Spørgsmål jeg ofte får

Om NIS2 compliance og loven

• Hvad er NIS2 helt kort?

  NIS2 compliance er en EU-lov om cybersikkerhed. På dansk hedder den lov nr. 434 af 6. maj 2025, og den trådte i kraft 1. juli 2025. Den udvider den tidligere NIS-lov og placerer ansvaret for cybersikkerhed hos virksomhedens ledelse, ikke hos IT-afdelingen. Den dækker omkring 1.000 virksomheder i Danmark, hovedsageligt inden for kritisk infrastruktur, sundhed, transport, energi, vand, digital infrastruktur og en række andre sektorer.

• Er min virksomhed omfattet af NIS2?

  Det afhænger af din sektor og størrelse.

  Hovedreglen er: hvis din virksomhed har mere end 50 ansatte eller en årlig omsætning på over 10 mio. euro, og du opererer inden for en af de sektorer, NIS2 dækker (energi, transport, sundhed, vand, digital infrastruktur, fremstilling, fødevarer, kemi, affald, post, forskning, offentlig forvaltning, finansielle markeder, rumfart med flere), så er du sandsynligvis omfattet.

  Visse mindre virksomheder er også omfattet, hvis de er eneudbydere af en kritisk samfundstjeneste, eller hvis de opererer som tillidstjenesteudbydere eller DNS-tjenesteudbydere uanset størrelse.

  Den enkleste måde at få afklaret det på er at bruge NIS2-tjek, et officielt værktøj fra Styrelsen for Samfundssikkerhed. Du finder det på sikkerdigital.dk. Det tager 10-15 minutter at gennemgå og giver dig en konkret vurdering baseret på din virksomheds aktiviteter.

  Hvis NIS2-tjek viser, at du er omfattet, eller hvis du står i en tvivlssag, kan jeg hjælpe med at vurdere dit udgangspunkt og afklare næste skridt. Står du med et juridisk komplekst spørgsmål, henviser jeg dig til en advokat med specialisering i NIS2-rådgivning, som jeg har erfaring med.

• Hvad sker der, hvis jeg ikke overholder NIS2?

  NIS2 ompliance er ikke noget man kan vælge fra.

  Bøderne kan være betydelige, op til 2 procent af den globale omsætning eller 10 mio. euro for de højeste kategorier af virksomheder. Men bøderne er ikke det værste. Det værste er, at ledelsen kan stilles personligt til ansvar. Det betyder, at du som CEO eller bestyrelsesmedlem kan blive holdt personligt ansvarlig, hvis virksomheden ikke har taget rimelige sikkerhedsforanstaltninger. Det er den væsentlige ændring fra den tidligere NIS-lov.

• Hvornår skal jeg være færdig med NIS2 compliance implementeringen?

  Loven trådte i kraft 1. juli 2025. Tilsynet er allerede i gang. Det betyder ikke, at alt skal være på plads i dag, men det betyder, at du skal kunne dokumentere, at arbejdet er styret og fremadskridende. Tilsynet kigger på, om du har taget ansvaret alvorligt, ikke om du er hundrede procent compliant fra dag ét. En realistisk tidsramme for at bygge et solidt fundament er 12 måneder. For at hæve modenheden derudover tager det yderligere et par år.

• Hvad gør jeg, hvis mine kunder kræver NIS2-dokumentation, selvom jeg ikke er direkte omfattet?

  Det er en af de mest aktuelle problemer i 2026. Selvom du ikke er direkte omfattet af NIS2, kan dine kunder kræve at du dokumenterer dit sikkerhedsniveau, fordi de selv er omfattet og skal vurdere deres leverandørrisici. Det kaldes forsyningskædesikkerhed, og det betyder at tusindvis af danske SMV’er bliver indirekte omfattet gennem deres kunders krav. Du bør forberede et standardsæt med information om dine sikkerhedskontroller: brug af multifaktor-autentificering, backup-procedurer, hændelseshåndteringsplan, og dine vigtigste politikker. Det giver dig en konkurrencefordel, fordi du kan svare hurtigt, når en kunde spørger.

