NIS2: Skal jeres virksomhed leve op til NIS2?

15. jun. 2026
15. jun. 2026

NIS2 er en af de mest omfattende cybersikkerhedsreguleringer, der er blevet indført i EU. Formålet er at styrke beskyttelsen af kritisk infrastruktur, digitale tjenester og samfundsvigtige funktioner mod cyberangreb og sikkerhedshændelser. For mange danske virksomheder betyder reglerne nye krav til både ledelse, risikostyring, dokumentation og rapportering.

Med implementeringen af NIS2 er cybersikkerhed ikke længere alene et teknisk anliggende. Lovgivningen placerer et tydeligt ansvar hos virksomhedens ledelse og stiller krav om systematisk håndtering af cybersikkerhedsrisici.

Hvad er NIS2?

NIS2 er EU-direktiv 2022/2555 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i Unionen. Direktivet erstatter det tidligere NIS-direktiv (NIS1) og udvider både antallet af omfattede sektorer og de krav, der stilles til organisationerne.

Formålet er at skabe et mere ensartet og robust cybersikkerhedsniveau på tværs af medlemslandene. Direktivet skal sikre, at organisationer, som leverer samfundskritiske eller vigtige tjenester, har de nødvendige processer, teknologier og beredskaber til at modstå cybertrusler.

I Danmark er NIS2 implementeret gennem lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau samt en række sektorspecifikke regler. Lovgivningen trådte i kraft i 2025 og omfatter både offentlige og private organisationer inden for en lang række sektorer.

Hvorfor er NIS2 blevet indført?

Digitaliseringen af samfundet har gjort virksomheder og myndigheder mere afhængige af netværk og informationssystemer. Samtidig er cyberangreb blevet mere avancerede og hyppigere.

Et succesfuldt cyberangreb mod eksempelvis energiforsyning, sundhedssektor, transport eller digitale infrastrukturer kan få alvorlige konsekvenser for både borgere, virksomheder og samfundet som helhed.

NIS2 skal derfor sikre, at organisationer arbejder mere systematisk med cybersikkerhed, risikostyring og hændelseshåndtering.

Hvem skal leve op til NIS2?

NIS2 omfatter væsentlige og vigtige enheder inden for en række samfundskritiske og økonomisk betydningsfulde sektorer. Direktivet udvider kredsen af omfattede organisationer betydeligt sammenlignet med det tidligere NIS-direktiv.

Som udgangspunkt er en virksomhed omfattet, hvis den opererer inden for en af de omfattede sektorer og samtidig opfylder størrelseskriterierne for mellemstore eller store virksomheder. Der findes dog flere undtagelser, hvor organisationer kan være omfattet uanset størrelse.

Omfattede sektorer og organisationer

  • Energi
    Virksomheder, der producerer, transporterer, distribuerer eller lagrer elektricitet, fjernvarme, olie, gas eller brint. Dette omfatter eksempelvis elnetselskaber, energiproducenter og gasdistributionsselskaber.

  • Transport
    Organisationer inden for luftfart, jernbane, søtransport og vejtransport. Det kan blandt andet være lufthavne, havne, jernbaneoperatører og trafikstyringsvirksomheder.

  • Bank og finansielle markedsinfrastrukturer
    Kreditinstitutter, banker og visse virksomheder, der understøtter finansielle transaktioner og markedsfunktioner.

  • Sundhedssektoren
    Hospitaler, private sundhedsudbydere, laboratorier, medicinalvirksomheder og producenter af medicinsk udstyr.

  • Drikkevand og spildevand
    Virksomheder og forsyninger, der leverer drikkevand eller håndterer spildevandsbehandling.

  • Digital infrastruktur
    Udbydere af internetknudepunkter, DNS-tjenester, topdomæneregistre, cloud-infrastruktur og andre centrale internetfunktioner.

  • Digitale tjenester
    Cloududbydere, datacenteroperatører, managed service providers (MSP'er), managed security service providers (MSSP'er), online markedspladser, søgemaskiner og sociale netværksplatforme.

  • Elektronisk kommunikation
    Teleoperatører og udbydere af offentlige elektroniske kommunikationsnet og -tjenester.

  • Offentlig forvaltning
    Statslige myndigheder, regioner, kommuner og andre offentlige organer, der er omfattet af den danske implementering.

  • Fremstillingsindustrien
    Udvalgte fremstillingsvirksomheder inden for blandt andet medicinsk udstyr, computere, elektronik, maskiner, motorkøretøjer og kemiske produkter.

