Pligtinfo for direktion og bestyrelse: EU-regler med strafansvar og suspension havde deadline 1. juli

Direktivet indebærer blandt andet, at topledelsen i berørte organisationer får et personligt strafferetsligt ansvar for efterlevelse af sikkerhedskrav – i yderste konsekvens man holdes strafretligt ansvarlige eller midlertidigt suspenderes fra deres stillinger. Disse konsekvenser, foruden store bøder, kan ske hvis deres virksomhed groft forsømmer NIS2-kravene. NIS2 bringer med andre ord cybersikkerhed helt ind i bestyrelseslokalet ved at gøre ledelsen direkte ansvarlig for it-sikkerheden. I mange tilfælde skal IT ledelse, bestyrelsesmedlemmer og direktør uddannes eller modtage og forstå NIS2 kravenes implementering fra en outsourcet sikkerhedsleverandør. Det skriver ICARE SECURITY A/S.

Vi gennemgår her de nye regler i detaljer: hvem de omfatter (f.eks. hvilke virksomheder og offentlige enheder), hvilke krav der stilles, hvilke bøder og konsekvenser der kan udløses ved manglende overholdelse, samt hvornår reglerne træder i kraft og skal efterleves. EU har vedtaget et nyt cybersikkerhedsdirektiv kaldet NIS2 (en forkortelse for “Netværk og Informationssikkerhed 2”). NIS2 erstatter det tidligere NIS-direktiv fra 2016 og udgør en markant skærpelse af kravene til it-sikkerhed i samfundskritiske sektorer. Formålet med NIS2 er at hæve det generelle cybersikkerhedsniveau i EU ved at udvide omfanget til flere brancher, præcisere reglerne og styrke myndighedernes tilsynsmuligheder.

IT-Revisor eller NIS2-Revisor?

Hos Advokat og Revisor Samvirket kan du hyre en IT-Revisor så du sikres, at du overholden loven. Vi kalder også for NIS2-Revisorer og kan ofte lave compliance, selvom du har været i gang med egenimplemenetering og udstede en revisorerkæring herpå. Vi kan naturligvis også bestilles til at lave en compliance på en allerede given NIS-protokol eller implementering.

Har du endu ikke fået implementeret NIS2, kan vi hjælpe dig. Ring 77777770 (ikke sms). Spørg os – så får du råd.

Baggrund og formål med NIS2-direktivet

Den oprindelige NIS1-direktiv fra 2016 var EU’s første lovgivning om cybersikkerhed på tværs af medlemslandene. Siden da er cybertruslerne eskaleret, og det stod klart, at NIS1 ikke dækkede alle kritiske sektorer tilstrækkeligt og var implementeret noget forskelligt på tværs af landene. Derfor fremsatte Europa-Kommissionen i december 2020 et forslag til en ny og strengere NIS2. NIS2-direktivet blev formelt vedtaget i EU i slutningen af 2022 (Direktiv (EU) 2022/2555) og trådte i kraft den 16. januar 2023. Medlemslandene fik indtil 17. oktober 2024 til at omsætte direktivet til national lovgivning. NIS2 ophævede samtidig det gamle NIS1-direktiv pr. 18. oktober 2024.

Hvad er NIS2?

Formålet med NIS2 er at styrke Europas modstandskraft over for cyberangreb ved at etablere en ensartet og høj standard for it-sikkerhed i kritiske sektorer. Direktivet udvider derfor rækkevidden til at omfatte flere brancher og tjenesteydelser end før, indfører klarere regler for risikostyring og hændelsesrapportering, samt sikrer bedre koordination og informationsdeling mellem landene. Hvert medlemsland skal vedtage en national cybersikkerhedsstrategi og oprette effektive tilsyns- og håndhævelsesmekanismer. Samtidig skal landene samarbejde gennem bl.a. et netværk af nationale Computer Security Incident Response Teams (CSIRTs) og et fælles EU-kriseberedskab (kaldet EU-CyCLONe) for at håndtere større cyberhændelser på tværs af grænser. Kort sagt skal NIS2 både løfte sikkerhedsniveauet hos den enkelte virksomhed/offentlige myndighed og forbedre det tværnationale samarbejde om cybersikkerhed.

Hvem er omfattet af NIS2?

