NIS2-direktivet: Hvad er det, og hvem er omfattet?

EU’s opdaterede Net- og Informationssikkerhedsdirektiv, bedre kendt som NIS2-direktivet, er nu gældende, og har sat en ny standard for cybersikkerhed i hele EU.

Medlemslandene havde frist til at implementere direktivet i national lovgivning den 17. oktober 2024. I Danmark trådte de centrale regler i kraft den 1. juli 2025 efter en periode med forsinkelse.

Men hvad indebærer NIS2-direktivet helt konkret, og hvordan kan det påvirke din virksomhed?

Det er netop det, vi ser nærmere på i denne artikel. Ønsker du at blive klogere på kravene, konsekvenserne og det ledelsesmæssige ansvar, er du kommet til det rette sted.

• NIS2-direktivet er en opdatering af EU's regler for cybersikkerhed, der stiller strengere krav til både offentlige og private organisationer inden for kritiske sektorer og gør ledelsen direkte ansvarlig for overtrædelser.
  
  
• Direktivet omfatter langt flere sektorer end tidligere og inddeler virksomheder i "væsentlige" og "vigtige" enheder med krav om risikostyring, hændelseshåndtering og rapportering, der tilpasses virksomhedens betydning for samfundet.
  
  
• Implementeringen af NIS2 i Danmark var forsinket, men de centrale regler trådte i kraft 1. juli 2025. Virksomheder bør derfor afklare, om de er omfattet, og derfor sørge for, at deres beredskab, dokumentation og interne processer er sikret.

Hvad er NIS2-direktivet: Cybersikkerhedens næste kapitel

NIS2-direktivet er en opdatering af EU's tidligere regler for netværks- og informationssikkerhed (NIS1).

Formålet med NIS2 er kort sagt at styrke cybersikkerheden i hele EU ved at indføre fælles standarder og krav.

Direktivet har udvidet sin rækkevidde til at omfatte flere sektorer, og stiller strengere krav til både offentlige og private organisationer, der leverer kritiske tjenester i samfundet. Samtidig giver det nye NIS2-direktiv også mulighed for at stille ledelsen direkte ansvarlig i tilfælde af overtrædelser af lovgivningen.

NIS2 er som nævnt en opdatering af den tidligere NIS1, der blev vedtaget af EU's medlemslande i 2016. Selvom NIS1 førte til betydelige forbedringer og fremskridt i EU's samlede modstandsdygtighed over for cybertrusler, er det med tiden blevet klart, at der er behov for endnu stærkere og mere ensartede sikkerhedsforanstaltninger på tværs af EU.

Derfor skærper NIS2-direktivet reglerne yderligere.

Hvem er omfattet af NIS2-direktivet?

Som nævnt er en af de store ændringer ved det nye NIS2-direktiv, at langt flere virksomheder og organisationer (i direktivet kaldet “enheder”) nu skal stige på det store cybersikkerheds-tog.

Det er i udgangspunktet offentlige og private enheder, der kategoriseres som "væsentlige enheder" eller "vigtige enheder", der nu skal være sikre på, at de får indløst billetten.

Men hvad dækker "væsentlige enheder" og "vigtige enheder" så over?

Begrebet "væsentlige enheder" omfatter offentlige og private enheder inden for følgende sektorer:

• Energi (elektricitet, fjernvarme, olie, gas og brint)
• Transport (luft, jernbane, vand og vej)
• Bankvirksomhed (kreditinstitutter)
• Finansielle markedsinfrastrukturer (markedspladser)
• Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
• Drikke- og spildevand
• Digital infrastruktur (bl.a. udbydere af cloud-ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
• Informations- og kommunikationstjenesteudbydere (ICT-services)
• Udbydere af managed services og managed security services
• Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
• Rummet (operatører af jordbaseret infrastruktur)

Begrebet "vigtige enheder" omfatter offentlige og private enheder inden for:

• Post- og kurertjenester
• Affaldshåndtering
• Fremstilling, produktion og distribution af kemikalier
• Fremstilling, bearbejdning og distribution af fødevarer
• Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
• Udbydere af visse digitale tjenester (online markedspladser og søgemaskiner samt sociale netværkstjenester)
• Forskning (højere læreanstalter og forskningsinstitutioner)
  

Se den komplette liste her.

Forskel mellem "væsentlige" og "vigtige" enheder

Direktivet skelner som nævnt mellem "væsentlige" og "vigtige" enheder, og den skelnen baseres primært på sektorens kritikalitet og virksomhedens størrelse:

• Væsentlige enheder: Typisk store virksomheder i sektorer af særlig kritisk betydning, såsom energi, transport og sundhed. Disse enheder er underlagt strengere tilsyn og strengere sanktioner ved manglende overholdelse af direktivets krav.
  
  
• Vigtige enheder: Virksomheder i andre kritiske sektorer, som stadig har en betydelig rolle i samfundets funktion, men hvor tilsynet er mindre intensivt sammenlignet med væsentlige enheder. Sanktionerne for manglende overholdelse er også mindre strenge end for væsentlige enheder.

