July 1, 2025
NIS2 er trådt i kraft - hvad betyder det for din virksomhed?
Den danske NIS2‑lov trådte i kraft 1. juli 2025 efter flere udsættelser. Den udvider det gamle NIS‑direktiv fra 8 til 18 sektorer og skruer kraftigt op for kravene til ledelse, rapportering og minimumskontroller.
Målet er et ensartet højt cybersikkerhedsniveau i hele EU – og en mere robust forsyningskæde. For mange mellemstore virksomheder er det første gang, de møder regulering med GDPR‑lignende bødeniveauer.
Er vi omfattet?
Din virksomhed er omfattet af NIS2, den er indenfor størrelseskriteriet, samtidig med at den er en del af de kritiske sektorer, som kan ses i bilagene i denne vejledning: https://samsik.dk/wp-content/uploads/2025/06/SAMSIK-vejledning-om-anvendelsesomradet-2025.pdf
Kriterium | Forklaring |
|---|---|
Størrelse | ≥ 50 ansatte eller ≥ 10 mio. € omsætning/balance (EU’s definition af “mellemstor virksomhed”). |
Sektor | Virker i en af 18 NIS2‑sektorer, fx energi, sundhed, transport, digital infrastruktur, IKT‑tjenester, fødevarer og drikkevand, offentlig forvaltning, rumfart m.fl. |
Tidligere NIS-operatør | Du var allerede omfattet af NIS1. |
Udpeget kritisk | Du er klassificeret som kritisk efter CER‑direktivet. |
Deadlines
Dato / Frist | Hvad du skal gøre |
|---|---|
1. juli 2025 | Loven gælder - kravene er aktive. |
1. oktober 2025 | Registrér virksomheden på virk.dk. |
Bliver du omfattet senere | Registrér inden 14 dage. |
Hændelser
Frist | Hvad du skal gøre |
|---|---|
Senest 24 timer efter hændelse | Tidlig varsel til myndighederne via virk.dk |
Senest 72 timer efter hændelse | Yderligere rapportering til myndighederne via virk.dk |
Senest 1 måned efter hændelse | Endelig rapportering til myndighederne via virk.dk |
Hvad kræver NIS2 - i øjenhøjde
Ledelsen skal føre tilsyn
Ledelsen skal godkende de foranstaltninger til styring af cybersikkerhedsrisici, som implementeres og skal føre tilsyn med at de gennemføres (intern audit).
Tjeklisten med 10 minimumskontrolmål
Direktivets artikel 21 opstiller ti temaer – fra risikostyring og hændelseshåndtering til multifaktorautentificering. ISO 27001‑ eller CIS 18‑rammer dækker størstedelen, men du skal kunne påvise implementeringen. Myndighederne har udgivet en vejledning i implementering af sikkerhedsforanstaltninger her: https://samsik.dk/wp-content/uploads/2025/08/Vejledning-til-implementering-af-cybersikkerhedsforanstaltninger.pdf
Hændelseshåndtering og rapportering
Der skal udarbejdes processer for opdagelse, vurdering, håndtering og rapportering af sikkerhedshændelser.
Leverandør- og forsyningskædesikkerhed
Udarbejd risikovurderinger på leverandører og få styr på krav til sikkerhed i kontrakter med leverandører. Udføre tilsyn med at kravene i kontrakterne overholdes f.eks. ved indhentelse af erklæringer fra tredjeparter som har ført et uafhængigt tilsyn med leverandøren.
Dokumentation og audits
Udarbejde politikker og procedurer for it-sikkerhed og risikovurderinger. Etabler et årshjul med de løbende opgaver som skal udføres f.eks. gennemgang af politikker, revurdering af risikovurderinger, sårbarhedsscanninger, backup og restoretest mv.
Sanktioner - hvor ondt kan det gøre?
Enhedstype | Maks. bøde | Eller procent af global omsætning |
|---|---|---|
Væsentlig enhed | 10 mio. € | 2% |
Vigtig enhed | 7 mio. € | 1,4% |
Udover bøder kan myndighederne påbyde konkrete tiltag, offentliggøre overtrædelser eller midlertidigt forbyde ledelsen at udøve deres hverv, indtil forholdene er bragt i orden.
5 pragmatiske skridt til compliance
Kortlæg aktiver og leverandører i scope
Lav et overblik over hvilke systemer, maskiner og leverandører som understøtter NIS2 tjenester i virksomheden.
Foretag GAP-analyse
Sammenhold nuværende foranstaltninger med krav fra myndighederne og lav en plan for lukning af gaps og fordel ansvar.
Foretag risikovurdering
Identificer trusler mod aktiver og hvilke foranstaltninger der bør implementeres for at reducere risikoen. Vurder behovet for tekniske test, MFA og krisestyring. Dokumenter risikovurderingen.
Implementér & dokumentér
Udarbejd politikker og procedurer og etabler monitoreringskontroller og planlæg tests. Brug eventuelt automatiserede værktøjer til overvågning af logs og gem dokumentation i et centraliseret GRC-system.
Løbende forbedring
Følg op på resultater af intern audit og tekniske test og implementer og følg op på korrigerende handlinger.
Kom effektivt i mål med Complychain
Complychain er en komplet complianceplatform, der effektiviserer arbejdet med NIS2-compliance. Det betyder, at du kan opnå overholdelse hurtigere – og med færre ressourcer.
Platformen tilbyder et dedikeret NIS2-produkt, der bl.a. tilbyder:
Mere end 120 kontroller, som reducerer usikkerhed i implementeringen af krav.
Mulighed for at krydsreferere til eksisterende rammeværk og undgå dobbeltarbejde
Vil du se præcis, hvordan Complychain og vores NIS2-produkt kan hjælpe din virksomhed?
Book en personlig demo her og få en hands-on oplevelse.