NIS2 er trådt i kraft den 1. juli 2025 – og det ændrer alt
Den danske NIS2-lov trådte i kraft den 1. juli 2025. Fra det øjeblik blev cybersikkerhed et direkte ledelsesansvar for op mod 1.500 danske virksomheder – og potentielt 6.000, når man medregner leverandørkæder. Loven administreres af Styrelsen for Samfundssikkerhed og Beredskab, med CFCS (Center for Cybersikkerhed) som national cybermyndighed.
Selvregistreringsfristen via CFCS-portalen var 1. oktober 2025, og de første audits er allerede i gang i 2026. Hvis du endnu ikke har handlet, er du allerede bagud.
Er din virksomhed omfattet?
NIS2 skelner mellem væsentlige og vigtige enheder:
Væsentlige enheder (store virksomheder i kritiske sektorer):
- Energi, transport, finans og sundhed
- Drikkevand og spildevand
- Digital infrastruktur (datacentre, cloud, DNS)
- Offentlig administration
- Post og kurértjenester, affaldshåndtering
- Produktion (medicinsk udstyr, elektronik, maskiner, biler)
- Kemikalier og fødevarer
- Digitale tjenester (markedspladser, søgemaskiner)
De 10 krav du skal opfylde
NIS2's artikel 21 stiller 10 minimumskrav til alle omfattede virksomheder:
- Risikoanalyse og sikkerhedspolitikker – ikke en engangsvurdering, men løbende
- Hændelseshåndtering – detektion, analyse, respons og rapportering
- Forretningskontinuitet og krisestyring – backup, disaster recovery
- Forsyningskædesikkerhed – dine leverandørers cybersikkerhed er dit ansvar
- Sikkerhed i systemudvikling – sårbarhedshåndtering og -afsløring
- Effektivitetsvurdering – test og evaluering af sikkerhedstiltag
- Cyberhygiejne og træning – alle medarbejdere, regelmæssigt
- Kryptering – politikker for brug af kryptering
- Adgangsstyring og HR-sikkerhed – rollebaseret adgang, personscreening
- Multifaktorautentificering (MFA) – på alle kritiske systemer
24-72-30: Rapporteringsfrister du ikke kan ignorere
Når en hændelse rammer, tæller tiden:
- 24 timer: Tidlig varsling til myndighederne – selv med ufuldstændig information
- 72 timer: Fuld hændelsesnotifikation med alvorlighedsvurdering
- 30 dage: Endelig rapport med årsagsanalyse
Bøder og konsekvenser
Bøderne er markante og differentierede:
- Væsentlige enheder: Op til 10 mio. EUR eller 2% af global omsætning – det højeste beløb gælder
- Vigtige enheder: Op til 7 mio. EUR eller 1,4% af global omsætning
- Ledelsesansvar: Bestyrelse og direktion kan holdes personligt ansvarlige. I yderste konsekvens kan ledere midlertidigt suspenderes ved grov NIS2-forsømmelse
Forsikring og NIS2: Det ene forstærker det andet
NIS2 kræver ikke cyberforsikring – men det øger behovet markant:
- Cyberforsikring dækker de omkostninger, en hændelse medfører: IT-forensics, juridisk bistand, driftstab og myndighedsbøder
- D&O-forsikring beskytter ledelsen mod personlige erstatningskrav, der følger af NIS2-ansvar
- Forsikringsselskaberne stiller krav: Mange kræver nu CIS 18-compliance eller tilsvarende sikkerhedsrammeværk, før de tilbyder dækning
- Compliance giver bedre vilkår: Virksomheder der kan dokumentere NIS2-compliance, bliver lettere at forsikre og opnår bedre priser
Hvad du bør gøre nu
- Afklar om du er omfattet – tjek størrelse og sektorkrav hos samsik.dk/nis2
- Gennemfør en GAP-analyse – hvor langt er I fra de 10 minimumskrav?
- Etabler incident response – 24-timers-fristen kræver forberedelse i dag
- Inddrag bestyrelsen – NIS2 er et ledelsesansvar, ikke et IT-projekt
- Gennemgå dine forsikringer – har du cyberforsikring og D&O, der matcher de nye risici?
