NIS2 — alt du skal vide som dansk SMV
Hvem er omfattet, hvad er kravene, hvad koster bøderne, og hvad gør I nu? Samlet på én side fra en NIS2-certificeret IT-konsulent — uden jurist-jargon og uden skræmmekampagne.
NIS2-certificeret — NIS2DTP, Cyber Risk GmbH (juni 2024, cert-nr. 364314)NIS2 er det EU-direktiv der har ændret cybersikkerhed fra "noget IT-afdelingen forhåbentlig tager sig af" til en konkret lovforpligtelse med personligt ledelsesansvar og bøder op til 10 mio. EUR.
I Danmark trådte loven i kraft 1. juli 2025, og den rammer ca. 1.500 virksomheder direkte — plus mange flere indirekte gennem leverandørkæde-krav. Hvis I leverer noget som helst til en NIS2-omfattet virksomhed, vil I sandsynligvis blive bedt om at dokumentere jeres egen sikkerhed inden længe.
Denne side samler det jeg får flest spørgsmål om. Hvis I vil teste hurtigt om I er omfattet, så start med NIS2-tjek-værktøjet. Hvis I vil sammenligne NIS2 med ISO 27001, eller forstå hvad jeres NIS2-omfattede kunder spørger jer om, så er der dybde-artikler længere nede. Og hvis I bare vil snakke med et menneske om jeres situation, ligger formularen i bunden.
Start her
Tre veje ind i NIS2-stoffet, alt efter hvor I står.
Er I omfattet af NIS2?
6 spørgsmål om sektor, størrelse og leverandør-relationer. I får et klart svar: omfattet, indirekte berørt, eller udenfor.
Tag tjekket →NIS2 vs ISO 27001
Skal I efterleve NIS2 eller certificere efter ISO 27001? Hvor overlapper de, hvad koster det, og hvilken passer til jeres situation?
Læs sammenligningen →NIS2 og jeres leverandører
Jeres NIS2-omfattede kunder begynder at spørge. Hvad spørger de om, og hvordan svarer I uden at love mere end I kan holde?
Læs vejledningen →Ofte stillede spørgsmål om NIS2
Det jeg oftest bliver spurgt om — fra direktion, IT-chefer og CFO'er der prøver at få klarhed på et komplekst direktiv.
Hvad er NIS2-direktivet?
NIS2 er et EU-direktiv (2022/2555) om cybersikkerhed der erstatter det oprindelige NIS1-direktiv fra 2016. I Danmark er det implementeret via Lov om cyber- og informationssikkerhed (lov nr. 1672 af 26. december 2024) som trådte i kraft 1. juli 2025.
Direktivet stiller krav til risikostyring, hændelsesrapportering, ledelsesansvar og leverandørkæde-sikkerhed for ca. 1.500 danske virksomheder direkte — plus mange flere indirekte gennem leverandørkrav. Det er den største ændring i europæisk cybersikkerhedslovgivning siden GDPR.
Hvad er forskellen på NIS1 og NIS2?
Tre vigtige ændringer.
For det første: bredere scope. NIS2 dækker 18 sektorer mod NIS1's 7, og inkluderer mellemstore virksomheder — ikke kun store. For det andet: ledelsesansvar. Bestyrelse og direktion kan personligt holdes ansvarlige under NIS2, inklusiv mulig erstatningsansvar og forbud mod ledelseshverv. For det tredje: bøder op til 10 mio. EUR eller 2% af global årsomsætning for væsentlige enheder.
NIS1 var primært guidance der pegede i en retning. NIS2 er enforcement med konsekvenser.
Hvilke sektorer er omfattet af NIS2?
To kategorier opdelt i Annex I og II.
Annex I — Væsentlige enheder (11 sektorer): energi, transport, bank, finansmarkedsinfrastruktur, sundhed, drikke- og spildevand, digital infrastruktur, ICT-tjenester, offentlig forvaltning, rumfart, kritisk produktionsindustri.
Annex II — Vigtige enheder (7 sektorer): post og kurer, affaldshåndtering, kemikalier, fødevareproduktion, anden produktionsindustri, digitale tjenesteudbydere, forskning.
Hvis I er i en af de 18 sektorer OG har 50+ ansatte eller 10+ mio. EUR omsætning, er I som udgangspunkt omfattet. Mindre virksomheder kan også blive omfattet, hvis de leverer kritiske tjenester. Brug NIS2-tjek-værktøjet for en konkret indikation.
Hvad er bødestørrelserne under NIS2?
Væsentlige enheder (Annex I): op til 10 mio. EUR eller 2% af global årsomsætning, alt efter hvad der er højst.
Vigtige enheder (Annex II): op til 7 mio. EUR eller 1,4% af global årsomsætning.