• Hvad er forsyningskædesikkerhed under NIS2?

  Forsyningskædesikkerhed er en af de største praktiske konsekvenser af NIS2 for mellemstore virksomheder. Virksomheder omfattet af NIS2 skal vurdere sikkerheden hos deres leverandører og tjenesteudbydere. Selvom en leverandør ikke er direkte omfattet af NIS2, kan den blive indirekte omfattet, fordi den NIS2-omfattede kunde stiller krav. Kravene skal være proportionale med leverancens betydning for cybersikkerheden. Det betyder at en kritisk leverandør får stillet højere krav end en perifer leverandør.

• Hvilke 10 minimumskrav stiller NIS2 til cybersikkerhed?

  NIS2 stiller 10 minimumskrav til omfattede virksomheders cybersikkerhed:

  1. politikker for risikoanalyse og informationssikkerhed,
  2. hændelseshåndtering,
  3. forretningskontinuitet og kriseledelse,
  4. forsyningskædesikkerhed,
  5. sikkerhed i anskaffelse, udvikling og vedligeholdelse af systemer,
  6. politikker og procedurer for vurdering af effektivitet,
  7. grundlæggende cyberhygiejne og cybersikkerhedstræning, 8) kryptografi og kryptering,
  8. personalesikkerhed, adgangskontrol og forvaltning af aktiver,
  9. brug af multifaktor-autentificering.

  Hvert krav skal implementeres baseret på virksomhedens risikoprofil. Det er ikke en checkliste, men en ramme der skal tilpasses din virksomhed.

Ledelsesansvar

• Hvorfor er NIS2 pludselig mit ansvar og ikke IT-chefens?

  NIS2 compliance er et ledelsesansvar, fordi loven har gjort det sådan. Men ansvaret er ikke nyt. Det har altid været der.

  Selskabsloven § 115 stk. 2 pålægger bestyrelsen at sikre, at “der er etableret de fornødne procedurer for risikostyring og interne kontroller”. Det er en eksisterende forpligtelse. Cyberrisici er virksomhedens risici, og virksomhedens risici er ledelsens ansvar. Det er det, NIS2 nu gør eksplicit, men det grundlæggende ansvar fulgte allerede af selskabsloven.

  Tidligere kunne ledelsen uddelegere det praktiske arbejde til IT, og hvis noget gik galt, var det IT-afdelingens problem. Det kan man ikke længere. Loven gør det klart, at det er ledelsen, der skal kunne dokumentere, at virksomheden har taget rimelige skridt.

  Det betyder ikke, at du skal blive teknisk ekspert. Det betyder, at du skal kunne forstå og forklare virksomhedens cybersikkerhedssituation på et niveau, der svarer til det, du kan om økonomi, drift og personale.

• Kan jeg uddelegere NIS2-ansvaret til min CISO eller IT-chef?

  Du kan uddelegere udførelsen, men ikke ansvaret. Det er det centrale skift med NIS2. Din CISO eller IT-chef kan stå for det praktiske arbejde, men du som CEO og din bestyrelse er ansvarlige for, at det bliver gjort, at det bliver gjort godt nok, og at I kan dokumentere det. Hvis tilsynet kommer, taler de med dig først, ikke med IT-afdelingen.

• Hvad skal bestyrelsen vide om NIS2?

  Bestyrelsen skal kunne tage stilling til virksomhedens cybersikkerhedsstrategi, godkende risikoappetit, og holde øje med, at ledelsen leverer fremdrift. Helt konkret betyder det, at bestyrelsen mindst en gang om året skal have en gennemgang af cybersikkerhedssituationen, der er forståelig for ikke-tekniske medlemmer. Det er ikke en teknisk briefing. Det er en strategisk gennemgang. Hvis bestyrelsen kun får tekniske rapporter, gør de ikke deres arbejde, og det kan blive et problem ved et tilsyn.

