NIS2 — alt du skal vide som dansk SMV
Hvem er omfattet, hvad er kravene, hvad koster bøderne, og hvad gør I nu? Samlet på én side fra en NIS2DTP-certificeret IT-konsulent — med praktisk vejledning til Artikel 21-kravene, leverandørkæde-sikkerhed og dansk NIS2-implementering for SMV'er.
NIS2DTP-certificeret — NIS 2 Directive Trained Professional, Cyber Risk GmbH (juni 2024, cert-nr. 364314)
NIS2-direktivet har ændret cybersikkerhed i danske virksomheder fra "noget IT-afdelingen forhåbentlig tager sig af" til en konkret lovforpligtelse med personligt ledelsesansvar og bøder op til 10 mio. EUR.
Direktivet — formelt EU-direktiv 2022/2555 — erstatter det oprindelige NIS1-direktiv fra 2016. NIS2 lægger fundamentet videre med markant bredere scope, tydeligere pligter, stærkere tilsyn og harmoniserede sanktioner. Hvor NIS1 dækkede 7 sektorer og primært store virksomheder, dækker NIS2 nu 18 sektorer og inkluderer mellemstore og store enheder. Som tommelfingerregel er enheder omfattet ved 50+ ansatte eller mere end 10 mio. EUR i både omsætning og balance (EU's SME-tærskel, jf. Recommendation 2003/361/EC). Det betyder at langt flere danske SMV'er er omfattet, end mange er klar over.
I Danmark er direktivet implementeret som Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven), LOV nr. 434 af 6. maj 2025, som trådte i kraft 1. juli 2025. Loven suppleres bl.a. af BEK nr. 620 af 2. juni 2025 om udpegning af kompetente myndigheder. Det anslås at op mod 1.500 danske virksomheder og myndigheder bliver direkte omfattet — plus væsentligt flere indirekte gennem leverandørkæde-krav (Artikel 21 stk. 2 litra d). Hvis I leverer noget som helst til en NIS2-omfattet virksomhed, vil I sandsynligvis blive bedt om at dokumentere jeres egen sikkerhed inden længe — og dem der ikke kan svare struktureret, bliver erstattet af leverandører der kan.
De konkrete krav i NIS2 Artikel 21 dækker 10 minimumsområder for risikostyring: informationssikkerhedspolitik, hændelseshåndtering, business continuity og backup, leverandørkæde-sikkerhed, sikkerhed ved indkøb og udvikling, vurdering af effektivitet, cyberhygiejne og awareness-træning, kryptografi, personalesikkerhed, samt multifaktor-godkendelse. Alle 10 områder skal adresseres og dokumenteres risikobaseret — niveauet skal være passende og proportionalt med jeres risiko, størrelse og rolle. Tilsynet er sektor-opdelt og varetages af kompetente myndigheder udpeget i BEK 620: bl.a. Styrelsen for Samfundssikkerhed (SAMSIK) for offentlig forvaltning, kommuner og dele af fremstilling, Digitaliseringsstyrelsen for cloud, datacentre og tillidstjenester, Energistyrelsen for energi, og Finanstilsynet for finansiel digital infrastruktur.
Det nye for ledelsen er, at direktivet pålægger personligt ansvar. Bestyrelse og direktion skal godkende risikostyringsforanstaltningerne, sørge for at relevant og regelmæssig uddannelse i cybersikkerhed gennemføres (en årlig opdatering anses som fornuftig praksis), og kan personligt holdes ansvarlige for grov uagtsomhed — inklusiv mulig erstatningsansvar og midlertidigt forbud mod ledelseshverv. Omfattede enheder skulle desuden registrere sig via virk.dk senest 1. oktober 2025, og hændelser indberettes også digitalt via virk.dk, hvor Forsvarets Efterretningstjeneste (FE) fungerer som national CSIRT.
