NIS2 direktivet

Cybersikkerhed har aldrig været vigtigere, og med NIS2 direktivet skærpes kravene til organisationers evne til at beskytte sig mod cybertrusler. I dette indlæg gennemgår vi alt, hvad du skal vide om NIS2-direktivet, herunder hvem det omfatter, hvornår det træder i kraft, og hvordan din virksomhed bliver compliant.

Hvad er NIS2 direktivet?

NIS2 (Network and Information Security 2) er en opdatering af det tidligere NIS-direktiv og har til formål at styrke cybersikkerheden i EU’s medlemslande. Direktivet pålægger en række virksomheder og organisationer strengere krav til cybersikkerhed, risikostyring og rapportering af sikkerhedshændelser.

Hvad betyder NIS2?

NIS2 er en forkortelse for "Network and Information Security Directive 2" og er den reviderede version af det oprindelige NIS-direktiv fra 2016. Det udvider rækkevidden af, hvilke sektorer og virksomheder der er omfattet, og skærper kravene til it-sikkerhed og beredskab.

Baggrunden for NIS2 direktivet

Baggrunden for NIS2-direktivet er den stigende mængde af cyberangreb mod kritisk infrastruktur og virksomheder i Europa. EU ønsker med direktivet at sikre, at medlemslandene og deres virksomheder har en højere grad af cybersikkerhed og er bedre rustet mod trusler som ransomware, datalæk og cyberkriminalitet.

Er NIS2 en forordning?

NIS2 er ikke en forordning. Det er et direktiv, hvilket betyder, at det ikke gælder direkte som en lov i EU-landene. I stedet skal de enkelte medlemslande implementere det i deres nationale lovgivning inden en given frist. Dette gør Danmark med en hovedlov, som gælder hovedparten af de omfattede sektorer, samt tre sektorlovgivninger på henholdsvis teleområdet, finansområdet og energiområdet.

Hvem fører tilsyn med NIS2?

Det er de kompetente myndigheder i hvert EU-land, der fører tilsyn med implementeringen og overholdelsen af NIS2. I Danmark er forventningen af 10 forskellige offentlige myndigheder deler tilsynsansvaret mellem sig på tværs af de 18 sektorer i direktivet.

Den danske lovgivning, der implementerer NIS2-direktivet, forventes at træde i kraft den 1. juli 2025

Hvornår træder NIS2 i kraft i Danmark?

Den danske lovgivning, der implementerer NIS2-direktivet, forventes at træde i kraft den 1. juli 2025. Det betyder, at virksomheder og organisationer skal være forberedt på at overholde kravene fra denne dato. For energiområdet, som har sin egen særlovgivning, træder lovgivningen dog i kraft fra den 7. marts 2025.

Er NIS2 trådt i kraft i andre lande?

Per dags dato, 14. marts 2025, er status for implementeringen af NIS2-direktivet i EU-landene som følger:​

Lande, der har implementeret NIS2 i national lovgivning

Belgien: Den 18. april 2024 vedtog det belgiske parlament en lov i overensstemmelse med NIS2-direktivet. ​

Ungarn: NIS2-lovgivningen trådte i kraft den 23. maj 2023 efter en høringsfase i februar samme år. ​

Kroatien: Den 15. februar 2024 trådte loven om cybersikkerhed (Zakon o kibernetičkoj sigurnosti NN 14/2024) i kraft. ​Kilde: truid.app

Letland: Den 20. juni 2024 vedtog Saeima (det lettiske parlament) den nationale cybersikkerhedslov, som forventes at træde i kraft den 1. september 2024, forudsat godkendelse i tre behandlinger. ​Kilde: truid.app

Lande i fremskredne stadier af implementering af NIS2 i national lovgivning

Østrig: Den 19. juni 2024 annoncerede det østrigske parlament implementeringen af NIS2 gennem vedtagelsen af Informationssystem Sikkerhedsloven 2024 (NISG 2024) samt ændringer til telekommunikations- og sundhedstelematiklovene. ​Kilde: truid.app

Tyskland: Den 24. juli 2024 blev regeringens udkast til NIS2-implementeringsloven offentliggjort. Dog blev implementeringsfristen den 18. oktober 2024 ikke overholdt. På grund af nyvalg til Forbundsdagen den 23. februar 2025 skal alle lovforslag genfremsættes og forhandles, hvilket betyder, at implementeringen af NIS2 i Tyskland tidligst forventes i andet kvartal af 2025. ​Kilde: de.wikipedia.org

Lande med begrænset eller ingen fremskridt i implementeringen af NIS2 i national lovgivning

Bulgarien, Estland, Malta, Portugal og Spanien: Disse lande har enten givet begrænset offentlig information om deres implementeringsproces eller har gjort minimale fremskridt. Dette kan skyldes, at de stadig er i de tidlige faser af udviklingen, eller at der er begrænset tilgængelig information. ​Kilde: truid.app

Det er vigtigt at bemærke, at selvom nogle lande ikke har overholdt den fastsatte frist, arbejder de fleste EU-medlemslande aktivt på at implementere NIS2-direktivet i deres nationale lovgivning.

