{"id":2259,"date":"2025-07-28T09:26:41","date_gmt":"2025-07-28T09:26:41","guid":{"rendered":"https:\/\/bedrecybersikkerhed.dk\/?p=2259"},"modified":"2025-07-28T09:53:36","modified_gmt":"2025-07-28T09:53:36","slug":"nis2-de-5-centrale-krav","status":"publish","type":"post","link":"https:\/\/bedrecybersikkerhed.dk\/index.php\/2025\/07\/28\/nis2-de-5-centrale-krav\/","title":{"rendered":"NIS2 – de 5 centrale krav"},"content":{"rendered":"

NIS2, net- og informationssystem sikkerhedsdirektiv<\/b><\/span><\/span><\/span><\/h4>\n

NIS2 er del af EU\u2019s digitale strategi, og direktivet sigter p\u00e5 at opn\u00e5 et h\u00f8jt f\u00e6lles cybersikkerhedsniveau i hele EU med henblik for at forbedre hele det indre markeds funktion. Direktiver udm\u00f8ntes med national lov – i Danmark pr. 1.7 2025. <\/span><\/span><\/span><\/p>\n

Artiklen introducerer centrale krav + links til relevant materiale. <\/span><\/span><\/span><\/p>\n

Den generelle NIS2-lov er udstedt af Ministeriet for Samfundssikkerhed og Beredskab. Regler for finansiel sektor ses i DORA forordningen. Danmark har tillige udstedt NIS2-love for energi- og telesektor. Disse sektorer beskrives ikke her. Links ses nederst.<\/span><\/span><\/span><\/p>\n

Fem centrale krav <\/b><\/span><\/span><\/span><\/h4>\n

\ud83d\udc49<\/span> 1.<\/strong> Organisationen skal som hovedregel selv vurdere, i hvilken udstr\u00e6kning organisationen omfattes af NIS2. Organisationen omfattes p\u00e5 enhedsniveau (juridisk enhed, CVR). Store organisationer\/koncerner kan falde under for alle eller specifikke juridiske enheder i Danmark eller andre EU-lande. Desuden kan en organisation falde under for forskellige sektorer. <\/span><\/span><\/span><\/p>\n

Organisationen m\u00e5 i Danmark udover NIS2-loven orientere sig i eventuelle sektorspecifikke bekendtg\u00f8relser. <\/span><\/span><\/span><\/p>\n

Falder organisationen under NIS2 i et andet EU-land, er det v\u00e6rd at n\u00e6vne, at NIS2 er et mindstedirektiv, hvorfor andre lande kan have strengere krav. Der g\u00e6lder s\u00e6rlige regler for s\u00e5kaldte digitale enheder, der kun vil v\u00e6re omfattet af regler i \u00e8t EU-land efter hovedforretningssted. Desuden skal virksomheden registrere sig i relevante EU-lande, i Danmark senest 1.10 2025. Find mere info om registrering p\u00e5 <\/span><\/span><\/span>virk.dk.<\/span><\/span><\/span><\/a><\/u><\/span><\/p>\n

Styrelsen for Samfundssikkerhed, SAMSIK, har udgivet fire sektortv\u00e6rg\u00e5ende vejledninger og en til kommuner. I vejledningen <\/span><\/span><\/span>Anvendelsesomr\u00e5det<\/span><\/span><\/span><\/a><\/u><\/span> findes sp\u00f8rgetr\u00e6 og kriteriebeskrivelse til at underst\u00f8tte identifikation af, om man falder under.<\/span><\/span><\/span><\/p>\n

Den juridiske enhed vil v\u00e6re v\u00e6sentlig eller vigtig. Men det er kun i udstr\u00e6kningen af tilsyn, h\u00e5ndh\u00e6velsesforanstaltninger og sanktioner, at det konkret spiller en rolle.<\/span><\/span><\/span><\/p>\n