Denne side samler det jeg får flest spørgsmål om. Hvis I vil teste hurtigt om I er omfattet, så start med NIS2-tjek-værktøjet. Hvis I vil sammenligne NIS2 med ISO 27001, eller forstå hvad jeres NIS2-omfattede kunder spørger jer om, så er der dybde-artikler længere nede. Og vil I have det hele forklaret i en samtale, så ring til mig på 6084 6320 (også synligt i toppen) — eller udfyld formularen i bunden.
Start her
Tre veje ind i NIS2-stoffet, alt efter hvor I står.
Er I omfattet af NIS2?
6 spørgsmål om sektor, størrelse og leverandør-relationer. I får et klart svar: omfattet, indirekte berørt, eller udenfor.
Tag tjekket →NIS2 vs ISO 27001
Skal I efterleve NIS2 eller certificere efter ISO 27001? Hvor overlapper de, hvad koster det, og hvilken passer til jeres situation?
Læs sammenligningen →NIS2 og jeres leverandører
Jeres NIS2-omfattede kunder begynder at spørge. Hvad spørger de om, og hvordan svarer I uden at love mere end I kan holde?
Læs vejledningen →Ofte stillede spørgsmål om NIS2
Det jeg oftest bliver spurgt om — fra direktion, IT-chefer og CFO'er der prøver at få klarhed på et komplekst direktiv.
Hvad er NIS2-direktivet?
NIS2 er et EU-direktiv (2022/2555) om cybersikkerhed der erstatter det oprindelige NIS1-direktiv fra 2016. I Danmark er det implementeret via Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven), LOV nr. 434 af 6. maj 2025, som trådte i kraft 1. juli 2025.
Direktivet stiller krav til risikostyring, hændelsesrapportering, ledelsesansvar og leverandørkæde-sikkerhed for op mod 1.500 danske virksomheder og myndigheder direkte — plus væsentligt flere indirekte gennem leverandørkrav. Det er den største ændring i europæisk cybersikkerhedslovgivning siden GDPR.
Hvad er forskellen på NIS1 og NIS2?
Tre vigtige ændringer.
For det første: bredere scope. NIS2 dækker 18 sektorer mod NIS1's 7, og inkluderer mellemstore virksomheder — ikke kun store. For det andet: ledelsesansvar. Bestyrelse og direktion kan personligt holdes ansvarlige under NIS2, inklusiv mulig erstatningsansvar og forbud mod ledelseshverv. For det tredje: bøder op til 10 mio. EUR eller 2% af global årsomsætning for væsentlige enheder.
NIS1 lagde fundamentet. NIS2 skærper kravene markant med bredere scope, tydeligere pligter, stærkere tilsyn og harmoniserede sanktioner på tværs af EU.
Hvilke sektorer er omfattet af NIS2?
To kategorier opdelt i Annex I og II.
Annex I — sektorer med høj kritikalitet: energi, transport, bank, finansiel markedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, IKT-tjenestestyring B2B, offentlig forvaltning og rum.
Annex II — andre kritiske sektorer: post og kurer, affaldshåndtering, kemikalier, fødevarer, fremstilling/produktion (medicinsk udstyr, elektronik, maskiner, motorkøretøjer m.fl.), digitale udbydere og forskning.
Hvis I er i en af de 18 sektorer og opfylder størrelseskriterierne — typisk 50+ ansatte eller mere end 10 mio. EUR i både omsætning og balance — er I som udgangspunkt omfattet. Mindre virksomheder kan også blive omfattet, hvis de leverer kritiske tjenester (DNS, TLD-registries, trust services m.fl. uanset størrelse). Brug NIS2-tjek-værktøjet for en konkret indikation.
Hvad er bødestørrelserne under NIS2?
Væsentlige enheder: op til 10 mio. EUR eller 2% af global årsomsætning, alt efter hvad der er højst.
Vigtige enheder: op til 7 mio. EUR eller 1,4% af global årsomsætning.
Hertil kommer personligt ansvar for ledelse — i særligt grove tilfælde kan direktører forbydes at varetage ledelseshverv. Det er disse bøder der gør NIS2 til reelt enforcement med harmoniserede sanktioner på tværs af EU.