Hvem er omfattet af NIS2?

NIS2-direktivet udvider listen over sektorer, der er omfattet. De nye sektorer som er omfattet af NIS2, men ikke var omfattet af NIS1 er:

  • Produktionsvirksomheder
  • Rummet
  • Digitale Udbydere
  • Fødevarer
  • Forvaltning af IKT-tjenester
  • Affaldshåndtering
  • Forskning
  • Post og Kurer
  • Kemikalier
  • Offentlig forvaltning
  • Spildevand

Hvornår er man omfattet af NIS2?

En virksomhed er omfattet af NIS2, hvis den opererer inden for en af de nævnte sektorer og enten:

  • Har mere end 50 ansatte eller
  • Har en årlig omsætning på over 10 millioner euro og en årlig balance på mindst €10 mio.

Hvad koster NIS2? En økonomisk gennemgang af compliance-omkostninger

At efterleve NIS2-direktivet indebærer en række investeringer, men de præcise omkostninger varierer afhængigt af virksomhedens størrelse, nuværende cybersikkerhedsniveau og de nødvendige tilpasninger. Nogle virksomheder har allerede en stærk sikkerhedsstrategi, mens andre skal foretage større investeringer for at opnå compliance. Her gennemgår vi de primære omkostningsområder, virksomheder bør tage højde for.

Investering i nye sikkerhedsløsninger

Mange virksomheder vil skulle opgradere deres eksisterende it-sikkerhed for at opfylde NIS2-kravene. De mest almindelige investeringer inkluderer:

  • Identitetssikring: Multi-faktor-autentificering (MFA) og IAM (Identity & Access Management) løsninger
  • Backup og databeskyttelse: Implementering af sikre offsite-backups og disaster recovery-løsninger
  • Kryptering af data: Beskyttelse af følsomme data i transit og i hvile

Omkostning: Afhænger af virksomhedens størrelse og eksisterende sikkerhedsniveau. Mindre virksomheder kan slippe med et par hundrede tusinde kroner, mens store organisationer kan skulle investere millioner i opgraderinger.

Implementering af risikostyring og compliance-strategier

NIS2 kræver, at virksomheder har en struktureret tilgang til risikostyring. Det indebærer:

  • Udarbejdelse af en cybersikkerhedsstrategi
  • Udførelse af regelmæssige risikovurderinger og GAP-analyser
  • Løbende monitorering og rapportering af sikkerhedshændelser

Omkostning: En intern it-afdeling kan håndtere dele af dette, men mange virksomheder vil have behov for ekstern rådgivning. Prisen for en ekstern cybersikkerhedskonsulent eller et rådgivningsfirma kan variere fra 50.000 kr. til over 500.000 kr. afhængigt af opgavens omfang.

Eksterne compliance-audits og certificeringer

For at sikre, at virksomheden lever op til NIS2-kravene, kan det være nødvendigt med eksterne audits og certificeringer såsom:

  • Revisorerklæring (ISAE 3000 NIS2
  • ISO 27001-certificering (international standard for informationssikkerhed)
  • NIST- eller CIS-baserede audits for at evaluere sikkerhedsniveauet
  • Penetrationstests og sårbarhedsscanninger for at identificere svagheder

Omkostning: ISO 27001-certificering alene kan koste mellem 100.000 kr. og 500.000 kr. afhængigt af virksomhedens kompleksitet. Løbende penetrationstests og sikkerhedsrevisioner kan koste mellem 50.000 kr. og 200.000 kr. årligt.

Uddannelse af medarbejdere i cybersikkerhed

Uddannelse af medarbejdere i cybersikkerhed

Da menneskelige fejl er en af de største sikkerhedsrisici, er træning og awareness-programmer essentielle.

  • Kurser i cybersikkerhed og phishing-awareness for alle medarbejdere
  • Specialiserede NIS2-træninger for it-afdelingen og ledelsen
  • Simulerede cyberangreb for at teste medarbejdernes beredskab

Omkostning: Cybersikkerhedskurser kan koste mellem 5.000 kr. og 20.000 kr. per medarbejder, afhængigt af kursets dybde. For store virksomheder kan en bred træningsindsats koste hundredtusindvis af kroner årligt. Se Computerworlds NIS2-kurser og bliv klædt på til at navigere i EU-direktivet NIS2. 