NIS2-direktivet gælder for en lang række kritiske sektorer i samfundet, i alt 18 sektorer på tværs af EU. Sammenlignet med det oprindelige NIS-direktiv er omfanget væsentligt udvidet. Følgende sektorer og brancher er udpeget som omfattet af NIS2:

  • Energi – herunder el-forsyning, olie/gas, fjernvarme m.v.
  • Transport – luftfart, jernbane, vejtransport, skibsfart, logistik mv.
  • Sundhedssektoren – hospitaler, sundhedstjenester, medicinsk udstyr, lægemidler.
  • Finanssektoren – banker, markedsinfrastrukturer, forsikring, finansiel infrastruktur.
  • Drikkevands- og forsyningssektoren – vandforsyning og distribution.
  • Digital infrastruktur – internetknudepunkter, datacentre, cloud-tjenester, DNS, m.v.
  • Offentlige elektroniske kommunikationstjenester – teleselskaber, internetudbydere og lignende telekommunikation.
  • Digitale tjenester og platforme – f.eks. online markedspladser, sociale medier og søgemaskiner.
  • Affalds- og spildevandshåndtering – håndtering af affald samt kloak- og spildevandssystemer.
  • Fremstilling af kritiske produkter – fx producenter inden for fødevarer, kemikalier og elektronik, der anses som kritiske for samfundet.
  • Post- og kurertjenester – virksomheder der håndterer post, pakkelevering og logistik.
  • Offentlig forvaltning – statslige (centrale) og regionale forvaltningsenheder, dvs. myndigheder og offentlige institutioner på nationalt og regionalt niveau.
  • Rumfartssektoren – virksomheder og organer inden for rumteknologi og satellittjenester.

(Ovenstående er baseret på Europa-Kommissionens beskrivelse af NIS2-sektorernes omfang).

EU
NIS2

Det er vigtigt at bemærke, at NIS2 ikke nødvendigvis omfatter alle virksomheder eller organisationer i disse sektorer, men primært mellemstore og store enheder. Direktivet fastsætter som hovedregel, at medium-sized og large virksomheder i de nævnte sektorer er omfattet. Konkret betyder det som udgangspunkt virksomheder med flere end 50 ansatte og en årlig omsætning over €10 mio. (ca. 75 mio. kr.) – disse betragtes som mellemstore eller store i EU-termer. Mindre virksomheder (SMV’er) er som udgangspunkt undtaget, medmindre de udfører en kritisk funktion som gør dem uundværlige.

NIS2 åbner nemlig mulighed for, at også mindre enheder kan omfattes, hvis de fx er eneste leverandør af en vital tjeneste i landet, eller hvis en afbrydelse af deres service vil have samfundsmæssigt betydelige konsekvenser. Underleverandører bør derfor undersøge om dette ikke er indehold i loven. Med andre ord kan en lille specialiseret aktør godt blive underlagt NIS2-krav, hvis den er kritisk for fx energiforsyningen eller anden infrastruktur.

Alle vigtige private virksomheder er omfattet f.eks. datacentre

Private såvel som offentlige organisationer er omfattet, så længe de opererer inden for de kritiske sektorer og opfylder størrelseskriterierne. Det gælder altså både virksomheder og offentlige myndigheder/institutioner. Direktivet eksplicit nævner “offentlige forvaltningsenheder på centralt og regionalt niveau”, hvilket i en dansk kontekst omfatter statslige styrelser og ministerier samt regionerne. Også mange kommuner vil blive omfattet af NIS2-krav. Ifølge de nyeste udmeldinger vil kommuner, der leverer kritiske ydelser (såsom sundhedsydelser eller telekommunikation), eller som har over 50 ansatte, være inden for direktivets anvendelsesområde. Det vil sige at stort set alle mellemstore og større kommuner – og særligt dem med ansvar for fx sundhedsområdet – skal efterleve NIS2. Endvidere er andre offentlige enheder som universiteter også udpeget til at være omfattet. I praksis dækker NIS2 altså meget bredt: fra store private firmaer til statslige organer, regionale og kommunale myndigheder, ja endda visse foreninger eller selvejende institutioner, hvis de leverer en kritisk samfundstjeneste, vil kunne være omfattet af reglerne.

Det overordnede kriterium er, om en enhed udfører en “væsentlig samfundsaktivitet” inden for en af de udpegede sektorer. NIS2 opdeler de omfattede enheder i to kategorier: “væsentlige enheder” (essential entities) og “vigtige enheder” (important entities). Opdelingen beror primært på sektorens kritikalitet og virksomhedens størrelse. Væsentlige enheder omfatter typisk de aller vigtigste aktører (f.eks. hovedparten af energi-, transport-, finans-, sundhedsselskaber m.v.), mens vigtige enheder kan være lidt mindre kritiske aktører inden for samme sektorer. Forskellen mellem de to kategorier afspejles især i, hvordan tilsyn føres, og hvor hårde sanktioner der kan idømmes (som vi ser nærmere på senere). Men fælles for begge kategorier er, at de skal overholde NIS2’s sikkerhedskrav.