Klassifikationen som "væsentlig" eller "vigtig" enhed afhænger af både sektor (Annex I vs. II), størrelse og særlige undtagelser — ikke kun af bilag-placeringen.
Hvad indebærer risikostyring under NIS2 (Artikel 21)?
Artikel 21 lister 10 minimumsområder som alle skal adresseres:
1) risikoanalyse og informationssikkerhedspolitik · 2) hændelseshåndtering · 3) business continuity og backup · 4) leverandørkæde-sikkerhed · 5) sikkerhed ved indkøb, udvikling og vedligeholdelse · 6) vurdering af foranstaltningers effektivitet · 7) cyberhygiejne og awareness-træning · 8) kryptografi og kryptering · 9) personalesikkerhed og adgangskontrol · 10) multifaktor-godkendelse og sikker kommunikation.
Alle 10 områder skal adresseres og dokumenteres risikobaseret. Niveauet skal være passende og proportionalt med jeres risiko, størrelse og rolle — ikke samme kontrolniveau for alle organisationer.
Hvor lang tid har vi til at blive compliant med NIS2?
Den danske NIS2-lov trådte i kraft 1. juli 2025, og omfattede virksomheder er underlagt kravene fra den dato. Omfattede enheder skulle desuden registrere sig via virk.dk senest 1. oktober 2025. Tilsynet startede med en blød indkøringsperiode, men forventes at intensivere markant fra 2026 og frem.
Praktisk betyder det: hvis I er omfattet, skal I have grundlæggende risikovurdering, dokumenteret informationssikkerhedspolitik, hændelsesrapporterings-procedurer og leverandørkæde-vurdering på plads nu — ikke om seks måneder. En GAP-analyse er det hurtigste sted at få overblik over hvor langt I er.
Skal vi have en CISO under NIS2?
Direktivet kræver ikke en CISO med titel, men det kræver klar ansvarsplacering for informationssikkerhed på ledelsesniveau (Artikel 20 stk. 2), og at ledelsen kan dokumentere de sikkerhedsforanstaltninger der er truffet.
I praksis kan SMV'er tildele rollen til en eksisterende leder — typisk IT-chef eller direktør — med formel ansvarsbeskrivelse. Eller benytte ekstern CISO-as-a-service. Det vigtige er at rollen er navngiven, at ledelsen får jævnlig rapportering, og at det hele kan dokumenteres over for tilsynet.
Hvad er ledelsens ansvar under NIS2?
Ledelsen — bestyrelse og direktion — skal:
· godkende risikostyringsforanstaltningerne · sørge for at relevant og regelmæssig uddannelse i cybersikkerhed gennemføres (en årlig opdatering anses som fornuftig praksis) · kunne holdes personligt ansvarlige for grov uagtsomhed, inklusiv mulig erstatningsansvar og midlertidigt forbud mod ledelseshverv.
Det er en fundamental ændring fra NIS1, hvor ansvaret primært var organisatorisk. Konkret betyder det at bestyrelsesreferater skal vise at NIS2-emner er behandlet, og at kursusbeviser for ledelsesuddannelse skal kunne fremvises ved tilsyn.
Hvilke kurser eller certificeringer findes inden for NIS2?
For ledelsesuddannelse findes danske kurser fra bl.a. Dansk Industri og Dansk Erhverv. Det er typisk 1-2 dages forløb målrettet Artikel 20-kravet om relevant ledelsesuddannelse — relevansen og dokumentationen ligger hos virksomheden selv.
For NIS2-faglig uddannelse har Cyber Risk GmbH NIS2DTP-programmet (NIS 2 Directive Trained Professional), som jeg selv har taget. Det er en privat fagcertificering — ikke en officiel myndigheds- eller EU-certificering.
For tekniske rammer er der ingen officiel "NIS2-certificering" som sådan — sikkerheden måles i praksis mod kontrolrammer som CIS Controls v8 eller ISO 27001. Hvis I vil have et internationalt anerkendt certifikat at fremvise tilsynet, er ISO 27001 stadig den mest udbredte ramme der dækker størstedelen af NIS2's krav.