• Hvad er forskellen på cybersikkerhed og informationssikkerhed?

  Cybersikkerhed handler om at beskytte mod digitale trusler udefra. Hackere, malware, ransomware, phishing. Informationssikkerhed er bredere. Det dækker også beskyttelse af information mod tab, ulovlig deling, fejl, misbrug, og de fysiske aspekter af informationsbeskyttelse som print. NIS2 stiller krav til begge dele, men ledelseskravene handler primært om informationssikkerhed i bred forstand. Det er en vigtig nuance, fordi det betyder, at arbejdet ikke kun handler om at købe firewalls og antivirus. Det handler om hvordan din virksomhed håndterer information som helhed.

• Hvad med ændringer til NIS2?

  Der er allerede ændringer på vej. EU-Kommissionen arbejder løbende på at præcisere og udvide direktivet, og medlemslandene tilpasser deres nationale lovgivning. Det betyder, at du ikke kan bygge et compliance-projekt og være færdig. Du skal bygge en struktur, der kan absorbere ændringer, når de kommer. Det er en af grundene til, at jeg arbejder med abonnement i stedet for projekt.

• Kan jeg blive personligt holdt ansvarlig?

  Ja, principielt. Loven åbner for, at ledelsen kan stilles personligt til ansvar i alvorlige tilfælde. I praksis vil det kræve grov forsømmelse, ikke almindelige fejl. Hvis du som CEO kan dokumentere, at du har taget ansvaret alvorligt, prioriteret arbejdet, og kunnet forklare beslutningerne, er du godt beskyttet. Hvis cybersikkerhed har været noget, du har skubbet væk og ikke villet høre om, ser det anderledes ud.

Om at komme i gang

• Hvor starter man, hvis man ikke har gjort noget endnu?

  Din NIS2 compliance starter ikke med teknik. Du starter med en kortlægning af din virksomhed. Hvad er kritisk for driften, hvilke leverandører er vigtige, hvilke processer kan ikke fejle, hvor er virksomheden mest sårbar. Først når det billede er klart, kan du tage stilling til, hvad der skal beskyttes hvordan. De fleste virksomheder begynder forkert. De begynder med at købe værktøjer, før de ved, hvad de skal beskytte. Det giver høje regninger og dårlig sikkerhed.

• Hvor langt skal vi nå det første år?

  Realistisk: et solidt fundament. Det betyder, at I har kortlagt jeres kritiske processer og leverandører, etableret en governance-struktur, oprettet de basale politikker, og har en risikovurderingsproces, der virker. I er ikke hundrede procent compliant. Men I kan dokumentere, at arbejdet er styret, og I har et udgangspunkt at bygge videre fra. Det er det, tilsynet leder efter i de første år.

• Hvor mange medarbejdere skal involveres?

  Færre end du tror, men flere end IT-afdelingen alene. Typisk to til fem nøglemedarbejdere er involveret over et helt år. Det er sjældent de samme personer på alle områder. Tidligt i forløbet er det dig som CEO, måske CFO og COO. Senere i forløbet kommer IT, forretning, HR og økonomi efter behov. Det er ikke et fuldtidsjob for nogen. Det er et bidrag på fire til seks timer om ugen, fordelt på flere personer.

• Hvad hvis vi allerede er i gang med noget?

  Det er de fleste virksomheder. I har sandsynligvis politikker, leverandørkontrakter, et antivirus-system, måske en risikovurdering fra et eksternt audit. Det er udgangspunktet. Mit arbejde handler ikke om at smide jeres eksisterende arbejde ud. Det handler om at bygge en struktur omkring det, så det hænger sammen, og udfylde de huller, der mangler. I starter ikke forfra.

• Hvad hvis vi allerede har en CISO eller GRC-funktion?