Hertil kommer personligt ansvar for ledelse — i særligt grove tilfælde kan direktører forbydes at varetage ledelseshverv. Det er disse bøder der gør NIS2 til reelt enforcement, modsat NIS1 hvor sanktionerne i praksis var symbolske.
Hvad indebærer risikostyring under NIS2 (Artikel 21)?
Artikel 21 lister 10 minimumskrav som alle skal adresseres:
1) risikoanalyse og informationssikkerhedspolitik · 2) hændelseshåndtering · 3) business continuity og backup · 4) leverandørkæde-sikkerhed · 5) sikkerhed ved indkøb, udvikling og vedligeholdelse · 6) vurdering af foranstaltningers effektivitet · 7) cyberhygiejne og awareness-træning · 8) kryptografi og kryptering · 9) personalesikkerhed og adgangskontrol · 10) multifaktor-godkendelse og sikker kommunikation.
Det er ikke en valgfri tjekliste. Alle 10 punkter skal være på plads, dokumenteret, og kunne fremvises ved tilsyn.
Hvor lang tid har vi til at blive compliant med NIS2?
Den danske NIS2-lov trådte i kraft 1. juli 2025, og omfattede virksomheder er underlagt kravene fra den dato. Tilsynet (CFCS for de fleste sektorer) startede med en blød indkøringsperiode, men forventes at intensivere kontrollen markant fra 2026 og frem.
Praktisk betyder det: hvis I er omfattet, skal I have grundlæggende risikovurdering, dokumenteret informationssikkerhedspolitik, hændelsesrapporterings-procedurer og leverandørkæde-vurdering på plads nu — ikke om seks måneder. En GAP-analyse er det hurtigste sted at få overblik over hvor langt I er.
Skal vi have en CISO under NIS2?
Direktivet kræver ikke en CISO med titel, men det kræver klar ansvarsplacering for informationssikkerhed på ledelsesniveau (Artikel 20 stk. 2), og at ledelsen kan dokumentere de sikkerhedsforanstaltninger der er truffet.
I praksis kan SMV'er tildele rollen til en eksisterende leder — typisk IT-chef eller direktør — med formel ansvarsbeskrivelse. Eller benytte ekstern CISO-as-a-service. Det vigtige er at rollen er navngiven, at ledelsen får jævnlig rapportering, og at det hele kan dokumenteres over for tilsynet.
Hvad er ledelsens ansvar under NIS2?
Ledelsen — bestyrelse og direktion — skal:
· godkende risikostyringsforanstaltningerne · modtage uddannelse i cybersikkerhed mindst én gang om året · kunne holdes personligt ansvarlige for manglende efterlevelse, inklusiv mulig erstatningsansvar og midlertidigt forbud mod ledelseshverv.
Det er en fundamental ændring fra NIS1, hvor ansvaret var organisatorisk. Konkret betyder det at bestyrelsesreferater skal vise at NIS2-emner er behandlet, og at kursusbeviser for ledelsesuddannelse skal kunne fremvises ved tilsyn.
Hvilke kurser eller certificeringer findes inden for NIS2?
For ledelsesuddannelse findes danske kurser fra Dansk Industri, Dansk Erhverv og DI Digital. Det er typisk 1-2 dages forløb der opfylder Artikel 20-kravet om årlig uddannelse.
For NIS2-faglig certificering har Cyber Risk GmbH NIS2DTP-programmet (NIS2 Directive Trained Professional), som jeg selv har taget. Det er den mest omfattende civile NIS2-certificering jeg har fundet.
For tekniske rammer er der ingen "NIS2-certificering" som sådan — sikkerheden måles i praksis mod kontrolrammer som CIS Controls v8 eller ISO 27001. Hvis I vil have et internationalt anerkendt certifikat at fremvise tilsynet, er ISO 27001 stadig den mest udbredte ramme der dækker størstedelen af NIS2's krav.
Hvor finder jeg den danske NIS2-lovgivning?
Den danske implementering hedder Lov om cyber- og informationssikkerhed (lov nr. 1672 af 26. december 2024), suppleret af bekendtgørelse om foranstaltninger og bekendtgørelse om hændelsesrapportering fra samme dato. Alt ligger frit tilgængeligt på retsinformation.dk.
CFCS (Center for Cybersikkerhed under Forsvarets Efterretningstjeneste) er tilsynsmyndighed for de fleste sektorer. Finanssektoren tilses af Finanstilsynet, og energisektoren af Energistyrelsen.
Vil I have en konkret vurdering af jeres NIS2-situation?
En GAP-analyse er det hurtigste sted at få overblik. I får en score, en prioriteret handlingsplan, og dokumentation der holder til både revisor og tilsyn — bygget på CIS Controls v8 og NIS2 Artikel 21.
Skriv et par linjer om jeres situation, så vender jeg tilbage med typisk inden for 2 timer i arbejdstiden. Ingen salgstale, intet pres.