NIS2
NIS2 og betydningen for danske virksomheder
NIS2 er EU’s nye regelsæt for cybersikkerhed, som stiller skærpede krav til, hvordan virksomheder beskytter deres it‑systemer, håndterer cyberhændelser og arbejder med risikostyring. Direktivet skal løfte cybersikkerhedsniveauet i hele EU.
Danmark har implementeret NIS2 gennem NIS2‑loven, som trådte i kraft i 2025.
Kravene gælder både offentlige og private virksomheder i bestemte sektorer, og flere virksomheder er omfattet end tidligere.
Hvilke virksomheder er omfattet?
NIS2 gælder for virksomheder i to grupper:
Kritiske sektorer, fx:
- energi
- transport
- sundhed
- vand og spildevand
- finans
- digital infrastruktur
- offentlig administration
Vigtige sektorer, fx:
- post og kurér
- affaldshåndtering
- forskning
- fødevareproduktion
- produktion af elektronik og medicinsk udstyr
- digitale tjenester som markedspladser, sociale medier og søgemaskiner
Hvad skal man leve op til?
Hvis virksomheden er omfattet, skal man kunne dokumentere:
- styring af risici og klare sikkerhedspolitikker
- tekniske minimumskrav (patching, adgangsstyring, logging, segmentering m.v.)
- hændelseshåndtering og indberetning ved større sikkerhedshændelser
- plan for driftssikkerhed og genopretning
- træning og awareness
Sanktioner
Myndighederne har mulighed for at give påbud og bøder ved mangelfuld efterlevelse.
Er man omfattet, selv om man ikke arbejder i kritisk infrastruktur?
Måske ikke direkte, men mange virksomheder bliver indirekte berørt via krav fra kunder og leverandørkæden. Derfor anbefales det at forholde sig aktivt til NIS2 uanset sektor.
Tag gerne kontakt selv hvis din virksomhed ikke direkte er omfattet, sammen kan vi se på hvordan direktivet kan skabe værdi for dig.