Hvor finder jeg den danske NIS2-lovgivning?
Den danske implementering hedder Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven), LOV nr. 434 af 6. maj 2025, suppleret af bl.a. BEK nr. 620 af 2. juni 2025 om udpegning af kompetente myndigheder og digital kommunikation. Alt ligger frit tilgængeligt på retsinformation.dk.
Tilsyn og vejledning varetages af de relevante sektoransvarlige/kompetente myndigheder udpeget i BEK 620: bl.a. Styrelsen for Samfundssikkerhed (SAMSIK) for offentlig forvaltning, kommuner og dele af fremstilling, Digitaliseringsstyrelsen for cloud, datacentre, CDN og tillidstjenester, Energistyrelsen for energi, Finanstilsynet for finansiel digital infrastruktur, samt Trafikstyrelsen, Miljøstyrelsen, Fødevarestyrelsen m.fl. for deres respektive sektorer.
Forsvarets Efterretningstjeneste (FE) fungerer som national CSIRT for hændelsesindberetning, som sker digitalt via virk.dk.
Skal vi registrere os under NIS2?
Ja. Omfattede enheder skal registrere sig digitalt via virk.dk via den selvbetjeningsløsning Styrelsen for Samfundssikkerhed har anvist. Fristen var som udgangspunkt 1. oktober 2025.
Nye eller nyomfattede enheder skal afklare registreringspligten med den relevante kompetente myndighed (afhængigt af jeres sektor — se BEK 620 for udpegning).
Hændelser indberettes også digitalt via virk.dk. Indberetningerne håndteres af Forsvarets Efterretningstjeneste (FE) som national CSIRT.
Hvilke frister gælder for hændelsesrapportering under NIS2?
NIS2 Artikel 23 stiller specifikke krav til rapportering af væsentlige hændelser med en trinvis tidsplan:
· Tidlig advarsel: senest 24 timer efter I bliver opmærksomme på en væsentlig hændelse — kort notifikation om at noget er sket, og om hændelsen fx mistænkes at være ondsindet eller kan have grænseoverskridende betydning.
· Hændelsesunderretning: senest 72 timer efter I bliver opmærksomme på hændelsen — opdateret vurdering med alvorlighed, påvirkning og, hvor tilgængeligt, indikatorer på kompromittering.
· Slutrapport: senest 1 måned efter 72-timers hændelsesunderretningen — fyldestgørende beskrivelse af hændelsen, alvor, påvirkning, sandsynlig årsag, afhjælpende foranstaltninger og eventuel grænseoverskridende effekt.
Hvis hændelsen stadig er i gang på tidspunktet for slutrapporten, skal der i stedet gives en statusrapport, og den endelige slutrapport afleveres senest én måned efter hændelsen er håndteret.
Indberetning sker digitalt via virk.dk. I Danmark håndteres indberetninger af Forsvarets Efterretningstjeneste (CFCS/FE), som varetager opgaven som national CSIRT — og via virk.dk sendes indberetningen automatisk videre til relevante myndigheder baseret på sektor og indberetningstype.
En "væsentlig hændelse" er i Artikel 23 stk. 3 defineret som en hændelse der har forårsaget eller kan forårsage alvorlig driftsforstyrrelse, økonomisk tab eller betydelig materiel/immateriel skade for andre fysiske eller juridiske personer. I praksis bør hændelsen vurderes som potentielt væsentlig, hvis den påvirker kerneydelser, drift, økonomi eller kunder/andre parter mærkbart.
Vil I have en konkret vurdering af jeres NIS2-situation?
En GAP-analyse er det hurtigste sted at få overblik. I får en score, en prioriteret handlingsplan, og dokumentation der holder til både revisor og tilsyn — bygget på CIS Controls v8 og NIS2 Artikel 21.
Skriv et par linjer om jeres situation. Den første samtale er gratis og uforpligtende.