\ud83d\udc49<\/span> 2.<\/strong> Et meget centralt krav i NIS2 er, at ledelsesorganet nu pr. lov har ansvar at godkende foranstaltninger til styring af cybersikkerhedsrisici samt f\u00f8re tilsyn med gennemf\u00f8rslen. Derfor skal ledelsesorganet identificeres. Det giver sig selv i den lille organisation, men i den store organisation kan det v\u00e6re en kompleks opgave at identificere ledelsesorganet for hver specifik juridisk enhed, der m\u00e5ske ikke har en direktion eller bestyrelse. Vejledningen <\/span><\/span><\/span>Ledelsens Rolle og opgaver<\/span><\/span><\/span><\/a><\/u><\/span> giver detaljer, herunder om tilsynspligt, kompetencekrav, delegering og sanktioner\/ledelsens personlige ansvar. <\/span><\/span><\/span><\/p>\n

\ud83d\udc49<\/span> 3.<\/strong> NIS2\u2019s overblik over minimumsforanstaltninger ses i direktivets artikel 21\/\u00a7 6 i NIS2-loven. I Danmark bliver alle den juridiske enheds net- og informationssystemer omfattet, og ikke kun dem, der underst\u00f8tter de ydelser der g\u00f8r, at enheden bliver omfattet. Med den risikobaserede tilgang, kan behov for sikkerhedsforanstaltninger variere.<\/span><\/span><\/span><\/p>\n

Vejledning om implementering af cybersikkerhedsforanstaltninger<\/span><\/span><\/span><\/a><\/u><\/span> tilbyder definitioner, form\u00e5lsbeskrivelse, dokumentation samt forslag til foranstaltninger (ofte ben\u00e6vnt kontroller) efter standarder og rammev\u00e6rk som bl.a. ISO27001, NIST CSF 2.0, og IEC62443 for de organisationer, der ikke kun har IT men ogs\u00e5 Operational Technologies, OT. <\/span><\/span><\/span><\/p>\n

For visse digitale sektorer har EU Kommissionen jf. direktivets artikel 21.5 udarbejdet separat <\/span><\/span><\/span>implementeringsregulering<\/span><\/span><\/span><\/a><\/u><\/span> (ANNEX dokumentet n\u00e5r man f\u00f8lger link) for artikel 21\/ \u00a76, p\u00e5 baggrund af hvilken, at ENISA* har udgivet <\/span><\/span><\/span>Technical Implementation Guidance<\/span><\/span><\/span><\/a><\/u><\/span>. Den danske vejledning om foranstaltninger f\u00f8lger til dels samme systematik, men ENISA er p\u00e5 visse omr\u00e5der mere specifik og til god inspiration for alle sektorer. <\/span><\/span><\/span><\/p>\n

Risikostyringen skal v\u00e6re risikobaseret og tage udgangspunkt i alle farer (all-hazards approach). En n\u00e6rmere anvisning af metodik er ikke inkluderet i vejledningerne, men pr\u00e6amplerne herunder (28) i <\/span><\/span><\/span>implementeringsreguleringen<\/span><\/span><\/span><\/a><\/u><\/span> (dokumentet, der ikke er ANNEX, n\u00e5r man f\u00f8lger link) for visse digitale sektorer oplister, hvad det kunne v\u00e6re.<\/span><\/span><\/span><\/p>\n

Et krav uden stor bev\u00e5genhed, er risikovurderingens fokus p\u00e5 samfundsm\u00e6ssig og \u00f8konomisk indvirkning. Dvs. fokus p\u00e5, hvordan v\u00e6sentlige h\u00e6ndelser i kritisk infrastruktur vil p\u00e5virke samfund og \u00f8konomi. Hvad samfundsrisici kan v\u00e6re, har svenske MSB, Myndigheten f\u00f6r samh\u00e4llsskyd och beredskap elaboreret over i deres publikation <\/span><\/span><\/span>Impact of IT incidents<\/span><\/span><\/span><\/a><\/u><\/span>. Publikationen tager udgangspunkt i svenske h\u00e6ndelser og er god l\u00e6sning. <\/span><\/span><\/span><\/p>\n

En anden ENISA publikation, <\/span><\/span><\/span>Cybersecurity roles and skills for NIS2 essential and important entities<\/span><\/span><\/span><\/a><\/u><\/span> tilbyder guidance til at operationalisere krav og kompetencer.<\/span><\/span><\/span><\/p>\n