  Det er en fordel. Så har vi en intern partner, der kan tage ejerskab og videreføre arbejdet. Mit arbejde overlapper ikke med en intern CISO. Jeg supplerer på det strategiske og rammeværksniveau, mens den interne ressource fokuserer på det daglige arbejde. I praksis betyder det, at jeg arbejder tæt sammen med jeres CISO eller GRC-funktion og hjælper dem med at få mere strategisk gennemslagskraft i ledelsen.

Om at arbejde sammen med mig

• Hvad omfatter dit arbejde?

  Jeg hjælper med NIS2 compliance gennem strategisk rådgivning og governance på ledelsesniveau. Jeg bygger din virksomheds informationssikkerhedsrammeværk, baseret på ISO 27001 og ISO 27002, tilpasset NIS2-kravene og din virksomheds situation. Jeg leverer politikker, processer, dokumentation, og guider dine medarbejdere igennem implementeringen. Jeg vejleder ved valg af leverandører og værktøjer. Jeg hjælper med bestyrelsesdialog og gennemførelse af ledelsesvurderinger.

• Anbefaler du specifikke leverandører eller værktøjer?

  Ja. Når vi når til lag, hvor I skal vælge værktøjer eller leverandører, vejleder jeg jer i valget. Jeg har ingen kommissionsaftaler med leverandører. Min anbefaling er baseret på, hvad der passer til jeres virksomheds størrelse, budget og modenhed. Det betyder ofte, at I ikke skal købe det dyreste, men det rigtige.

• Dækker dit arbejde OT-sikkerhed (Operational Technology)?

  Ikke som hovedfokus. Mit arbejde bygger ledelsesrammeværket og styrer informationssikkerhed på tværs af din virksomhed. Hvis du har OT-miljøer, kan jeg gennemføre en overordnet evaluering baseret på IEC-62443-standarden som del af din samlede risikovurdering. Hvis det viser sig, at I har behov for dyb OT-sikkerhed, formidler jeg kontakt til specialister, jeg kender og stoler på. Jeg sælger ikke OT-implementering, fordi det kræver en helt anden type ekspertise end det, jeg leverer.

• Implementerer du selv tekniske kontroller, firewalls eller monitorering?

  Nej. Jeg evaluerer jeres tekniske kontroller op imod gældende best practice (ISO 27002, CIS Controls, NIST CSF), så I ved, hvor I står, og hvad der mangler. Den tekniske implementering selv (opsætning af værktøjer, konfiguration af systemer, drift af monitorering) foretages af jeres egne IT-folk eller en specialiseret leverandør. Hvis I ikke har den ressource selv, formidler jeg kontakt til leverandører, jeg har erfaring med. Min rolle er at sikre, at det rigtige bliver bygget. Bygningsarbejdet selv ligger hos andre.

• Kan jeg hyre dig til en enkelt opgave i stedet for et abonnement?

  Det kan jeg godt, men det fungerer sjældent som forventet. Cybersikkerhed er ikke noget, man laver én gang. Det er noget, der bygges over tid og vedligeholdes. Hvis du kun vil have en enkelt politik eller en risikovurdering, kan jeg levere det. Men du står tilbage med et stykke papir og ingen struktur til at bruge det. Jeg anbefaler tre måneders abonnement som minimum, hvor du kan se, om strukturen passer til din virksomhed, før du forpligter dig længere. Du finder priser og betingelser på abonnementssiden.

• Hvad gør dig forskellig fra de store konsulenthuse?

  Tre ting. For det første: Du betaler en fast månedlig pris. Du får ikke en stigende regning baseret på timer. For det andet: Vi bygger sammen, ikke for jer. Det betyder, at viden og ejerskab bliver i din virksomhed, ikke hos mig. For det tredje: Jeg har selv leveret modenhedsanalyser for store konsulenthuse. Jeg kender den model. Jeg har valgt at arbejde anderledes, fordi den klassiske model fungerer dårligt for mellemstore virksomheder. Du kan læse mere om det på abonnementssiden.

Står dit spørgsmål ikke på listen?