  • Post- og kurertjenester
    Virksomheder, der leverer post- og logistikydelser.

Hvor store skal virksomhederne være?

Som hovedregel anvender NIS2 EU's definition af mellemstore og store virksomheder.

En virksomhed vil typisk være omfattet, hvis den har:

  • Mindst 50 ansatte og
  • En årlig omsætning på over 10 mio. euro eller en samlet årlig balance på over 10 mio. euro.

Det betyder eksempelvis, at en produktionsvirksomhed med 120 ansatte eller en cloudleverandør med 75 medarbejdere som udgangspunkt vil være omfattet, hvis virksomheden opererer inden for en af de relevante sektorer.

Virksomheder med færre end 50 ansatte og under de økonomiske tærskelværdier vil som udgangspunkt ikke være omfattet af NIS2. Der findes dog undtagelser for organisationer, som leverer særligt kritiske tjenester eller driver kritisk infrastruktur, hvor virksomheden kan være omfattet uanset størrelse.

Undtagelser hvor størrelse ikke er afgørende

Nogle organisationer kan være omfattet af NIS2, selv om de ikke opfylder størrelseskriterierne.

Det gælder blandt andet, hvis organisationen:

  • Leverer en tjeneste, som er kritisk for samfundet eller økonomien.
  • Har en særlig betydning for en kritisk forsyningskæde.
  • Er den eneste leverandør af en vigtig tjeneste i et område eller en sektor.
  • Driver kritisk digital infrastruktur.
  • Er udpeget som kritisk enhed efter anden relevant lovgivning.

Det betyder, at en relativt lille virksomhed i visse tilfælde kan være omfattet, hvis dens funktion vurderes at være samfundskritisk.

Virksomheder skal selv vurdere deres status

En vigtig forskel i forhold til tidligere regulering er, at mange organisationer selv skal vurdere, om de er omfattet af NIS2. Vurderingen skal ske på baggrund af virksomhedens sektor, størrelse, aktiviteter og betydning for samfundet eller forsyningskæderne.

Hvis virksomheden er omfattet, skal den registrere sig hos den relevante myndighed og kunne dokumentere grundlaget for vurderingen.

Hvordan afgør en virksomhed, om den er omfattet?

Virksomheder skal som udgangspunkt selv vurdere, om de falder inden for lovens anvendelsesområde. Dette er en væsentlig ændring i forhold til tidligere regulering, hvor myndighederne i højere grad udpegede de omfattede organisationer.

Vurderingen afhænger blandt andet af:

  • Virksomhedens sektor
  • Virksomhedens størrelse
  • De tjenester eller produkter virksomheden leverer
  • Virksomhedens betydning for samfundet eller forsyningskæder
  • Eventuelle sektorspecifikke regler

Omfattede virksomheder skal registrere sig hos de relevante myndigheder og være i stand til at dokumentere, hvorfor de er omfattet eller ikke omfattet af reglerne.

Hvad er kravene i NIS2?

NIS2 fokuserer på risikobaseret cybersikkerhed. Organisationer skal gennemføre passende tekniske, operationelle og organisatoriske sikkerhedsforanstaltninger.

De centrale krav omfatter blandt andet:

  • Politikker for risikostyring og informationssikkerhed
  • Hændelseshåndtering
  • Beredskabs- og kontinuitetsplanlægning
  • Backup- og gendannelsesprocedurer
  • Krisestyring
  • Leverandør- og forsyningskædesikkerhed
  • Sikker udvikling og vedligeholdelse af systemer
  • Håndtering af sårbarheder
  • Cybersikkerhedstræning og awareness
  • Adgangsstyring
  • Kryptering, hvor relevant
  • Multifaktorgodkendelse og stærk autentifikation
  • Løbende evaluering af sikkerhedsforanstaltningernes effektivitet

Kravene skal tilpasses virksomhedens risikoprofil, størrelse og eksponering mod trusler. Der findes derfor ikke én standardløsning, som passer til alle organisationer.

Krav til hændelsesrapportering

En central del af NIS2 er kravet om rapportering af væsentlige sikkerhedshændelser.

Når en organisation bliver opmærksom på en væsentlig hændelse, skal den reagere hurtigt og underrette de relevante myndigheder inden for de fastsatte tidsfrister.

Formålet er at sikre hurtig koordinering, begrænse konsekvenserne af angreb og styrke det fælles europæiske cybersikkerhedsberedskab.

Ledelsens ansvar under NIS2

NIS2 gør cybersikkerhed til et ledelsesansvar. Direktivet understreger, at virksomhedens ledelse skal godkende cybersikkerhedsforanstaltninger og føre tilsyn med deres implementering.