\u00a0 \u00a0 3.1<\/strong> Et nyt og centralt krav er at sikre den juridiske enheds forsyningsk\u00e6desikkerhed, herunder sikkerhedsrelaterede aspekter, s\u00e5 organisationen ikke p\u00e5virkes negativt herfra. <\/span><\/span><\/span><\/p>\n

Omfanget og type af relevante direkte leverand\u00f8rer og tjenesteudbydere, herefter leverand\u00f8rer, i scope er der mange meninger om. <\/span><\/span><\/span>Vejledningen om implementering af foranstaltninger<\/span><\/span><\/span><\/a><\/u><\/span> peger p\u00e5 leverand\u00f8rer i scope p\u00e5 denne m\u00e5de: \u201di det omfang deres ydelser kan p\u00e5virke sikkerheden i forhold til den eller de ydelser, som g\u00f8r, at enheden er omfattet af NIS2\u201d \u2013 s\u00e5 alts\u00e5 ikke alle leverand\u00f8rer, og peger p\u00e5 \u201dlevering af it-produkter og tjenester samt andre kritiske leverancer som str\u00f8m, teknisk bistand med mere\u201d og senere, \u201dcloud\u201d. <\/span><\/span><\/span><\/p>\n

For leverand\u00f8rer i scope skal organisationen lave risikovurdering af leverand\u00f8rens cybersikkerhedsmodenhed, risikovurdering af produkt eller service, sikre en skriftlig aftale, der afspejler risikovurdering samt sikre regelm\u00e6ssig opf\u00f8lgning. Organisationen kan anvende en risikobaseret tilgang, hvor kravene til den enkelte leverand\u00f8r er proportionale med den specifikke leverances betydning for organisationens forsynings- og cybersikkerhed. <\/span><\/span><\/span><\/p>\n

En udbredt misforst\u00e5else er, at leverand\u00f8rer til NIS2-omfattende organisationer s\u00e5 selv bliver omfattet af NIS2, hvilket er forkert. <\/span><\/span><\/span><\/p>\n

Organisationen kan ogs\u00e5 overveje, om de bliver leverand\u00f8r til eksterne organisationer, der falder under NIS2, og som vil risikovurdere og stille krav. <\/span><\/span><\/span><\/p>\n

\ud83d\udc49<\/span> 4.<\/strong> Krav om obligatorisk underretning til myndigheder g\u00e6lder v\u00e6sentlige h\u00e6ndelser, der ud fra en indledende vurdering har p\u00e5virket eller er i stand til at p\u00e5virke enhedens levering af ydelser. Her er reglen, at underretningspligtige h\u00e6ndelser skal p\u00e5virke de konkrete net- og informationssystemer for de ydelser, som g\u00f8r, at enheden er omfattet af NIS2. I vejledningen <\/span><\/span><\/span>H\u00e6ndelsesunderretning<\/span><\/span><\/span><\/a><\/u><\/span> findes sp\u00f8rgetr\u00e6 samt konkret info om, hvor der skal indberettes (<\/span><\/span><\/span>virk.dk<\/span><\/span><\/span><\/a><\/u><\/span>), hvad samt fristerne p\u00e5 24 timer for tidligt varsel, 72 timer og en m\u00e5ned. For visse digitale sektorer har EU Kommissionen jf. artikel 23.11 udarbejdet separat <\/span><\/span><\/span>gennemf\u00f8rselsforordning<\/span><\/span><\/span><\/a><\/u><\/span> (dokumentet, der ikke er ANNEX, n\u00e5r man f\u00f8lger link) for artikel 23\/ \u00a7\u00a7 12-14 i NIS2-loven med god guidance i dokumentets pr\u00e6ampler ogs\u00e5 for andre sektorer.<\/span><\/span><\/span><\/p>\n