Hvilke krav stiller NIS2 til it-sikkerheden?

NIS2-direktivet opstiller en række minimumskrav til cybersikkerhed, som alle omfattede enheder skal efterleve. Disse krav skal sikre, at virksomheder og myndigheder proaktivt beskytter deres netværk og informationssystemer samt håndterer eventuelle sikkerhedshændelser effektivt. Overordnet kan NIS2-kravene inddeles i følgende hovedområder:

  • Risikostyring og forebyggelse: Alle omfattede organisationer skal indføre passende foranstaltninger til at identificere og håndtere cybersikkerhedsrisici. Det indebærer bl.a. at gennemføre regelmæssige risikovurderinger af it-systemer og data, samt at have en formel it-sikkerhedspolitik og procedurer for at imødegå trusler. NIS2 definerer 10 basale sikkerhedselementer, som enhederne som minimum skal adressere i deres risikostyring. Disse omfatter f.eks. adgangskontrol (brug af stærke adgangskoder og flerfaktorgodkendelse), regelmæssige softwareopdateringer og patch management, backup af data, sikring af netværk (f.eks. firewall/IDS), kryptering af følsomme informationer, hændelsesdetektering, katastrofeberedskab, mv. Leverandørkædesikkerhed er også et nyt fokusområde – organisationer skal sikre sig, at eksterne leverandører og partnere lever op til passende sikkerhedspraksis, da kæden ikke er stærkere end det svageste led.
  • Hændelseshåndtering og beredskab: NIS2 kræver, at man har etableret klare procedurer til at detektere, rapportere og reagere på sikkerhedshændelser (cyberangreb, databrud m.m.). Det indebærer bl.a. at udpege en ansvarlig funktion (f.eks. en incident response team eller en CISO) og have beredskabsplaner for cyberangreb. Hændelsesrapportering til myndighederne er et centralt krav: Hvis en virksomhed oplever en betydelig it-sikkerhedshændelse, skal den underrette de relevante nationale myndigheder inden for en kort frist. Direktivet opererer med en flerstegs-rapportering – ofte nævnes en indledende underretning inden for 24 timer efter at hændelsen er opdaget, en mere detaljeret rapport inden for 72 timer, og en endelig rapport om afhjælpende tiltag senest en måned efter hændelsen. Disse præcise tidsfrister kan variere lidt i national lovgivning, men idéen er hurtig indrapportering, så myndigheder kan koordinere og advare andre. Manglende eller forsinket rapportering af alvorlige hændelser anses som en overtrædelse af NIS2 på linje med mangelfuld forebyggelse.
  • Politikker, procedurer og organisatorisk forankring: Enhederne skal have formelle styringsprocesser for it-sikkerhed. Det betyder, at ledelsen skal godkende og regelmæssigt revidere sikkerhedspolitikker. Ansvarsfordeling skal være på plads – hvem i organisationen tager sig af risikovurderinger, tekniske sikkerhedsforanstaltninger, træning af medarbejdere osv. NIS2 lægger vægt på, at der skabes en egentlig sikkerhedskultur i organisationen. Medarbejdere på alle niveauer bør løbende uddannes i cybersikkerhed (awareness-træning), og man skal have interne procedurer for håndtering af trusler (f.eks. guidelines for phishing-mails, brug af USB-enheder, hjemmearbejde-sikkerhed mm.).
  • Ledelsesansvar og forankring i bestyrelsen: En nyskabelse i NIS2 er det eksplicitte ledelsesansvar (management accountability). Topledelsen (direktion og bestyrelse) i en virksomhed eller offentlig enhed har pligt til at involvere sig i cybersikkerheden. Ledelsen skal godkende de overordnede sikkerhedsforanstaltninger og sikre, at virksomheden efterlever NIS2-kravene. I nogle tilfælde indebærer det også krav om, at ledelsen skal modtage uddannelse eller orientering om cybersikkerhed, så de har det nødvendige kendskab til området. Denne forankring på øverste niveau skal sikre, at it-sikkerhed ikke længere betragtes som et rent teknisk anliggende, men som et strategisk ledelsesansvar på linje med fx økonomistyring eller jura.
  • Dokumentation og registrering: Under NIS2 skal omfattede enheder registrere sig hos myndighederne. Fx i Danmark oprettes en central registreringsordning, hvor virksomheder i sektorer omfattet af NIS2 skal tilmelde sig som værende underlagt loven. Dette hjælper myndighederne med at få overblik over alle enheder, de skal føre tilsyn med. Dertil kommer krav om at dokumentere sine risikovurderinger, sikkerhedspolitikker, hændelser mv., da man skal kunne fremvise dokumentation ved et eventuelt tilsyn eller audit.