Skjulte og løbende omkostninger ved NIS2

Ud over de direkte investeringer skal virksomheder tage højde for:

Tidsforbrug: Implementering af NIS2-compliance tager tid fra nøglemedarbejdere

Ekstern juridisk rådgivning: Afklaring af krav og risici i forhold til databeskyttelse og regulering

Opdatering af kontrakter og leverandørstyring: Leverandører skal muligvis tilpasse deres sikkerhedsniveau

Samlet vurdering: Hvad skal virksomheder budgettere med?

Den samlede pris for NIS2-compliance afhænger af virksomhedens størrelse og nuværende sikkerhedsniveau:

Virksomhedstype Forventede omkostninger

Små virksomheder (50-250 ansatte)

250.000 - 1 mio. kr.

Mellemstore virksomheder (250-1.000 ansatte)

1 - 5 mio kr.

Store virksomheder (1.000+ ansatte)

5 - 20 mio. kr.

For virksomheder, der allerede har en stærk cybersikkerhedsstrategi, kan omkostningerne være lavere, mens virksomheder med begrænset sikkerhedsniveau kan skulle foretage betydelige investeringer.

NIS2 er en investering i sikkerhed og konkurrenceevne

Selvom efterlevelse af NIS2 kan være en betydelig investering, er det en nødvendighed for at beskytte virksomheden mod cybertrusler og potentielle bøder. Desuden kan det skabe en konkurrencefordel for virksomheder, der kan dokumentere stærk cybersikkerhed over for kunder og samarbejdspartnere.

Virksomheder bør begynde deres NIS2-forberedelser nu, så de kan fordele investeringerne over tid og undgå sidste øjebliks løsninger, der kan blive både dyrere og mindre effektive.

Hvordan sikrer man, at man er NIS2-compliant?

For at blive compliant med NIS2-direktivet skal virksomheder som minimum:

  1. Foretage en risikovurdering af deres it-systemer.
  2. Have afdækket systemer og aktiver - få et overblik over, hvad de rent faktisk har af hardware og software.
  3. Implementere passende sikkerhedsforanstaltninger, såsom adgangskontrol, overvågning og backup-løsninger.
  4. Udarbejde en beredskabsplan for håndtering af sikkerhedshændelser.
  5. Etablere procedurer for rapportering af sikkerhedsbrud.
  6. Træne medarbejdere i cybersikkerhed for at sikre en stærkere sikkerhedskultur.

Hvad skal virksomheder være opmærksomme på, når NIS2 træder i kraft?

Når NIS2-direktivet træder i kraft, skal virksomheder være opmærksomme på:

  • Øgede krav til cybersikkerhed
  • Skærpede bøder ved manglende compliance
  • Øget ansvar for ledelsen, der kan blive personligt ansvarlige for manglende implementering

Hvordan forbereder man sin virksomhed på NIS2-direktivet?

Forberedelse til NIS2 bør omfatte følgende skridt:

  • Gennemgå nuværende sikkerhedspolitikker og procedurer
  • Udfør en analyse for at identificere mangler
  • Udarbejd en handlingsplan for at lukke sikkerhedshuller
  • Sikre ledelsesopbakning og træning

Hvad sker der, hvis man ikke efterlever NIS2-direktivet?

Hvis en virksomhed ikke efterlever NIS2, kan konsekvenserne være:

  • Bøder (som kan være op til 10 millioner euro eller 2% af den globale omsætning)
  • Retlig ansvarlighed for ledelsen
  • Tab af tillid fra kunder og samarbejdspartnere
  • Øget risiko for cyberangreb

NIS2 Checkliste: Er din virksomhed klar?

NIS2-direktivet stiller øgede krav til cybersikkerhed og beredskab for virksomheder og organisationer i kritiske sektorer. For at sikre compliance og undgå bøder eller cybertrusler, er det vigtigt at følge en struktureret tilgang til implementering af sikkerhedsforanstaltninger.

Her er en udvidet tjekliste, der hjælper din virksomhed med at blive klar til NIS2.

1. Foretaget en risikovurdering

En grundig risikovurdering er første skridt mod NIS2-compliance. Dette indebærer:

  • Identifikation af kritiske systemer og data
  • Kortlægning af potentielle cybertrusler og sårbarheder
  • Vurdering af konsekvenserne ved et sikkerhedsbrud
  • Udarbejdelse af en strategi for risikominimering

Risikovurderingen bør være en løbende proces, hvor din virksomhed regelmæssigt analyserer og evaluerer nye risici.

2. Implementeret nødvendige sikkerhedsforanstaltninger

For at beskytte din virksomheds it-infrastruktur og data skal du sikre:

  • Netværkssikkerhed (firewalls, intrusion detection systems, VPN-løsninger)
  • Adgangskontrol (to-faktor-autentificering, princip om mindst privilegium)
  • Kryptering af følsomme data
  • Backup-strategier (offsite og cloud-baserede løsninger)
  • Opdatering og patching af software og systemer

Sikkerhedsforanstaltningerne skal ikke være statiske, men løbende evalueres og opdateres i takt med, at trusselsbilledet ændrer sig.

3. Udarbejdet en beredskabsplan for cyberangreb

En incident response plan (beredskabsplan) er afgørende for at håndtere cyberangreb hurtigt og effektivt. Denne plan bør indeholde:

  • Klare roller og ansvarsområder i tilfælde af et angreb
  • Protokoller for opdagelse, afhjælpning og gendannelse
  • Simulering og øvelser for at teste beredskabet
  • Kommunikation til relevante myndigheder og samarbejdspartnere

Et veldokumenteret beredskab kan være forskellen mellem hurtig krisehåndtering og langvarige forretningsforstyrrelser.

4. Indført procedurer for rapportering af sikkerhedsbrud

NIS2 stiller krav om obligatorisk indrapportering af sikkerhedshændelser til de nationale myndigheder inden for 24 timer efter opdagelse.
For at sikre compliance skal din virksomhed:

  • Have en klar rapporteringsprocedure
  • Vide, hvem der skal informeres (myndigheder, kunder, partnere)
  • Dokumentere alle sikkerhedshændelser grundigt

Hurtig og præcis rapportering sikrer, at virksomheder kan få den nødvendige hjælp og minimere skader.

5. Sikret ledelsens opbakning og forståelse

NIS2 pålægger ledelsen et direkte ansvar for cybersikkerheden. Det betyder, at virksomhedens topledelse skal:

  • Have indsigt i NIS2-kravene
  • Sikre, at cybersikkerhed er en strategisk prioritet
  • Allokere tilstrækkelige ressourcer til sikkerhedsforanstaltninger
  • Deltage i årlige cybersikkerhedskurser

Manglende ledelsesansvar kan føre til store bøder og endda personligt ansvar for ledelsen.

6. Uddannet medarbejdere i cybersikkerhed

Menneskelige fejl er en af de største årsager til sikkerhedsbrud. Det er derfor afgørende at:

  • Gennemføre løbende træning af medarbejdere i cybertrusler
  • Lære medarbejdere at identificere phishing-angreb og social engineering
  • Uddanne medarbejdere i best practices for adgangskoder og sikker datadeling

Et højt niveau af sikkerhedsbevidsthed blandt medarbejdere kan forhindre mange angreb.

7. Løbende overvågning og opdatering af sikkerhedspolitikker

Cybersikkerhed er ikke en one-time-implementation, men en kontinuerlig proces. For at sikre langvarig compliance med NIS2 skal din virksomhed:

  • Udføre regelmæssige penetrationstests og sårbarhedsscanninger
  • Overvåge IT-infrastrukturen for mistænkelig aktivitet
  • Holde virksomhedens sikkerhedspolitikker opdaterede
  • Implementere automatiserede sikkerhedsløsninger, hvor det er muligt

Ved at have en dynamisk tilgang til cybersikkerhed kan din virksomhed bedre beskytte sig mod nye trusler.

Ekstra tjekpunkter for optimal NIS2-overholdelse

For at være endnu bedre forberedt på NIS2-direktivet, bør din virksomhed også overveje:

  • At etablere en cybersikkerhedsansvarlig (CISO) eller et sikkerhedsteam
  • At lave en GAP-analyse for at identificere manglende compliance-punkter
  • At samarbejde med eksterne cybersikkerhedsrådgivere

Konklusion: NIS2 kræver handling nu

At opnå compliance med NIS2 kræver tid, planlægning og strategiske investeringer. Ved at følge denne tjekliste kan din virksomhed minimere risikoen for cybertrusler og sikre, at den lever op til de nye krav.

Er din virksomhed klar til NIS2? Hvis du ikke har styr på ovenstående punkter, er det tid til at handle! Implementer sikkerhedsforanstaltningerne nu og vær forberedt, når NIS2 træder i kraft.

Ønsker du rådgivning eller en endnu bedre forståelse af de krav og processer, som direktivet medfører, og en praktisk indføring i at integrere NIS2-krav i din virksomheds daglige drift? Se vores NIS2 kurser her