Ledelsen forventes blandt andet at:

  • Forstå virksomhedens cybersikkerhedsrisici
  • Sikre tilstrækkelige ressourcer til sikkerhedsarbejdet
  • Følge op på sikkerhedsforanstaltninger
  • Sikre efterlevelse af lovgivningen
  • Understøtte en sikkerhedskultur i organisationen

Dette betyder, at cybersikkerhed i stigende grad bliver en fast del af virksomhedens governance- og risikostyringsarbejde.

Hvilket krav er der til en virksomhed, der skal leve op til NIS2?

En virksomhed, der er omfattet af NIS2, skal kunne dokumentere et struktureret og risikobaseret cybersikkerhedsarbejde.

Det indebærer blandt andet, at virksomheden skal:

  • Identificere og vurdere cybersikkerhedsrisici
  • Implementere passende sikkerhedsforanstaltninger
  • Udarbejde relevante politikker og procedurer
  • Håndtere sikkerhedshændelser effektivt
  • Gennemføre løbende forbedringer af sikkerhedsarbejdet
  • Inddrage ledelsen aktivt i cybersikkerhedsindsatsen
  • Registrere sig hos relevante myndigheder, hvis loven kræver det

Virksomheden skal samtidig kunne dokumentere, at de valgte foranstaltninger er proportionale i forhold til de risici, virksomheden står overfor.

Konsekvenser ved manglende efterlevelse

NIS2 giver myndighederne udvidede muligheder for tilsyn og håndhævelse. Organisationer kan blive mødt med påbud, krav om afhjælpning og økonomiske sanktioner ved alvorlige overtrædelser.

Derudover kan manglende cybersikkerhed medføre betydelige driftsmæssige og omdømmemæssige konsekvenser, hvis virksomheden bliver ramt af et cyberangreb.

NIS2 som en del af virksomhedens risikostyring

NIS2 handler i sidste ende om at gøre organisationer mere robuste over for cybertrusler. Direktivet stiller krav til både teknologi, processer og ledelse og understreger, at cybersikkerhed skal integreres i virksomhedens samlede risikostyring.

For omfattede virksomheder er arbejdet med NIS2 derfor ikke et enkeltstående compliance-projekt, men en løbende proces, hvor sikkerhed, dokumentation og organisatorisk modenhed går hånd i hånd.

Læs mere om NIS2 og disclaimer

Dette blogindlæg er for at give jer information om og vejledning i NIS2 ud fra bedste evne, og er primært rettet mod danske virksomheder. Det er til hver en tid jeres ansvar at undersøge om I er dækket af NIS2 og skribenten kan ikke stilles til ansvar - ej heller ved forkerte oplysninger i blogindlæg.

Læs mere om NIS 2 på Styrelse for samfundssikkerhed
Læs mere om NIS 2 på Digitaliseringsstyrelsen

Spørgsmål/svar om NIS2

Hvad er NIS2?

NIS2 er EU's cybersikkerhedsdirektiv, der skal styrke sikkerheden i netværks- og informationssystemer hos samfundskritiske og vigtige organisationer.

Hvem er omfattet af NIS2?

NIS2 omfatter en lang række private og offentlige organisationer inden for blandt andet energi, transport, sundhed, digital infrastruktur, telekommunikation, finans og offentlig forvaltning.

Hvilke krav stiller NIS2 til virksomheder?

Virksomheder skal arbejde systematisk med risikostyring, hændelseshåndtering, leverandørsikkerhed, adgangskontrol, cybersikkerhedstræning og dokumentation af sikkerhedsforanstaltninger.

Skal sikkerhedshændelser rapporteres under NIS2?

Ja. Omfattede organisationer skal rapportere væsentlige sikkerhedshændelser til de relevante myndigheder inden for de fastsatte tidsfrister.

Har ledelsen et ansvar under NIS2?

Ja. Ledelsen skal godkende cybersikkerhedsforanstaltninger, føre tilsyn med implementeringen og sikre, at virksomheden efterlever lovgivningen.

Er alle virksomheder omfattet af NIS2?

Nej. Om virksomheden er omfattet afhænger blandt andet af sektor, størrelse, aktiviteter og samfundsmæssig betydning.

NIS2NIS2 kravcybersikkerhedNIS2 complianceinformationssikkerhedhændelsesrapporteringrisikostyringcybersikkerhedslovgivning
NIS2: Skal jeres virksomhed leve op til NIS2?