\ud83d\udc49<\/span> 5.<\/strong> Tilsyn og h\u00e5ndh\u00e6velse varetages i Danmark af de <\/span><\/span><\/span>sektoransvarlige myndigheder<\/span><\/span><\/span><\/a><\/u><\/span>, hvilket ogs\u00e5 detaljeret fremg\u00e5r af denne <\/span><\/span><\/span>bekendtg\u00f8relse<\/span><\/span><\/span><\/a><\/u><\/span>. Regler for tilsyn findes i art. 32 for+33\/<\/span><\/span><\/span>kap 6 i NIS2-loven.<\/span><\/span><\/span><\/a><\/u><\/span> For v\u00e6sentlige juridiske enheder f\u00f8res l\u00f8bende tilsyn, mens vigtige juridiske enheder er genstand for reaktivt tilsyn. For begge typer g\u00e6lder dog, at tilsyns- og kontrolforanstaltninger samt h\u00e5ndh\u00e6velsesforanstaltninger er vidtg\u00e5ende. <\/span><\/span><\/span><\/p>\n

* ENISA, EU’s cybersikkerhedsagentur. En senere artikel vil g\u00e5 i detaljer med ENISA publikationer.<\/span><\/span><\/span><\/p>\n\n

Relevante links<\/b><\/span><\/span><\/h4>\n
    \n
  1. 2022\/2555 EU NIS2 direktiv<\/span><\/span><\/span><\/a><\/u><\/span><\/li>\n
  2. Lov om foranstaltninger til sikring af en h\u00f8jt cybersikkerhedsniveau (NIS2-loven) <\/span><\/span><\/span><\/a><\/u><\/span><\/li>\n
  3. Lov om sikkerhed og beredskab i telesektoren <\/span><\/span><\/span><\/a><\/u><\/span><\/li>\n
  4. Lov om styrket beredskab i energisektoren<\/span><\/span><\/span><\/a><\/u><\/span><\/li>\n
  5. SAMSIK vejledninger<\/span><\/span><\/a><\/u><\/span><\/li>\n
  6. ENISA, Technical implementation guidance<\/span><\/span><\/a><\/u><\/span><\/li>\n
  7. ENISA, Cybersecurity roles and skills for NIS2 essential and important entities<\/span><\/span><\/a><\/u><\/span><\/li>\n
  8. Lov om kritiske enheders modstandsdygtighed (CER-loven<\/span><\/span><\/span><\/a><\/u><\/span>)<\/span><\/span><\/li>\n
  9. NIS2 Directive \u2013 Commission implementing Regulation C(2024)<\/span><\/span><\/a><\/u><\/span> for art. 21 (ANNEX) og art. 23 for visse digitale sektorer<\/span><\/li>\n
  10. Information om DORA, forordning om digital operationel modstandsdygtighed<\/span><\/span><\/span><\/a><\/u><\/span><\/li>\n<\/ol>\n\n\n

    <\/p>\n","protected":false},"excerpt":{"rendered":"

    NIS2, net- og informationssystem sikkerhedsdirektiv NIS2 er del af EU\u2019s digitale strategi, og direktivet sigter p\u00e5 at opn\u00e5 et h\u00f8jt f\u00e6lles cybersikkerhedsniveau i hele EU…<\/p>\n","protected":false},"author":6,"featured_media":2265,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kadence_starter_templates_imported_post":false,"_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"categories":[21],"tags":[],"ppma_author":[19],"class_list":["post-2259","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ledelse"],"authors":[{"term_id":19,"user_id":6,"is_guest":0,"slug":"henriette-brandstrup","display_name":"Henriette Brandstrup","avatar_url":{"url":"https:\/\/bedrecybersikkerhed.dk\/wp-content\/uploads\/2025\/01\/Henriette-Brandstrup.webp","url2x":"https:\/\/bedrecybersikkerhed.dk\/wp-content\/uploads\/2025\/01\/Henriette-Brandstrup.webp"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/comments?post=2259"}],"version-history":[{"count":5,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2259\/revisions"}],"predecessor-version":[{"id":2271,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2259\/revisions\/2271"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/media\/2265"}],"wp:attachment":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/media?parent=2259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/categories?post=2259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/tags?post=2259"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/ppma_author?post=2259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}