Home
/
Blog
/
NIS2-direktivet: Hvad er det, og hvilke minimumskrav skal du leve op til?

NIS2-direktivet: Hvad er det, og hvilke minimumskrav skal du leve op til?

Udgivet den:
January 23, 2024
|
Læsetid:
4 min.
SKREVET AF
Jakob Krabbe Sørensen
Advokat og Head of Legal Product, ComplyCloud
INDHOLDSFORTEGNELSE

Vil du have vores trin-for-trin-guide til NIS2-compliance?

Find den i vores gratis NIS2-playbook.
Snup din playbookBlue right arrow icon for navigation or next step.

[Opdateret juli 2025]

Phishing-angreb. Ransomware. Brud på datasikkerheden. Spoofing. Menneskelige fejl, der fører til eksponering.

NIS2-direktivet er et resultat af – og en nødvendighed for – det nye cybertrussels-landskab, vi ser.

Men hvad handler NIS2-direktivet egentlig for en størrelse? Og hvilke minimumskrav skal du leve op til?

Vi giver dig svarene her.

Hvad er NIS2-direktivet?

NIS er en forkortelse for Network and Information Security.

Det er et EU-direktiv, der definerer et sæt regler, som har til formål at styrke det overordnede niveau af cybersikkerhed i EU – især for at beskytte kritisk infrastruktur – samt at sikre ens regler på området.

Det første NIS-direktiv så dagens lys i 2016. Det markerede en vigtig milepæl som den første EU-dækkende lovgivning dedikeret til cybersikkerhed.

Flere år senere har det digitale landskab set en stor stigning i trusler. Hovedsageligt på grund af den hurtige digitalisering og en bemærkelsesværdig stigning i cyberangreb.

Dét trusselsbillede førte til udviklingen og færdiggørelsen af NIS2-direktivet i 2022.

Så som en efterfølger til det oprindelige NIS-direktiv søger NIS2 at minimere disse nye udfordringer ved at udvide dets anvendelsesområde til at dække flere sektorer.

Det betyder, at i et EU-land som Danmark var det kun 130 virksomheder, der var dækket af NIS1. På grund af det udvidede anvendelsesområde i NIS2 er over 1.400 virksomheder dækket af det nye direktiv.

Derudover indfører NIS2-direktivet strengere krav til compliance og forbedrede sikkerhedsprotokoller. Dette skal sikre en mere modstandsdygtig og sikker digital infrastruktur i hele EU.

Alle medlemslande i EU havde indtil den 18. oktober 2024 at omsætte NIS2-direktivet til national lovgivning.

Gennem disse nationale love skulle EU-medlemsstaterne forpligte de omfattede organisationer til at opfylde minimumskravene i NIS2. De dækker 3 områder:

Langt fra alle lande nåede det inden tidsfristen. Og i flere lande mangler vi i skrivende stund stadig at se den nationale NIS2-lov træde i kraft.

I Danmark trådte den danske NIS2-hovedlov i kraft den 1. juli 2025. Derudover er der i Danmark kommet tre sektorspecifikke NIS2-love, som trådte i kraft inden eller sammen med hovedloven, herunder NIS2-lovene for finanssektoren (også kendt som DORA), energisektoren og telesektoren.

NIS2-direktivets minimumskrav er således blevet implementeret i disse danske love samt vejledninger.

Minimumskravene i NIS2 er de krav, som omfattede enheder har kunnet bruge som rettesnor fra starten i deres implementerings-arbejde. De krav dækker over 3 forskellige områder:

#1: Krav til tilstrækkelig sikkerhed

Du skal sørge for at implementere et passende sikkerhedsniveau og som minimum overholde disse 10 krav til implementering af tekniske, operationelle og organisatoriske foranstaltninger:

  • Politikker for risikoanalyse og sikkerhed i informationssystemer
  • En plan for håndtering af hændelser
  • Forretningskontinuitet, såsom backup management og disaster recovery, og krisehåndtering
  • Sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere.
  • Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
  • Politikker og procedurer til vurdering af effektiviteten af risikostyringsforanstaltninger for cybersikkerhed
  • Grundlæggende cyber-hygiejne og cybersikkerhedstræning
  • Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
  • Human resources-sikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  • Brug af multifaktorautentificering eller løbende autentificeringsløsninger sikret stemme-, video- og tekstkommunikation og sikrede nødkommunikationssystemer i enheden, hvor det er relevant.