Sammenfattende betyder NIS2, at store dele af erhvervslivet og den offentlige sektor nu skal arbejde systematisk med it-sikkerhed. Man skal forebygge cyberangreb gennem risikostyring og tekniske/organisatoriske tiltag, opdage og reagere hurtigt på angreb, samt underrette myndigheder og samarbejde om at begrænse skaderne. Kravene læner sig op ad kendte standarder som f.eks. ISO 27001 for informationssikkerhed og ISO 22301 for beredskabsplanlægning, og mange organisationer vælger da også at arbejde hen imod sådanne certificeringer for at opfylde NIS2.

enisa-logo

Ledelsesansvar og strafansvar under NIS2

Et af de mest omtalte aspekter ved NIS2 er indførelsen af personligt ansvar for topledelsen ifm. cybersikkerhed. Hvor det gamle NIS-direktiv ikke specificerede noget om ledelsens ansvar, så fastslår NIS2, at den øverste ledelse aktivt skal indgå i arbejdet med at overholde sikkerhedskravene – og at de kan holdes ansvarlige, hvis virksomheden groft forsømmer sine forpligtelser. Dette kan beskrives som en form for “strafansvar for it-sikkerheden” i organisationen.

Hvad indebærer det konkret? Først og fremmest betyder det, at lovgivningen i medlemslandene nu kan rette sanktioner direkte mod individer i ledelsen (fx direktører, bestyrelsesmedlemmer) for manglende efterlevelse. Det er op til det enkelte EU-land præcist hvordan dette udmøntes i lov. I Danmark forventes ledelsesansvaret primært at være forankret som et administrativt ansvar, dvs. at tilsynsmyndigheder kan udstede påbud mod ledelsen eller i sidste ende politianmelde grove forsømmelser. Andre lande har valgt mere håndfaste mekanismer: f.eks. indeholder Italiens implementering af NIS2 en bestemmelse om, at tilsynsmyndigheden kan suspendere enkeltpersoner i ledelsen fra at varetage ledelsesfunktioner, indtil virksomheden retter op på sikkerhedsbristerne. Med andre ord kan en direktør midlertidigt fjernes fra sin post, hvis virksomheden under hans/hendes ansvar ikke lever op til NIS2-krav og ignorerer påbud om forbedringer.

Også i Danmark åbner NIS2-draftet mulighed for personlige sanktioner som sidste udvej. Ifølge Folketingets udvalgsarbejde vil en ledende person kun blive ramt af sanktioner, hvis alle andre tiltag er mislykkedes – men muligheden er der i Danmark også:

“NIS2 åbner op for, at ledelsen kan blive suspenderet og få straf, hvis kravene ikke bliver overholdt. Det understreges, at dette kun bruges som sidste udvej, og at en suspendering ophæves, når virksomheden har gjort de nødvendige tiltag”

Citatet stammer direkte fra den danske vejledning med titlen “Vejledning til NIS 2‑loven: Ledelsens rolle og opgaver”, udgivet af Styrelsen for Samfundssikkerhed (SAMSIK) i maj 2025 – og henviser til NIS 2‑lovens § 23, stk. 1–4, hvor denne form for sanktion (midlertidig suspendering af ledelsesansvarlige) er beskrevet og skal anvendes kun som sidste udvej, indtil mangler er afhjulpet.

Her er det præcist formuleret, hvad NIS 2‑lovens § 23, stk. 1–4 siger – ordret fra vejledningen og lovteksten, uden omskrivning:

“Har en eller flere af de håndhævelsesforanstaltninger, der er pålagt i medfør af § 22, nr. 1–4, vist sig at være utilstrækkelige, kan den kompetente myndighed fastsætte en frist, inden for hvilken den væsentlige enhed skal foretage de nødvendige tiltag … Er tiltagene ikke foretaget inden for den fastsatte frist, kan den kompetente myndighed træffe afgørelse om følgende, jf. dog stk. 4:

  1. Midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, som enheden leverer, eller aktiviteter, der udføres af enheden.
  2. Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos enheden at udøve ledelsesfunktioner i den pågældende enhed.
    Stk. 2 Suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil enheden træffer de nødvendige tiltag …
    Stk. 3 En afgørelse efter stk. 1 kan ikke indbringes for anden administrativ myndighed, men kan … forlanges indbragt for domstolene.
    Stk. 4 Bestemmelserne i stk. 1–3 finder ikke anvendelse på offentlige forvaltningsenheder.”

