NIS2-direktivet er det EU-regelsæt, der skal styrke cybersikkerheden på tværs af medlemslandene i både offentlige og private organisationer. NIS2-loven (ikke direktivet) er den danske udgave af regelsættet, der i foråret 2025 blev implementeret i dansk lovgivning under det officielle navn "Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau"
Loven fastlægger, hvordan danske virksomheder skal arbejde med risikovurdering, hændelseshåndtering, leverandørstyring og kontinuitet, og den danner grundlag for de danske regler om tilsyn, dokumentation og sanktioner.
Hvem er omfattet af NIS2-loven?
NIS2-loven gælder offentlige og private organisationer i de sektorer, der er omfattet af direktivet. Det gælder energi, transport, drikkevand og spildevand, sundhed, finans, offentlig administration samt digital infrastruktur og digitale tjenester som cloud, datacentre, DNS og topdomæner.
Loven opdeler virksomhederne i to kategorier, nemlig væsentlige enheder (essential) og vigtige enheder (important). Forskellen ligger primært i graden af tilsyn, der i Danmark deles mellem Styrelsen for Samfundssikkerhed (SAMSIK) og Digitaliseringsstyrelsen.
SAMSIK har det overordnede ansvar for, at NIS2-loven bliver gennemført i Danmark og for at koordinere tilsynet på tværs af sektorer. Digitaliseringsstyrelsen fører tilsyn med den digitale sektor, mens andre brancher hører under sektoransvarlige myndigheder, fx Energinet for energi og Sundhedsdatastyrelsen for sundhed. Derudover understøtter Center for Cybersikkerhed (CFCS) alle myndighederne med teknisk rådgivning, ligesom de modtager indberetninger om sikkerhedshændelser.
Minimumsforanstaltninger: "skal", "bør" og "kan"
Kernen i NIS2-lovens implementering er de minimumsforanstaltninger, som danske virksomheder skal arbejde ud fra. SAMSIK og CFCS har udarbejdet vejledninger, der omsætter lovkravene til konkrete aktiviteter.
Vejledningerne opererer med tre niveauer:
-
Skal-krav: Obligatoriske foranstaltninger, der skal efterleves.
-
Bør-krav: Stærke anbefalinger, som skal kunne begrundes, hvis de fravælges.
-
Kan-punkter: Inspiration til yderligere forbedringer.
Formålet med kravene er at sikre en risikobaseret implementering, så indsatsen afspejler organisationens trusselsbillede og modenhed.
Kravene dækker bl.a.:
-
Politikker for risikostyring og informationssikkerhed
-
Risikobaseret tilgang (fysiske, miljømæssige og personalerelaterede trusler)
-
Hændelsesstyring og underretning inden for 24/72 timer
-
Tekniske basiskrav og cyberhygiejne (patching, adgangsstyring, logging, netværkssegmentering)
-
Kontinuitet, beredskab og genopretning
-
Forsyningskæde- og leverandørstyring
-
Awareness og træning
Som organisation kan I bruge skal/bør/kan-strukturen til at prioritere og planlægge indsatsen. Husk, at eventuelle fravalg af bør-krav skal dokumenteres, fx med henvisning til økonomi, teknologisk modenhed eller risikoprofil.
Hændelsesunderretning i NIS2-loven
NIS2-loven stiller krav om rettidig underretning til den aktuelle myndighed ved betydelige sikkerhedshændelser. Der skal gives en foreløbig underretning inden for 24 timer og en uddybende rapport senest efter 72 timer.
Det anbefales at teste og dokumentere procedurerne for hændelsesrapportering, så roller og ansvar er tydeligt kendt i både drift, helpdesk og ledelse. En velafprøvet proces gør det lettere at reagere hurtigt og korrekt, når en hændelse opstår.
Loven giver desuden myndighederne skærpede tilsynsbeføjelser. Afhængigt af virksomhedens kategori (essential eller important) kan tilsynet være proaktivt eller reaktivt, og overtrædelser kan føre til både påbud og bøder.
Fra lovtekst til drift
Implementeringen af NIS2-loven kræver en struktureret proces, hvor governance, risikostyring og dokumentation hænger sammen. Her er en praktisk ramme for, hvordan arbejdet kan gribes an – fra afklaring til drift.
1) Afklar, om I er omfattet
Start med at kortlægge jeres produkter, tjenester, kunder og værdikæde, og match dem med NIS2’s sektorer og tærskler. Involver både forretning, IT/OT, jura og indkøb, så afgrænsningen bliver korrekt første gang.