Denne differentiering sikrer, at tilsyn og krav er proportionale med enhedens betydning for samfundets kritiske infrastruktur og tjenester.

Det er vigtigt for virksomheder at vide, om de falder ind under en af disse kategorier. Det er nemlig afgørende for, om de opfylder de specifikke krav og forpligtelser under NIS2-direktivet.

Hvem har sluppet for NIS2-direktivet?

Sammenlignet med det første NIS-direktiv, er det nu langt flere virksomheder, der er inkluderet i NIS2. Dog er der stadig nogle virksomheder, der fritages for direktivets regler og sanktioner – selvom de kategoriseres som "væsentlige enheder" eller "vigtige enheder".

Forvirret?

Det kan vi godt forstå. Men lad os prøve at bryde det ned.

Først og fremmest har EU’s medlemslande nu mulighed for at undtage enheder inden for forsvar, national sikkerhed og retshåndhævelse fra NIS2. Derudover gælder det, at mikrovirksomheder og små virksomheder i udgangspunktet ikke er omfattet af NIS2-direktivet – uanset hvilken kategorisering de har.

Mikrovirksomheder og små virksomheder er defineret ved, at de har under 50 ansatte og en samlet årlig balance eller årlig omsætning på under 10 millioner euro.

Igen er der dog en undtagelse. For hvis disse mikrovirksomheder og små virksomheder hører under en af følgende brancher, er de alligevel omfattet af NIS2-direktivet på trods af deres størrelse.

Det gælder for virksomheder i følgende brancher:

• Udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester
• Tillidstjenesteudbydere (valideringstjenester)
• Udbydere af topdomænenavneregistre (TLD) og domænenavnssystemer (DNS)
• Enheder, der er eneudbydere af en ydelse i en medlemsstat, som er væsentlig for vedligeholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter
• Enheder, der leverer ydelser, som er kritiske for samfundet, offentligheden eller en konkret sektor

Hvilke krav stiller NIS2 til din organisation?

Hvis din virksomhed er ny i “NIS-regi”, er du sikkert meget interesseret i at høre mere om, hvilke krav der helt lavpraktisk er for din virksomhed. Men selv hvis man sidder i en virksomhed, som også har været berørt af det tidligere NIS-direktiv, bør man spidse ører.

For udover at langt flere virksomheder er berørt af direktivet, er der også flere og skrappere krav inkluderet.

Med henblik på at styrke Europas modstandsdygtighed mod nuværende og fremtidige cybertrusler, har NIS2-direktivet nemlig introduceret en række nye krav og forpligtelser for organisationer inden for fire overordnede områder:

• Risikostyring
• Ledelse
• Rapporteringsforpligtelser
• Og forretningskontinuitet

Det betyder helt konkret:

Ledelsen i din virksomhed har nu et direkte ansvar for cybersikkerheden. De skal forstå NIS2-direktivets krav og aktivt arbejde med risikostyring. Det betyder, at de løbende skal identificere og håndtere cyberrisici samt sikre, at alle krav overholdes.

NIS2-direktivet sætter nu stigende krav til risikostyring og robusthed. Din virksomhed skal derfor implementere foranstaltninger, der forebygger og begrænser skader, hvis ikke det allerede er gjort. 

Det kan f.eks. inkludere effektiv hændelseshåndtering, sikring af it-sikkerhed i hele forsyningskæden samt beskyttelse af netværk gennem adgangskontrol og kryptering.

Forretningskontinuitet er også en nøgleprioritet. Din virksomhed skal kunne håndtere større cyberhændelser og sikre, at driften kan fortsætte. Derfor skal virksomheder have planer for systemgenopretning, nødprocedurer og en agil kriseorganisation.

NIS2-direktivet har også medbragt skærpede krav til rapportering til myndighederne. NIS2-direktivet kræver nemlig korrekt og hurtig rapportering af større hændelser inden for 24 timer efter opdagelsen. Derfor er det essentielt at have en effektiv rapporteringsproces på plads.

De 10 mininumsforanstaltninger

Ud over de fire overordnede områder for krav pålægger NIS2-direktivet væsentlige og vigtige enheder at implementere grundlæggende sikkerhedsforanstaltninger til håndtering af specifikke former for sandsynlige cybertrusler.

Disse omfatter:

1. Risikovurderinger og sikkerhedspolitikker for informationsystemer.
   
   
2. Politikker og procedurer til evaluering af effektiviteten af sikkerhedsforanstaltninger.
   
   
3. Politikker og procedurer for brug af kryptografi og eventuelt kryptering.
   
   
4. En plan for håndtering af sikkerhedshændelser.
   
   
5. Sikkerhed omkring indkøb af systemer og udvikling og drift af systemer. Dette indebærer at have politikker for håndtering og rapportering af sårbarheder.
   