Disse bestemmelser fremgår direkte af loven og er gentaget og uddybet i styrelsen for Samfundssikkerheds vejledning til NIS 2-loven: Ledelsens rolle og opgaver (maj 2025).

Dette personlige ledelsesansvar skal dels sikre, at direktører og bestyrelser prioriterer it-sikkerhed højt, og dels fungere som en advarsel til dem: Hvis de negligerer området, risikerer de ikke blot deres virksomhed bøder, men også deres egen stilling og karriere. Det er en væsentlig kulturændring. Hvor GDPR (EU’s databeskyttelsesforordning) allerede indførte store bøder for virksomheder ved brud på persondatasikkerhed, går NIS2 skridtet videre ved at sige: “Vi kan gå efter direktøren personligt, hvis I ikke tager cybersikkerhed alvorligt.”

I praksis vil det typisk ske sådan, at først modtager virksomheden påbud om at rette op på mangler. Hvis ledelsen ignorerer disse og gentagne gange undlader at adressere kritiske sikkerhedsproblemer, kan tilsynsmyndigheden indlede sanktioner mod ledelsen. Sanktionerne kan være ikke-økonomiske – f.eks. en midlertidig diskvalifikation fra at varetage ledelsesroller i Erhvervsstyrelsen (som set i Italien) – ud over de økonomiske bøder til virksomheden. Det handler altså om at gøre det klart, at ansvaret for compliance ligger hos topledelsen og ikke kan fraskrives eller skubbes nedad i organisationen. Som DLA Piper formulerer det, har NIS2 sendt “et kraftigt advarselssignal” om direktørernes personlige ansvar for cybersikkerhed.

Bøder og andre konsekvenser ved manglende efterlevelse

For at sikre efterlevelse af reglerne indeholder NIS2 også et skærpet sanktionsregime. Bøderne for overtrædelser af NIS2 kan blive meget betydelige – i samme størrelsesorden som GDPR-bøder, og i nogle tilfælde endnu højere for bestemte forseelser. Direktivet fastlægger nogle minimumsrammer for sanktioner, som medlemslandene som minimum skal kunne idømme:

  • For væsentlige enheder (essential entities) kræver NIS2, at der kan udmåles bøder på op til €10.000.000 (ca. 75 mio. kr.), eller 2% af virksomhedens samlede globale omsætning for det foregående regnskabsår, alt efter hvad der er højest. Dette er et loft for bødeniveauet, men det angives som et minimumskrav til medlemslandenes lovgivning – dvs. national lov kan godt åbne for højere bøder, men ikke lavere maksimumbeløb. Niveauet (€10 mio./2%) svarer til den “lavere” kategori af GDPR-bøder (som for mindre alvorlige brud på persondatareglerne). Det illustrerer, at man fra EU’s side ønsker sammenligneligt afskrækkende bøder på cyberområdet.
  • For vigtige enheder (important entities) er bødeniveauet lidt lavere: op til €7.000.000 (ca. 52 mio. kr.) eller 1,4% af den samlede globale omsætning, alt efter hvad der er højest. Igen er dette mindstekravet til de nationale rammer. Ideen er, at fordi “vigtige” enheder typisk er en tand mindre kritiske end “væsentlige” enheder, skal maksimumbøden også være en tand lavere (analogt til forskellen mellem de to GDPR-bødekategorier på hhv. 4% og 2% af omsætningen).

Det er vigtigt at bemærke, at ovenstående beløb er maksimale rammer. Den faktiske bøde for en given overtrædelse vil afhænge af en vurdering af forholdene: Hvor grov var forsømmelsen? Har der været gentagne brud? Hvilken skade eller risiko medførte det? mv. Loven lægger op til, at bøder skal være “effektive, proportionelle og have afskrækkende virkning”. Myndigheden vil typisk gradere sanktionen efter alvoren – mindre overtrædelser kan måske nøjes med en påtale eller ordre om forbedring, mens grove eller gentagne overtrædelser kan udløse millionbøder.

Udover økonomiske bøder giver NIS2 også mulighed for andre sanktioner. Tilsynsmyndighederne kan f.eks. udstede pålæg eller compliance-ordrer – dvs. et formelt påbud om at bringe forholdene i orden inden for en vis frist. I ekstreme tilfælde kan en myndighed (eller domstol) også pålægge en virksomhed midlertidigt at indstille en aktivitet eller service, hvis der er akut fare for sikkerheden. Som nævnt kan man også rette sanktioner mod ledelsen personligt, f.eks. i form af suspendering eller i teorien bøder til enkeltpersoner, afhængigt af national lov.