Output: En klar anvendelsesafklaring, en liste over omfattede enheder og en beslutningslog for eventuelle tvivlspunkter.
2) Etabler governance og ansvar
Fastlæg ejerskab, roller og rapporteringslinjer. Udpeg en ansvarlig i ledelsen samt risikoejere og personer med ansvar for hændelser, leverandører og kontinuitet. Fastlæg risikoappetit, reviewfrekvens og RACI for nøgleprocesser.
Output: Governance-ramme, RACI-matrix, risikoappetiterklæring og planlagte ledelsesreviews.
3) Gennemfør en modenhedsmåling/gap-analyse
Brug myndighedernes foranstaltningsvejledninger som tjekliste. Prioriter “skal”-krav, begrund fravalg af “bør” og omsæt jeres gaps til konkrete handlinger med ejere og deadlines. Differentier indsatsen efter kritikalitet (IT/OT).
Output: Gap-rapport, prioriteret handlingsplan (ejere, deadlines, effektmål) og dokumenterede begrundelser for fravalg.
4) Dokumenter politikker og metoder
Beskriv metoden for risikovurdering (identifikation, analyse, evaluering og accept), og vurder kriterierne for sandsynlighed og konsekvens samt RTO/RPO for kritiske processer. Angiv også, hvilke informationer der skal gemmes, hvor og hvor længe.
Output: Politikker for risikostyring og informationssikkerhed, metodebeskrivelser og risikomatrix.
5) Implementer minimumsforanstaltninger
Få de vigtigste kontroller i drift med fokus på både procedurer og dokumentation:
-
Hændelsesstyring: playbooks, kontaktlister, 24/7-eskalation og rapporteringsskabeloner.
-
Kontinuitet/beredskab: plan for forretningskontinuitet og genopretning, øvelser og læringssløjfer.
-
Tekniske kontroller: adgangsstyring, patching, logging/overvågning og netværkssegmentering.
-
Leverandørstyring: kontraktkrav, due diligence og løbende evaluering.
Output: Godkendte procedurer, evidens fra implementering og opdaterede registre.
6) Træn og test
Afprøv både systemerne og samarbejdet i praksis. Det kan være gennem sårbarhedsscanninger, table top-øvelser og årlige tests af beredskabs- og genopretningsplaner. Noter undervejs, hvad der fungerede, og hvad der skal justeres, og gentag øvelsen, indtil målene er nået.
Output: Test- og øvelsesrapporter, action logs og dokumenterede forbedringer.
7) Følg op med fast interval
Etabler meningsfulde KPI’er, og rapporter løbende til ledelsen med fokus på effekt. Juster risici, planer og kontroller ud fra trusselsbilledet og erfaringerne fra drift.
Output: Dashboards, ledelsesreferater og opdateret risikoregister.
Kravene rammer også dine leverandører
NIS2-loven skærper fokus på risici i forsyningskæden og hos tredjepartsleverandører. Det betyder, at virksomheder skal stille tydelige sikkerhedskrav i deres kontrakter, herunder tekniske minimumsforanstaltninger, mulighed for audit og krav om rapportering ved hændelser.
Samtidig skal der gennemføres en systematisk due diligence både før samarbejdet etableres og løbende derefter, hvor leverandørens modenhed, certificeringer og hændelseshistorik vurderes. En væsentlig del af arbejdet består også i at kortlægge afhængigheder i organisationen, så man ved, hvilke kritiske processer der er bundet op på hvilke systemer eller leverandører.
Det mest effektive udgangspunkt er at begynde med de mest kritiske processer og aktiver (både IT og OT) og bruge risikovurderinger til at tilpasse krav og opfølgningsniveau i forhold til den enkelte leverandørs betydning og risikoprofil.
Essensen af NIS2-loven
NIS2-loven løfter cybersikkerhed fra at være en IT-disciplin til at være forretningskritisk governance. Den danske implementering gør kravene operationelle gennem vejledninger, registreringspligt og tilsyn og sætter ledelsen i centrum for risikostyring og dokumentation.
Som organisation kan I med fordel:
-
starte med kritiske processer og aktiver
-
bygge op omkring skal/bør/kan og dokumentere alle valg
-
træne, teste og justere løbende og være klar til at dokumentere effekten.
Når cybersikkerhed ses som et fælles ledelsesansvar og en kontinuerlig proces, står organisationen stærkt over for både myndigheder, samarbejdspartnere og de trusler, der udvikler sig hver dag.
