NIS2 er EU's opdaterede direktiv for cybersikkerhed, og det er langt mere vidtrækkende end sin forgænger. Siden oktober 2024 er direktivet implementeret i dansk lovgivning, og det stiller klare krav til, hvordan virksomheder skal beskytte sig mod digitale trusler. Spørgsmålet er: gælder det dig?

Hvem er omfattet af NIS2?

NIS2 skelner mellem to kategorier: væsentlige enheder og vigtige enheder. Kategorien afhænger primært af din branche og din virksomheds størrelse.

Direktivet dækker 18 sektorer — herunder energi, transport, sundhed, finans, vanddistribution, digital infrastruktur og offentlig forvaltning. Men også mange IT-leverandører, cloud-udbydere og managed service providers er nu direkte reguleret.

Som udgangspunkt gælder NIS2 for virksomheder, der:

  • Har mindst 50 ansatte, eller
  • Har en omsætning eller balance på over 10 mio. euro

Mindre virksomheder kan alligevel være omfattet, hvis de leverer kritiske ydelser — eksempelvis en lille leverandør til et hospital eller en energivirksomhed. Her er det leverandørens rolle i forsyningskæden, der afgør det.

Vigtigt at vide: Selvom din virksomhed ikke er direkte reguleret af NIS2, kan dine kunder kræve, at du lever op til tilsvarende krav som del af deres forsyningskædesikkerhed. NIS2 påvirker dermed indirekte mange SMV'er i Danmark.

Hvad kræver NIS2 konkret?

NIS2 opstiller en række tekniske og organisatoriske krav, som virksomheder skal opfylde. De vigtigste elementer er:

Risikostyring

Du skal have dokumenterede processer til at identificere og håndtere cybersikkerhedsrisici. Det indebærer en løbende risikovurdering, klare politikker for adgangsstyring, kryptering og sikker konfiguration af systemer. Det er ikke tilstrækkeligt at have en firewall — du skal kunne dokumentere, hvordan du arbejder med risici systematisk.

Hændelsesrapportering

Sker der et alvorligt sikkerhedsbrud, skal du underrette de relevante myndigheder inden for 24 timer med en indledende varsling og give en mere detaljeret rapport inden for 72 timer. Det kræver, at du i forvejen har processer på plads til at opdage og klassificere hændelser.

Forsyningskædesikkerhed

Du har ansvar for at vurdere sikkerheden hos dine leverandører og underleverandører. Angreb via forsyningskæden — hvor hackere kompromitterer en leverandør for at nå videre til kunden — er en af de hurtigst voksende trusselstyper. NIS2 kræver, at du aktivt forholder dig til denne risiko.

Første skridt mod NIS2-efterlevelse

Mange virksomheder ved ikke, hvor de skal begynde. Her er en praktisk startliste:

  1. Afklar om du er direkte omfattet — gennemgå din sektor og størrelse med udgangspunkt i den danske implementeringslov.
  2. Kortlæg dine kritiske systemer og data — hvad ville koste mest, hvis det lå nede i 48 timer?
  3. Gennemfør en gap-analyse — hvor er der huller mellem jeres nuværende sikkerhedsniveau og NIS2's krav?
  4. Udpeg en ansvarlig — NIS2 placerer eksplicit ansvar på ledelsesniveau. Bestyrelsen kan ikke løfte hænderne.
  5. Lav en hændelsesresponsplan — hvem gør hvad, når det sker? Og hvem kontakter myndighederne?

NIS2 er ikke bare et compliancekrav — det er en mulighed for at styrke virksomhedens modstandsdygtighed over for de trusler, der rent faktisk eksisterer derude. Jo tidligere du går i gang, jo bedre er du stillet, når myndighederne begynder at føre tilsyn.