Hvis en virksomhed overtræder NIS2-kravene og et sikkerhedsbrud finder sted som følge heraf, kan konsekvenserne blive dobbelte: Dels risikerer virksomheden sanktionerne fra myndighederne, dels kan det medføre omdømmemæssige og forretningsmæssige tab. En offentlig kendt bøde for dårlig cybersikkerhed kan skade kunders tillid. I kritiske sektorer (fx finans eller sundhed) kan myndighederne også vælge at offentliggøre navnet på virksomheder, der får påbud eller bøder, hvilket lægger ekstra pres på dem for at rette ind.

Det er værd at fremhæve, at i begyndelsen af NIS2-æraen vil der formentlig være fokus på vejledning frem for straf. Myndigheder og brancheorganisationer har opfordret til, at der gives en indkøringsperiode, hvor man hjælper virksomhederne med at blive compliant i stedet for straks at straffe dem. Fx har Dansk Industri argumenteret for en overgangsperiode, hvor virksomheder ikke pålægges bøder med det samme, men i stedet får mulighed for at tilpasse sig de nye regler. Om myndighederne vil udvise en sådan fleksibilitet afhænger af de konkrete nationale retningslinjer. Men i det lange løb er signalet klart: Overtrædelser vil kunne straffes hårdt, så det kan ikke betale sig at vente med at løfte sit it-sikkerhedsniveau. Virksomheder og offentlige enheder bør allerede nu have NIS2-compliance højt på dagsordenen for at undgå de værste konsekvenser.

kryptering-nis2-2

Hvornår skal NIS2-reglerne efterleves?

Tidsplanen for NIS2’s ikrafttræden ser således ud: Direktivet trådte i kraft på EU-niveau i januar 2023, men eftersom der er tale om et direktiv, skulle det først implementeres i national lov i hvert medlemsland. Fristen for denne implementering var 17. oktober 2024, og fra 18. oktober 2024 bortfaldt NIS1-direktivet officielt. I princippet skulle virksomheder og enheder omfattet af NIS2 derfor begynde at overholde de nye regler fra oktober 2024, medmindre deres hjemland ikke nåede at vedtage loven til tiden.

Flere lande har oplevet forsinkelser i den nationale implementering – herunder Danmark, men nu fanger bordet

Den danske NIS2-lov (formelt: “Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau”) blev vedtaget i Folketinget i foråret 2025 og trådte i kraft 1. juli 2025. Det betyder, at fra denne dato gælder de nye krav juridisk i Danmark. Digitaliseringsstyrelsen meldte fx ud: “Fra i dag gælder den nye NIS2-lov i Danmark” – en milepæl for dansk cybersikkerhed. Derfor skal danske virksomheder og myndigheder pr. juli 2025 leve op til de skærpede krav om risikostyring, hændelseshåndtering, leverandørsikkerhed m.v., som loven medfører.

Andre EU-lande har hver deres tidsplan tæt på EU-deadlinen. Nogle få lande nåede implementeringen allerede i løbet af sommeren 2024, mens andre først fik det endeligt på plads omkring årsskiftet 2024/25. Som eksempel blev NIS2-lovgivningen i Tyskland og Frankrig klar hen imod slutningen af 2024, mens Danmark som nævnt først fik den i midten af 2025. Virksomheder, der opererer på tværs af flere EU-lande, skal derfor være opmærksomme på potentielle forskellige skæringsdatoer – men generelt er anden halvdel af 2024 og frem det tidspunkt, hvor NIS2 begynder at gælde overalt.

Loven skal overholdes fra dag 1, ( 01/07/2025 ) da du har haft tid til at forberede dig

Det er ikke nok blot at vente til loven er trådt i kraft; de omfattede organisationer forventes at have forberedt sig i god tid. Myndighederne har opfordret til at gå i gang tidligt med at vurdere sin risiko og implementere de nødvendige sikkerhedstiltag, således at man faktisk er compliant fra dag ét.

Faktisk vil organisationer blive holdt ansvarlige for at overholde de nye sikkerhedstiltag fra juli 2025 i Danmark (og fra tilsvarende datoer i andre lande). Der er ikke tale om, at man først dengang skal til at begynde arbejdet – det arbejde skal være gjort forud, således at man pr. ikrafttrædelsen lever op til kravene. For mange store virksomheder, der måske allerede er underlagt sektorspecifikke it-sikkerhedsregler, vil NIS2 ikke være et chok men snarere en justering/opgradering af eksisterende praksisser.

