Hvilke minimumskrav er der i NIS2?

NIS2 stiller skærpede krav til ledelse, risikostyring og hændelsesrapportering for alle direkte omfattede virksomheder, især i it-branchen, men også for leverandører, der servicerer NIS2-omfattede virksomheder.

Få overblik over registreringspligt, ledelsens ansvar, minimumskrav til risikostyring, hændelsesrapportering samt særlige regler for it-udbydere.

Nis2 univers

NIS2 stiller en række skærpede krav til ledelsen, risikostyring og hændelsesrapportering, som alle direkte omfattede enheder skal leve op til.

It-branchen er ifølge en foreløbig kortlægning den sektor, hvori flest danske virksomheder vil blive direkte omfattet af NIS2. Herudover vil mange andre it-virksomheder også skulle forholde sig til NIS2, idet de som leverandører af it-services til direkte NIS2-omfattede virksomheder også vil blive mødt af skærpede krav om at hæve og dokumentere cybersikkerheden.

De skærpede krav følger af EU’s NIS2-direktiv, EU-Kommissionens relaterede gennemførelsesforordning for den digitale sektor samt de danske vejledninger fra Ministeriet for Samfundssikkerhed og Beredskab (MSSB).

Registreringspligt

Virksomheder og enheder, der er omfattet af NIS2, skulle senest den 1. oktober 2025 være registreret som omfattede enheder via selvbetjeningsmodulet på virk.dk.

Virksomheder og enheder, der først bliver omfattet af NIS2 efter 1. oktober 2025, skal registreres inden for to uger efter, at de er blevet omfattet af loven.

Krav til ledelsen

Ledelsen har iht. NIS2 et skærpet ansvar for din virksomheds NIS2-regelefterlevelse.

Ledelsen skal:

  • Godkende virksomhedens sikkerhedsforanstaltninger
  • Føre tilsyn med at foranstaltningerne faktisk er implementeret
  • Deltage i kurser og sikre, at organisationen har tilstrækkelig viden om cybersikkerhed
  • Tilegne sig kompetencer til at identificere risici og vurdere metoder til styring af cybersikkerhed

Manglende efterlevelse kan i særlige tilfælde medføre personligt ledelsesansvar.
Læs MSSB’s vejledning om ledelsens rolle og opgaver her.

Minimumskrav til risikostyring

Som NIS2-omfattet virksomhed skal du anlægge en risikobaseret tilgang til sikkerhedsarbejdet og træffe foranstaltninger, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser.

Som minimum skal følgende foranstaltninger jf. NIS2 implementeres:  

  • Politikker for risikovurdering og informationssikkerhed
  • Hændelseshåndtering
  • Drifts-/forretningskontinuitet og katastrofegenopretning
  • Sikkerhed i forsyningskæden, herunder relationer til leverandører
  • Sikkerhed i anskaffelse, udvikling og vedligeholdelse af it-systemer, inkl. håndtering og offentliggørelse af sårbarheder
  • Politikker og procedurer for effektivitetsmåling af sikkerhedsforanstaltninger
  • Cyberhygiejnepraksisser og træning af medarbejdere
  • Politikker for kryptografi og kryptering
  • Adgangskontrol, HR-sikkerhed og aktivstyring
  • Brug af multifaktorautentificering, sikrede kommunikationskanaler og nødkommunikationssystemer

Læs MSSB’s vejledning om implementering af cybersikkerhedsforanstaltninger her.

Krav til hændelsesrapportering

Som NIS2-omfattet virksomhed er du underlagt rapporteringskrav i tilfælde af væsentlige hændelser.

En hændelse anses for at være væsentlig, hvis den har påvirket eller vurderes at ville påvirke virksomhedens levering af ydelser eller hvis den påfører fysisk eller ikke-fysisk skade eller økonomiske tab.

Hændelser skal rapporteres hurtigt og struktureret til de relevante myndigheder:

  • Indledende rapport: Inden for 24 timer efter kendskab til væsentlig hændelse
  • Uddybende rapport: Inden for 72 timer efter kendskab til væsentlig hændelse
  • Endelig, detaljeret rapport: Senest én måned efter hændelsen

Rapporterne skal bl.a. beskrive hændelsens alvor, årsag, konsekvenser, afbødende tiltag og eventuelle grænseoverskridende virkninger.