Styrelsen for Samfundssikkerhed har lavet en dansk vejledning til implementering af cybersikkerhedsforanstaltninger, der hjælper omfattede enheder med at leve op til de 10 ovenstående minimumskrav i NIS2-direktivet.

#2: Awareness og træning af ledelse, bestyrelsesmedlemmer og nøglemedarbejdere

For at være compliant med NIS2 skal din ledelse, herunder bestyrelsen, følge træning og uddannelse. Det er også ledelsens ansvar at sørge for at tilbyde løbende awareness og træning til øvrige medarbejdere, særligt nøglemedarbejdere - såsom IT-afdelingen.  

 

Det er for at sikre, at de får den viden og de færdigheder, de behøver, først og fremmest for at kunne identificere risici. Dernæst for at sikre, at de kan vurdere risikostyringspraksisser inden for cybersikkerhed og deres indvirkning på de tjenester, som din virksomhed tilbyder.

I Danmark har Styrelsen for Samfundssikkerhed lavet en vejledning til ledelsens rolle og opgaver under NIS2. Her står bl.a., hvilke krav NIS2-loven stiller til ledelsens kompetencer:

Det er ikke et krav, at alle eller et bestemt antal medlemmer i ledelsen skal have gennemført kurser. De skal dog som helhed have de nødvendige kompetencer til at styre cybersikkerheden.

Relevante kurser kan fx være:  

🧑‍🏫 Generelle kurser om cyber- og informationssikkerhed

🧑‍🏫 Ledelseskurser og workshops om styring af cyber- og informationssikkerhedsrisici

🧑‍🏫 Kurser og certificeringer i anerkendte europæiske og internationale sikkerhedsstandarder

🧑‍🏫‍ Internt tilrettelagte kurser og seminarer om cyber- og informationssikkerhed målrettet ledelsen.

Uanset hvilken form for træning og uddannelse din organisation vælger, skal I kunne dokumentere, at I lever op til minimumskravet. Fx i form af kursusbevis eller bekræftelse på deltagelse i kursus.

Vi kan i øvrigt generelt anbefale Bestyrelsesforeningens vejledninger om cybersikkerhed. Her kan du bl.a. læse anbefalinger til ansvarsfordelingen mellem bestyrelse og direktion.

#3: Rapportering af hændelser til myndighederne

NIS2 har en multi-step-tilgang til anmeldelse af hændelser. Det er for at finde balancen mellem hurtig rapportering for at forhindre spredning af hændelser og dybdegående rapportering for at lære værdifulde erfaringer.

Enheder, der er omfattet af NIS2, har:

  • 24 timer til at indsende en tidlig advarsel
  • 72 timer til at indsende en hændelsesmeddelelse
  • En måned til at indsende en endelig rapport.

I Danmark har Styrelsen for Samfundssikkerhed lavet en vejledning til hændelsesunderretning for at hjælpe omfattede enheder med at leve op til dette minimumskrav i NIS2.

Vejledningen hjælper dig bl.a. med at finde ud af, hvilke hændelser du skal underrette om, og hvad du skal informere om.

Tid til at runde af

Med de juridiske detaljer og minimumskravene på plads er du klar til at omsætte det hele til praksis og nå i mål med din NIS2-compliance.

Du kan gøre dette ved at følge 8 trin i vores NIS2-playbook her.

Vil du have vores trin-for-trin-guide til NIS2-compliance?

Find den i vores gratis NIS2-playbook.

Snup din playbook
Udgivet den:
January 23, 2024
Kategori:
NIS2

Compliance som det burde være.
Enkelt, transparent, automatiseret.

Kontakt osBook en demo