Sammenfattende: NIS2-reglerne skal overholdes fra det tidspunkt, de træder i kraft i ens land. For danske forhold er dette 1. juli 2025, mens det i andre EU-lande kan være omkring slutningen af 2024 eller kort ind i 2025. Virksomheder bør dog ikke stirre sig blinde på datoen – arbejdet med compliance bør starte så tidligt som muligt for at undgå problemer. Faktisk blev implementeringsfristen udsat i Danmark netop fordi mange påpegede, at erhvervslivet havde brug for mere tid til at omstille sig. Udsættelsen gav nogle ekstra måneder, men nu hvor loven er trådt i kraft, forventes det, at alle relevante aktører sætter turbo på deres cybersikkerhedsinitiativer.

Topledelsens ansvar (Direktion og Bestyrelse)

NIS2-direktivet repræsenterer en væsentlig opgradering af EU’s indsats for cybersikkerhed. Det omfatter langt flere sektorer og organisationer end før, det stiller mere detaljerede krav til tekniske og organisatoriske sikkerhedsforanstaltninger, og det giver myndighederne tungere værktøjer til at håndhæve reglerne. Hvor cybersikkerhed tidligere kunne opfattes som et anliggende for IT-afdelingen alene, gør NIS2 det klart, at ansvaret ligger hos topledelsen og at svigt kan få alvorlige konsekvenser – både økonomisk og personligt. Vi har set, at sektorer som energi, transport, sundhed, finans, vand, digital infrastruktur, telekommunikation, sociale medier, produktion, offentlig administration m.fl. alle er inde under den nye lovgivning. Store virksomheder inden for disse brancher samt centrale offentlige institutioner skal arbejde aktivt på at forebygge, opdage og indberette cyberangreb – og de bliver underlagt løbende tilsyn fra myndighederne.

For de berørte organisationer gælder det nu om at sikre sig, at man lever op til mindstekravene i NIS2: Have styr på sin risikoanalyse, sine sikkerhedspolitikker, sine tekniske beskyttelsesforanstaltninger og sine beredskabsplaner. Man skal have etableret klare procedurer for at rapportere sikkerhedshændelser rettidigt. Og ikke mindst skal man kunne fremvise over for tilsynsmyndigheden, at ledelsen er involveret og har taget ansvaret på sig. Cybersikkerhed er med NIS2 blevet et ledelsesanliggende, og ignorance eller ligegyldighed fra toppen kan ikke længere undskyldes.

Konsekvenserne ved ikke at leve op til reglerne er til at tage og føle på: Millionbøder, påbud, øget kontrol og i sidste instans ledelsessanktioner. Omvendt vil en proaktiv indsats kunne styrke organisationens modstandskraft mod angreb og samtidig sikre, at man undgår regulatoriske problemer. NIS2 er således ikke kun en compliance-byrde, men også en anledning til at løfte sin egen sikkerhed til gavn for forretningen og samfundet. Som helhed forventes NIS2 at hæve standarden for cybersikkerhed i hele EU og dermed gøre vores kritiske infrastruktur mere robust over for de stadigt voksende cybertrusler. Virksomheder og offentlige enheder, der er omfattet, bør tage rejsen alvorligt – for sikkerhedens skyld, for forretningens skyld, og for at undgå lovens lange arm.

Her er en tabel over de væsentligste EU-kontorer og danske myndigheder, der har ansvar for cybersikkerhed og implementering af NIS2:

Myndighed eller enhedLand/OmrådeAnsvarsområde for cybersikkerhed og NIS2
ENISA (European Union Agency for Cybersecurity)EUKoordination af cybersikkerhed i EU, støtte til medlemsstater, rådgivning om NIS2
Europol – EC3 (European Cybercrime Centre)EUEfterforskning og analyse af cyberkriminalitet, støtte til politiindsats
CERT-EU (Computer Emergency Response Team for EU Institutions)EUSikkerhedstjeneste for EU-institutioners netværk
Europa-Kommissionens GD for Kommunikationsnetværk, Indhold og Teknologi (DG CNECT)EUUdformning og opfølgning af lovgivning som NIS2, koordinering mellem medlemsstater
EU-CyCLONe (European Cyber Crises Liaison Organisation Network)EUHåndtering og koordinering af større cybersikkerhedshændelser på tværs af lande
JustitsministerietDanmarkFormelt ressortministerium for NIS2-loven i Danmark
DigitaliseringsstyrelsenDanmarkTilsyn med NIS2 i Danmark, udsteder vejledninger og håndhæver loven
Center for Cybersikkerhed (CFCS)DanmarkNationalt cybersikkerhedscenter under Forsvarets Efterretningstjeneste; operativ trusselsvurdering og varsling
ErhvervsstyrelsenDanmarkHjælper med registrering og klassificering af virksomheder efter NIS2
FinanstilsynetDanmarkSektorspecifikt tilsyn med finansielle virksomheder underlagt NIS2
Styrelsen for Patientsikkerhed / SundhedsdatastyrelsenDanmarkSektortilsyn for sundhedsområdet ift. cybersikkerhed
EnergistyrelsenDanmarkSektorspecifikt tilsyn med energivirksomheder ift. cybersikkerhed

