NIS2-loven gennemfører EU's NIS2-direktiv i Danmark og trådte i kraft 1. juli 2025. Den stiller krav til, hvordan organisationer i en lang række kritiske sektorer styrer deres cybersikkerhed - fra konkrete sikkerhedsforanstaltninger til hurtig indberetning af alvorlige hændelser. Loven deler de omfattede op i væsentlige og vigtige enheder, og den placerer et direkte ansvar hos ledelsen. Er din organisation omfattet, skulle den have registreret sig hos myndighederne senest 1. oktober 2025.
Omfattede enheder skal indføre passende tekniske og organisatoriske foranstaltninger, der står i forhold til risikoen. Det dækker blandt andet risikoanalyse, håndtering af hændelser, sikkerhed i leverandørkæden, adgangsstyring, kryptering og uddannelse i cyberhygiejne.
§ 6En væsentlig hændelse skal varsles til CSIRT-funktionen uden unødigt ophold: tidlig varsling senest 24 timer efter, at enheden er blevet bekendt med hændelsen, en mere fyldig underretning senest 72 timer efter, og en slutrapport senest 1 måned efter underretningen.
§§ 12-13Ledelsen skal godkende organisationens risikostyringsforanstaltninger, føre tilsyn med at de bliver gennemført, og kan holdes ansvarlig ved manglende efterlevelse. Medlemmer af ledelsen skal desuden gennemføre uddannelse i cybersikkerhed.
§ 7Omfattede enheder skal registrere sig hos myndighederne med en række oplysninger om organisationen. Registreringen sker via en blanket på Virk. Den løbende registreringspligt følger af lovens registreringsbestemmelser, og frister afhænger af enhedstypen. For allerede omfattede enheder var den særlige førstegangsfrist 1. oktober 2025.
§§ 9-10NIS2-loven omfatter organisationer i en lang række kritiske sektorer, der enten har en vis størrelse (typisk mellemstore og store enheder) eller leverer tjenester af særlig samfundsmæssig betydning. Sektorerne opgøres typisk som 18 fordelt på bilag 1 (sektorer af særlig kritisk betydning) og bilag 2 (andre kritiske sektorer). De omfattede inddeles i væsentlige enheder, der er underlagt løbende tilsyn, og vigtige enheder, der som udgangspunkt først får tilsyn, når der er konkret anledning til det.
Vælg en type for at se kravene.
Den konkrete tilpasning løser vi med rådgivning. Kontakt os →
Loven skelner mellem væsentlige enheder (essential), der er underlagt løbende, proaktivt tilsyn, og vigtige enheder (important), der som udgangspunkt først får tilsyn ved konkret anledning. Begge grupper skal opfylde de samme sikkerhedskrav, men håndhævelse og bødeniveau er strammere for væsentlige enheder.
CSIRT (Computer Security Incident Response Team) er den nationale enhed, der modtager og hjælper med at håndtere indberettede hændelser. Funktionen varetages af Forsvarets Efterretningstjeneste, og indberetninger sendes via Virk.
Tilsynet er fordelt på sektoransvarlige myndigheder, der hver fører tilsyn med de omfattede enheder i deres sektor - for eksempel Energistyrelsen på energiområdet og Finanstilsynet på det finansielle område. Tilsyn med væsentlige enheder sker løbende og proaktivt, mens vigtige enheder som udgangspunkt først får tilsyn ved konkret anledning. Styrelsen for Samfundssikkerhed koordinerer den samlede gennemførelse, driver registreringsløsningen på Virk og er selv tilsynsmyndighed for blandt andet statslige myndigheder og dele af fremstillingsområdet. Center for Cybersikkerhed yder teknisk rådgivning og indgår i myndighedsområdet under Ministeriet for Samfundssikkerhed og Beredskab.
Danmark anvender ikke administrative bøder på området. Sanktioner sker gennem politianmeldelse og efterfølgende strafforfølgning. Direktivets bødelofter ligger på op til 10 mio. euro eller 2 % af den globale årsomsætning for væsentlige enheder, og op til 7 mio. euro eller 1,4 % for vigtige enheder - alt efter hvad der er højest.
NIS2-loven er den brede cybersikkerhedslov for kritiske sektorer. Den hænger tæt sammen med CER-loven om fysisk modstandsdygtighed hos kritiske enheder, som ofte rammer de samme organisationer. For finanssektoren går DORA forud som mere specifik regulering. Sektorlove (for eksempel på energi- og teleområdet) supplerer med branchespecifikke krav, og standarder som ISO 27001 kan bruges som ramme til at opfylde lovens krav om risikostyring. NIS2 handler om digital sikkerhed, mens beredskabsloven og Seveso-reglerne dækker den fysiske og storulykkesrelaterede del af beredskabet.
Du er typisk omfattet, hvis din organisation hører til en af de kritiske sektorer i lovens bilag 1 og 2 og samtidig har en vis størrelse (ofte mellemstor eller stor), eller leverer en tjeneste af særlig samfundsmæssig betydning. Sektorerne dækker blandt andet energi, transport, sundhed, vand, digital infrastruktur, affald, fødevarer, kemi, fremstilling og forskning. Er du i tvivl, kan du tjekke kriterierne hos den sektoransvarlige myndighed.
En væsentlig hændelse skal varsles uden unødigt ophold. Du skal sende en tidlig varsling senest 24 timer efter, at I er blevet bekendt med hændelsen, en mere fyldig underretning senest 72 timer efter, og en slutrapport senest 1 måned efter underretningen. Indberetning sker via Virk.
Begge typer skal opfylde de samme sikkerhedskrav. Forskellen ligger i tilsyn og håndhævelse: væsentlige enheder er under løbende, proaktivt tilsyn, mens vigtige enheder som udgangspunkt først får tilsyn, når der er konkret anledning til det. Bødeloftet er også højere for væsentlige enheder.
Få en uforpligtende gennemgang af, hvad der gælder for jer, og hvordan I dokumenterer beredskabet.
Kontakt for en gennemgang