Indberetning af hændelser skal ske via selvbetjeningsformularen på virk.dk.

Læs MSSB’s vejledning om hændelsesunderretning her

Særlige krav til it-virksomheder

For udbydere af digitale tjenester har EU-Kommissionen vedtaget en gennemførelsesforordning med særlige regler for at skabe en ensartet ramme og sikre en fælles tilgang til cybersikkerhed på tværs af EU-medlemslandene.

Reglerne gælder for udbydere af:

  • DNS-tjenester
  • Administratorer af topdomænenavne
  • Cloudcomputingtjenester
  • Datacentertjenester
  • Indholdsleveringsnetværk
  • Administrerede tjenester
  • Administrerede sikkerhedstjenester
  • Onlinemarkedspladser
  • Onlinesøgemaskiner
  • Sociale netværksplatforme
  • Tillidstjenester

EU’s Agentur for Cybersikkerhed (ENISA) har udarbejdet en omfattende teknisk vejledning, der skal understøtte de omfattede virksomheder i at efterleve gennemførelsesforordningens regler.

Hvis din virksomhed leverer en tjeneste, der er omfattet af gennemførelsesforordningen, er hele virksomheden underlagt reglerne, også selvom tjenesten kun udgør en mindre del af forretningen. Virksomheden skal ikke leve op til NIS2-lovens generelle krav, men udelukkende følge gennemførelsesforordningen.

I Danmark er det Digitaliseringsstyrelsen, der fører tilsyn med NIS2-omfattede virksomheder i den digitale sektor. De har udviklet en vejledning og et selvevalueringsskema, som din virksomhed kan anvende som redskab til at vurdere, i hvor høj grad man lever op til kravene i NIS2-loven. Der henvises til en række relaterede cybersikkerhedsstandarder. Hvis din virksomhed allerede lever op til en eller flere af disse standarder, kan vejledningen således forenkle implementeringen af NIS2-loven.  

Få hjælp til NIS2 af IT-Branchens medlemmer

En række af IT-Branchens medlemmer tilbyder specialiseret rådgivning og løsninger, der kan hjælpe din organisation med at leve op til NIS2-direktivet. Det gælder både tekniske services, risikovurderinger, compliance-arbejde og beredskabsplaner.

Hvis I som virksomhed har brug for støtte til at forstå, implementere eller dokumentere jeres cybersikkerhedsindsats, kan I finde kvalificerede it-leverandører, der står klar til at hjælpe.

Er I selv it-leverandør med NIS2-relaterede rådgivning og løsninger?
Så kan I også blive synlige på listen over de virksomheder, der tilbyder ekspertise og hjælp.

SE HVEM DER KAN HJÆLPE

Læs mere om NIS2

Hænglås

Hvad er NIS2?

NIS2 er EU’s opdaterede direktiv om cybersikkerhed. Det har til formål at forbedre cybersikkerheden i EU og beskytte infrastrukturen.
LÆS MERE HER
Kontrolrum

Hvem er direkte og indirekte omfattet af NIS2?

Læs her om du er en af dem er der er omfattet af NIS2, enten direkte og indirekte.
LÆS MERE HER
Telefonmast

Bliv klar til NIS2 som direkte omfattet

Er din virksomhed direkte omfattet af NIS2, får du her de første skridt til at sikre cybersikkerheden.
LÆS MERE HER
Grafisk billede

Bliv klar til NIS2 som it-leverandør

Læs med her og bliv klædt på til hvordan du som it-leverandør forbereder dig mest muligt til NIS2.
LÆS MERE HER
vejvisning

Guides, vejledninger og værktøj

Find guides, vejledninger og værktøj, der kan hjælpe dig godt på vej, hvis din virksomhed er NIS2 omfattet.
LÆS MERE HER

Har du spørgsmål?

Kontakt Troels Johansen, som er ansvarlig for IT-Branchens policy board for cybersikkerhed, for yderligere information om NIS2.