EU Direktiv 2022/2555

NIS2-direktivet: Skærpede krav til cybersikkerhed

NIS2 stiller nye krav til cybersikkerhed, risikostyring og hændelsesrapportering for virksomheder i kritiske sektorer. Den danske NIS2-lov (L 141) trådte i kraft 1. juli 2025.

Book Demo Se risikovurdering
Baggrund

Hvad er NIS2-direktivet?

NIS2-direktivet (EU 2022/2555) er EU’s opdaterede ramme for cybersikkerhed, der erstatter det oprindelige NIS-direktiv fra 2016. Direktivet etablerer et højt fælles sikkerhedsniveau for net- og informationssystemer på tværs af EU.

I Danmark betyder udvidelsen, at antallet af omfattede virksomheder stiger fra ca. 1.000 til over 6.000 fordelt på 18 kritiske sektorer. Dansk implementering sker via NIS2-loven (L 141), som trådte i kraft 1. juli 2025.

Direktivet dækker både væsentlige enheder (store virksomheder i kernesektorer) og vigtige enheder (mellemstore virksomheder i bredere sektorer), med strengere krav til de væsentlige.

Nøglefakta
DirektivEU 2022/2555
Dansk lovL 141 (NIS2-loven)
I kraft1. juli 2025
Sektorer18 kritiske sektorer
Berørte~6.000+ virksomheder i DK
MyndighedMSSB / CFCS
RegistreringSenest 1. oktober 2025
Omfang

Hvem er omfattet af NIS2?

NIS2 opdeler virksomheder i to kategorier baseret på størrelse og sektor. De 18 sektorer omfatter bl.a. energi, transport, sundhed, drikkevand, digital infrastruktur, offentlig forvaltning og rummet.

  • Væsentlige enheder: 250+ ansatte eller EUR 50M+ omsætning. Strengeste krav og tilsyn
  • Vigtige enheder: 50+ ansatte eller EUR 10M+ omsætning. Proportionale krav
  • Uanset størrelse: Visse udbydere (DNS, tillid, telekommunikation) er altid omfattet
  • Energisektoren: Reguleres af særskilt Energiberedskabslov
Energi
Transport
Bank
Sundhed
Drikkevand
Digital infra
Fødevarer
Offentlig forv.
Artikel 21

10 risikostyringsforanstaltninger

NIS2 Artikel 21 kræver, at både væsentlige og vigtige enheder træffer passende og forholdmæssige tekniske, operationelle og organisatoriske foranstaltninger til styring af cybersikkerhedsrisici.

Ledelsen skal godkende foranstaltningerne, føre tilsyn med implementeringen og kan holdes ansvarlig for manglende overholdelse.

  1. Risikoanalyse og informationssikkerhedspolitikker
  2. Hændelseshåndtering: detektion, analyse og respons
  3. Driftskontinuitet, backup og krisestyring
  4. Forsyningskædesikkerhed inkl. leverandørvurdering
  5. Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af systemer
  6. Vurdering af cybersikkerhedsforanstaltningers effektivitet
  7. Grundlæggende cyberhygiejne og uddannelse
  8. Kryptografi og kryptering
  9. Personalesikkerhed, adgangskontrol og aktivstyring
  10. Multifaktorautentificering og sikret kommunikation
Hændelsesrapportering

Stram tidsramme for indberetning

Ved væsentlige cybersikkerhedshændelser skal virksomheder overholde en trebenet rapporteringsmodel:

24 timer
Tidlig varsling med tilgængelig information
72 timer
Hændelsesunderretning med første vurdering
1 måned
Endelig rapport med fuldt hændelsesforløb
Sanktioner

Konsekvenser ved manglende overholdelse

NIS2 indfører væsentligt skærpede sanktioner sammenlignet med det oprindelige NIS-direktiv. Myndigheder kan også pålægge midlertidige servicebegrænsninger.

I Danmark kan sanktioner ikke pålægges direkte som administrative bøder, men skal følge de almindelige processer under anklagemyndigheden.

Maksimale bøder

Bødeniveauet afhænger af virksomhedens klassificering:

  • Væsentlige enheder: Op til EUR 10 mio. eller 2 % af global årsomsætning
  • Vigtige enheder: Op til EUR 7 mio. eller 1,4 % af global årsomsætning
RiskFinder

Sådan hjælper RiskFinder med NIS2-compliance

RiskFinder dækker de centrale krav i NIS2 Artikel 21 gennem en samlet platform.

Risikovurdering (ROS)

Systematisk risiko- og sårbarhedsanalyse med 4-delt metodik. Opfylder Artikel 21, nr. 1.

Forsyningskædesikkerhed

Vurder og styr risici fra leverandører og underleverandører. Opfylder Artikel 21, nr. 4.

Hændelseshåndtering

Beredskabsplaner, handlingskort og krisestyring. Opfylder Artikel 21, nr. 2 og 3.

Relateret lovgivning og moduler

NIS2 hænger sammen med CER-direktivet og Energiberedskabsloven.

CER-direktivet
Fysisk modstandsdygtighed for kritiske enheder
Energiberedskabsloven
Sektorspecifik NIS2+CER for energisektoren
Risikovurdering (ROS)
4-delt risiko- og sårbarhedsanalyse
Leverandørstyring
Forsyningskædesikkerhed og leverandørrisici

Er I klar til NIS2?

Kontakt os i dag og hør, hvordan RiskFinder kan hjælpe jer med NIS2-compliance, risikostyring og cybersikkerhed.

Eller ring til os på +45 42 40 40 70 · [email protected]