Her er den opdaterede version af tabellen med lovgrundlag nævnt med titel og dokumentnummer, men uden links, som ønsket:

Myndighed eller enhedLand/OmrådeAnsvarsområde for cybersikkerhed og NIS2Lovgrundlag (navn og dokumentnummer)
ENISA (European Union Agency for Cybersecurity)EUKoordination af cybersikkerhed i EU, rådgivning, støtte til medlemsstaterForordning (EU) 2019/881 om ENISA og cybersikkerhedscertificering (Cybersecurity Act)
Europol – EC3 (European Cybercrime Centre)EUEfterforskning og analyse af cyberkriminalitet, samarbejde med nationale myndighederRådets afgørelse 2009/371/JHA om oprettelse af Europol
CERT-EU (Computer Emergency Response Team for EU Institutions)EUTeknisk sikkerhedstjeneste for EU-institutionerInterinstitutionel aftale 2011 (oprettelse via administrative retningslinjer)
Europa-Kommissionens GD CNECT (Kommunikationsnetværk, Indhold og Teknologi)EUUdarbejder cybersikkerhedslovgivning, fører tilsyn med NIS2-implementeringDirektiv (EU) 2022/2555 om foranstaltninger for et højt fælles cybersikkerhedsniveau
EU-CyCLONe (European Cyber Crises Liaison Organisation Network)EUStrategisk netværk for krisehåndtering ved store cyberhændelserArtikler 16-18 i Direktiv (EU) 2022/2555 (NIS2-direktivet)
JustitsministerietDanmarkOverordnet ansvar for dansk implementering af NIS2Lov nr. 438 af 14. maj 2025 om cybersikkerhed (NIS2-loven)
DigitaliseringsstyrelsenDanmarkTilsyn og vejledning om NIS2, udsteder regler og sikrer registreringLov nr. 438 af 14. maj 2025, § 3-5 og § 16
Center for Cybersikkerhed (CFCS)DanmarkOvervågning, trusselsvurdering og teknisk vejledning; operativt ansvarLov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed
ErhvervsstyrelsenDanmarkRegistrering og klassificering af omfattede virksomhederLov nr. 438 af 14. maj 2025, § 6-7
FinanstilsynetDanmarkSektortilsyn for finansielle aktører omfattet af NIS2Lov om finansiel virksomhed, jf. § 344 og henvisning til NIS2-loven § 18
Styrelsen for Patientsikkerhed / SundhedsdatastyrelsenDanmarkSektortilsyn med sundhedsinfrastruktur og datasikkerhedSundhedsloven (LBK nr. 210 af 27/01/2022), jf. NIS2-loven § 18
EnergistyrelsenDanmarkTilsyn og vejledning i energisektoren ift. cybersikkerhedElforsyningsloven (LBK nr. 1294 af 08/09/2023), jf. NIS2-loven § 18

Har du behov for, at få styr på loven i dine områder, så ring da +45 77777770 fra 9-16 på hverdage, fredag til 14:00. Vi kan f.eks. lave et comliancecheck, hvis du er usikker på, at du overholder loven. Dette udføres af vores IT-Revisorer og kan skrives som en IT Revisorerklæring.

Kilde: ICARE SECURITY A/S, AORS MED RETSLIGE KILDER/LOVE.
Fotokredit: ICARE SECURITY A/S, adobe.com
Personer/Firmaer/Emner/#: #ITREVISOR, #NIS2REVISOR, #ICARE, #NIS2, #EUdirektiv, #Cybersikkerhed, #Cyberangreb, #Digitalisering, #PersonligtAnsvar, #Ledelsesansvar, #Strafansvar, #Energi, #Transport, #Sundhedspleje, #Finans, #Vandforsyning, #DigitalInfrastruktur, #SocialeMedier, #Affaldshåndtering, #Fødevarer, #Elektronik, #Posttjenester, #OffentligForvaltning, #Rumsektoren, #EuropaKommissionen, #Cybersikkerhedslov, #ITCompliance
Copyrights: Ⓒ 2025 Copyright by AORS.DK – kan deles ved aktivt link til denne artikel.

ADVOKAT & REVISOR NYHEDER: