senest 1. oktober 2025. Registreringsoplysningerne omfatter typisk:

  • Virksomhedens navn, CVR og kontaktoplysninger
  • Sektor og delsektor
  • Geografisk dækning (medlemslande)
  • Kontaktperson(er) til cybersikkerhed og hændelseshåndtering
  • Relevante hjemmesider, IP-adresser og DNS-domæner

Hvis du ikke har registreret jer endnu og er omfattet: gør det nu. Manglende registrering er en selvstændig overtrædelse og udløser bøder.

Brug for hjælp til at vurdere om I er omfattet? LovBot kan generere et NIS2-vurderingsnotat baseret på jeres CVR, branchekode og størrelse — sammen med de underliggende databehandleraftaler og sikkerhedspolitikker, der dokumenterer compliance.

De 10 cybersecurity-foranstaltninger (artikel 21)

Artikel 21 i direktivet (gennemført i den danske NIS2-lov) fastlægger ti minimumskrav til cybersikkerhedsforanstaltninger. De skal alle implementeres "passende og proportionalt" i forhold til virksomhedens risikobillede:

  1. Risikoanalyse og informationssikkerhedspolitik — dokumenteret risikovurdering, opdateret årligt
  2. Hændelseshåndtering — procedurer for opdagelse, eskalation, respons og recovery
  3. Driftskontinuitet — backup-strategi, disaster recovery, krisehåndtering
  4. Leverandørkædesikkerhed — vurdering af leverandørers cybersikkerhed (se sektion 8)
  5. Sikkerhed i indkøb, udvikling og vedligeholdelse — sikker softwareudvikling, sårbarhedsstyring
  6. Vurdering af effektivitet — systematisk testning og audit af foranstaltningerne
  7. Cybersikkerheds-træning — løbende awareness for medarbejdere og ledelse
  8. Kryptering og access control — ende-til-ende kryptering hvor relevant, MFA, principle of least privilege
  9. HR-relateret sikkerhed — sikker on-/offboarding, baggrundskontrol hvor relevant
  10. Brug af multifaktor-autentificering — MFA på kritiske systemer som standard, ikke undtagelse

Implementeringen er ikke en check-box-øvelse. NIS2 lægger vægt på "appropriate and proportionate": en hospitalsdrift kan ikke nøjes med samme cybersikkerhed som en mellemstor distributør — selv hvis begge er "important entities".

Ledelsesansvar — personligt

Det mest opsigtsvækkende ved NIS2 er det personlige ledelsesansvar. Direktivets artikel 20 kræver, at virksomhedens ledelsesorganer:

  • Godkender cybersikkerhedsforanstaltningerne
  • Overvåger gennemførelsen
  • Kan holdes ansvarlige for overtrædelser
  • Følger regelmæssig cybersikkerhedstræning og sørger for, at medarbejdere får tilsvarende

I praksis betyder det, at cybersikkerhed ikke kan delegeres væk. Bestyrelsen og direktionen har en juridisk pligt til at forstå og styre risikoen. NIS2 åbner mulighed for, at ledere midlertidigt forbydes direktørstillinger ved grove overtrædelser, og at deres certifikater eller godkendelser kan suspenderes.

Hvad betyder det for bestyrelsesarbejdet?

  • Cybersikkerhed bør være fast punkt på bestyrelsesdagsordenen — fx kvartalsvis
  • Generalforsamlingen bør orienteres om væsentlige cybersikkerhedshændelser
  • Bestyrelsesmedlemmer bør modtage årlig cybersikkerhedstræning, dokumenteret skriftligt
  • D&O-forsikringer bør tjekkes for NIS2-dækning

Indberetning af hændelser

Ved en "betydelig" cybersikkerhedshændelse skal virksomheden indberette hurtigt til tilsynsmyndigheden. Tidsfristerne er strenge:

  • Inden for 24 timer: Tidlig varsling med basal information om hændelsen og dens potentielle konsekvenser
  • Inden for 72 timer: Hændelsesrapport med en mere detaljeret vurdering, herunder tegn på, om hændelsen har grænseoverskridende karakter
  • Inden for 1 måned: Slutrapport med detaljeret beskrivelse af hændelsen, dens årsag, gennemførte og planlagte tiltag

Hvad er en "betydelig" hændelse? Direktivet definerer det som hændelser, der har medført eller kan medføre alvorlig driftsforstyrrelse eller finansielle tab for entiteten — eller skader på andre fysiske eller juridiske personer. Praktisk: et større ransomware-angreb, en alvorlig DDoS, et databrud med driftspåvirkning.

Leverandørkæde

NIS2 indfører ansvar for leverandørkædesikkerhed. Hvis du bruger en cloud-leverandør, en managed security service eller andre kritiske ICT-leverandører, har du pligt til at vurdere deres cybersikkerhed og indarbejde sikkerhedskrav i leverandøraftalerne.

Praktiske konsekvenser:

  • Eksisterende kontrakter med ICT-leverandører skal gennemgås og udvides med NIS2-relevante sikkerhedsforpligtelser
  • Nye databehandleraftaler skal dække både GDPR og NIS2 — fx incident notification within 24 hours
  • Leverandørerne skal kunne dokumentere deres egne cybersikkerhedsforanstaltninger
  • Auditrettigheder bør indbygges i kritiske leverandøraftaler

Snitflader til GDPR og AI Act

NIS2 står ikke alene. Den er ét af tre store EU-compliance-områder, der overlapper på mange punkter:

Regulering Beskytter Hovedfokus
GDPR Personoplysninger Lovligt grundlag, oplysningspligt, dataminimering
AI-forordningen AI-systemer som produkter Risikokategorier, dokumentation, gennemsigtighed
NIS2 Net- og informationssikkerhed Cybersikkerhedsforanstaltninger, hændelsesrapportering

Et databrud kan udløse tre samtidige indberetningspligter: GDPR (72 timer til Datatilsynet hvis personoplysninger), NIS2 (24 timer til sektortilsyn ved betydelig hændelse), og under visse omstændigheder også finansreguleringspligter (DORA i finansiel sektor).

Compliance-tjekliste for NIS2

Brug denne tjekliste til at vurdere jeres status:

  • ☐ Sektorvurdering: er virksomheden i Bilag I eller Bilag II?
  • ☐ Størrelsesvurdering: medium/large efter EU's SMV-definition?
  • ☐ Klassificering: essential eller important entity?
  • ☐ Registrering hos relevant tilsynsmyndighed gennemført
  • ☐ Risikoanalyse dokumenteret, opdateret seneste 12 mdr.
  • ☐ Informationssikkerhedspolitik godkendt af bestyrelsen
  • ☐ Hændelseshåndteringsprocedure med 24-timers eskalation
  • ☐ Backup- og driftskontinuitetsplan testet
  • ☐ Multifaktor-autentificering implementeret på kritiske systemer
  • ☐ Cybersikkerhedstræning gennemført for ledelse + medarbejdere
  • ☐ Kontrakter med kritiske ICT-leverandører gennemgået og opdateret
  • ☐ D&O-forsikring tjekket for NIS2-dækning
  • ☐ Bestyrelsesdagsorden inkluderer cybersikkerhed

NIS2-pakke fra LovBot

LovBot kan udarbejde NIS2-vurderingsnotat, informationssikkerhedspolitik, hændelseshåndteringsprocedure og opdaterede databehandleraftaler — på dansk og baseret på den danske NIS2-lov + Center for Cybersikkerheds vejledninger.

EU Direktiv 2022/2555 Dansk NIS2-lov GDPR + AI Act dækket
Start gratis →

Relaterede guides

Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.