Forside · Compliance · NIS2
NIS2, Pillar guide

Den komplette
NIS2-guide.

NIS2 (Network and Information Security Directive 2) er EU's opdaterede cybersikkerhedsdirektiv der trådte i kraft i oktober 2024. Det er den mest vidtgående cybersikkerhedslovgivning i EU's historie og pålægger virksomheder i 18 sektorer bindende krav om risikostyring, hændelsesrapportering og ledelsesansvar.

10
Relaterede termer
2025
Opdateret
10 min
Læsetid

KORT SVAR

NIS2 gælder for mellemstore og store virksomheder (over 50 ansatte eller 10 mio. euro i omsætning) i 18 sektorer. Kravene dækker risikostyring, hændelsesrapportering inden 72 timer og ledelsesansvar. Sanktioner: op til 10 mio. euro eller 2% af global omsætning.

Den komplette NIS2-guide

NIS2 er en fundamental udvidelse af det originale NIS-direktiv fra 2016. Hvor det første direktiv dækkede relativt få og snævert definerede sektorer, udvider NIS2 scope markant og stiller langt mere specifikke og bindende krav. Direktivet er implementeret i dansk ret og håndhæves af Center for Cybersikkerhed (CFCS) og sektorspecifikke myndigheder.

Hvem er omfattet?

NIS2 gælder for mellemstore og store virksomheder (over 50 medarbejdere ELLER over 10 mio. euro i omsætning) i 18 sektorer fordelt på to kategorier. Væsentlige enheder er underlagt proaktivt tilsyn og inkluderer energi, transport, bankvirksomhed, sundhed, drikkevand og digital infrastruktur. Vigtige enheder er underlagt reaktivt tilsyn og inkluderer post, affald, kemikalier, fødevarer og fremstilling af kritiske produkter.

De 10 minimumskrav (artikel 21)

NIS2 specificerer 10 obligatoriske risikohåndteringstiltag: politikker for risikoanalyse og informationssystemsikkerhed, hændelseshåndtering, driftskontinuitet og krisestyring, forsyningskædesikkerhed, sikkerhed ved anskaffelse og vedligeholdelse af systemer, politikker for evaluering af cybersikkerhedsforanstaltninger, basal cyberhygiejne og uddannelse, kryptografi og kryptering, personalesikkerhed og adgangsstyring, og multifaktorautentificering.

Rapporteringsfrister

Ved alvorlige hændelser gælder tre frister: 24 timer, tidlig varsling til CSIRT/kompetent myndighed (skal indeholde om hændelsen mistænkes at være ondsindet). 72 timer, hændelsesanmeldelse med initial vurdering. 1 måned, endelig rapport med fuld analyse, konsekvenser og trufne foranstaltninger.

Ledelsesansvar og sanktioner

NIS2 er banebrydende i at gøre topledelsen personligt ansvarlig. Ledelsesorganerne skal godkende og overvåge cybersikkerhedsforanstaltninger og kan pålægges personlige bøder. For væsentlige enheder er bøderne op til 10 millioner euro eller 2% af global omsætning. For vigtige enheder op til 7 millioner euro eller 1,4%. Gentagne grove overtrædelser kan medføre midlertidigt forbud mod at udøve ledelsesfunktioner.

NIS2 og BestSecurity

BestSecurity.IO er bygget til at gøre NIS2-compliance håndterbar. Platformen mapper automatisk jeres kontroller til NIS2's 10 krav, tracker implementeringsfremdrift, og genererer den dokumentation myndighederne forventer ved en inspektion. Hændelsesrapportering kobles til vores 24/7 SOC og Incident Response, så I kan overholde 24/72-timers-fristerne uden manuel koordinering.

Relaterede termer

NIS2

Network and Information Security Directive 2, EU's reviderede cybersikkerhedsdirektiv.

Incident Response

Den strukturerede tilgang til at håndtere og inddæmme cybersikkerhedshændelser.

CSIRT / CERT

Computer Security Incident Response Team, den kompetente myndighed der modtager hændelsesrapporter.

Supply Chain Security

Sikkerhed gennem hele forsyningskæden, identifikation, vurdering og mitigation af leverandørrisiko.

Governance

Ledelsesmæssig styring og overvågning af cybersikkerhedsindsatsen i organisationen.

CISO

Chief Information Security Officer, den ledende person med ansvar for informationssikkerhed.

Backup

Processen med at oprette og opbevare kopier af data på en måde der gør gendannelse mulig.

Risk Management

Den systematiske proces med at identificere, vurdere og mitigere risici.

Patch Management

Den systematiske proces med at identificere, evaluere og implementere sikkerhedsopdateringer.

Vulnerability Scanning

Den systematiske proces med at scanne IT-systemer for kendte sårbarheder.

Automatisér din NIS2-compliance

BestSecurity.IO samler NIS2, GDPR, ISO 27001 og SOC 2 på ét sted med automatiseret kontrol-tracking og dokumentation.

Book en gratis demo

OFTE STILLEDE SPØRGSMÅL

Gælder NIS2 for min virksomhed?

NIS2 gælder for mellemstore og store virksomheder (over 50 ansatte ELLER over 10 mio. euro i omsætning) i 18 definerede sektorer. Leverandører til NIS2-omfattede enheder kan også være berørt.

Hvad er fristen for at anmelde en hændelse under NIS2?

Tidlig varsling inden 24 timer, hændelsesanmeldelse inden 72 timer og endelig rapport inden 1 måned til CSIRT/kompetent myndighed.

Hvad er ledelsesansvaret under NIS2?

Ledelsesorganerne skal godkende og overvåge cybersikkerhedsforanstaltninger og kan holdes personligt ansvarlige. Grove overtrædelser kan medføre forbud mod at sidde i ledelsen.

Overlapper NIS2 med ISO 27001 og GDPR?

Ja. ISO 27001-implementering dækker størstedelen af NIS2 artikel 21s tekniske krav. GDPR-compliance adresserer dele af NIS2s krav til databeskyttelse og hændelsesrapportering.

EN UFORPLIGTENDE SNAK

Skal vi gennemgå jeres NIS2-status?

Vi viser jer hvor langt I er fra de 10 minimumskrav, hvad der mangler, og hvordan BestSecurity.IO kan automatisere de tunge dele. Helt uden binding.

Eller ring 82 82 82 95
VI RINGER TILBAGE
Vi gemmer kun jeres oplysninger til at ringe tilbage.