   
6. Cybersikkerhedstræning og praksis for grundlæggende computerhygiejne.
   
   
7. Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data, inklusive politikker for dataadgang. Berørte organisationer skal også have en oversigt over alle relevante aktiver og sikre, at de anvendes og håndteres korrekt.
   
   
8. En plan for håndtering af forretningsaktiviteter under og efter en sikkerhedshændelse. Dette indebærer, at sikkerhedskopier skal være opdaterede. Der skal også være en plan for at sikre adgangen til IT-systemer og deres driftsfunktioner under og efter en sikkerhedshændelse.
   
   
9. Anvendelsen af multifaktorgodkendelse, løbende godkendelsesløsninger, stemme-, video- og tekstkryptering samt krypteret intern nødkommunikation, når det er relevant.
   
   
10. Sikkerhed omkring forsyningskæder og forholdet mellem virksomheden og direkte leverandører. Virksomheder skal vælge sikkerhedsforanstaltninger, der passer til sårbarhederne hos hver enkelt direkte leverandør. Virksomhederne skal også vurdere det overordnede sikkerhedsniveau for alle leverandører.

Hvordan føres der tilsyn med NIS2-direktivet?

Som med al anden lovgivning er det vigtigt, at man lever op til ovenstående lovkrav. Gør man ikke det, kan man risikere en række forskellige sanktioner. Mulighederne for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.

Med indførelsen af NIS2-direktivet bliver myndighedernes tilsyn udvidet både i dybde og rækkevidde. Tilsynet er nu mere omfattende og dækker en bredere vifte af sektorer.

Det indebærer, at tilsynsmyndighederne nu er mere engagerede i at sikre overholdelsen af direktivets krav, og at flere sektorer nu er omfattet af direktivets bestemmelser.

For de organisationer, der betragtes som væsentlige enheder, vil der være en kontinuerlig form for tilsyn, hvor revisioner, rapportering og peer reviews er inkluderet.

Organisationer, der er kategoriseret som vigtige enheder, kan forvente et tilsyn, der også involverer tvungne revisioner og rapportering, hvis der opstår mistanke om, at de ikke lever op til direktivets krav.

Lever man ikke op til kravene, falder hammeren. Og den slår hårdt. 

For ligesom da GDPR-lovgivningen blev indført, har EU det store bødehæfte med i lommen – klar til at sanktionere de virksomheder, der ikke formår at leve op til kravene i NIS2-direktivet.

For at give en fornemmelse af hårdheden i sanktionerne, kan vi kigge på størrelsen af de bøder, man kan risikere. Vigtige enheder kan risikere bøder på 7.000.000 EUR eller 1,4 % af den årlige omsætning, hvis dette beløb er højere. De væsentlige enheder kan risikere bøder i størrelsen på 10.000.000 EUR eller 2 % af den årlige omsætning, hvis dette beløb er højere.

Tidslinje for implementering af NIS2-direktivet i Danmark

Direktivet blev formelt vedtaget den 10. november 2022 og trådte i kraft den 18. januar 2023. Herefter havde medlemslandene en frist på 21 måneder til at implementere direktivet i national lovgivning, hvilket satte den oprindelige deadline til den 17. oktober 2024.

I Danmark var implementeringen af NIS2-direktivet forsinket i forhold til EU’s oprindelige frist. Den danske NIS2-lov blev vedtaget i starten af 2025 og trådte i kraft den 1. juli 2025, hvorefter de nye krav til cybersikkerhed og rapportering nu gælder for omfattede virksomheder.

Danske virksomheder og organisationer bør derfor sikre, at deres processer, dokumentation og cybersikkerhedsforanstaltninger allerede lever op til de gældende krav.

Er din virksomhed rustet til NIS?

Efter indførelsen af NIS2 i Danmark er det afgørende, at både offentlige og private enheder aktivt forholder sig til, hvordan de lever op til kravene. NIS2 er ikke længere noget, der skal forberedes.

Det skal efterleves.

Hvis din virksomhed er omfattet af NIS2, bør I allerede have styr på følgende, eller være i gang med det:

Har I:

• Udarbejdet et opdateret overblik over jeres informationsaktiver og forretningskritiske processer som grundlag for risikovurdering og prioritering?
• Gennemført en gap-analyse af NIS2-kravene i forhold til jeres eksisterende sikkerhedsforanstaltninger?
• Implementeret og dokumenteret en plan for løbende efterlevelse og vedligeholdelse af kravene?

For virksomheder og offentlige institutioner, der ikke tidligere har været omfattet af NIS-regulering, kan NIS2 medføre betydelige organisatoriske, tekniske og økonomiske krav.

Men også enheder, der allerede var underlagt det tidligere NIS-direktiv, skal tilpasse deres sikkerhedsarbejde til de skærpede krav i NIS2.

Uanset udgangspunkt er det centralt, at NIS2 håndteres som et ledelsesansvar. Direktivet stiller eksplicit krav om ledelsesmæssig involvering og ansvar, og det forudsætter, at der afsættes tilstrækkelige ressourcer til både implementering, dokumentation og løbende opfølgning.