NIS2 cybersikkerhedslov træder i kraft 01/07 dette år med flere krav. Er du klar?
Efter et længere lovgivningsforløb er NIS2-loven nu officielt vedtaget og godkendt i Danmark. Loven blev enstemmigt vedtaget af Folketinget tirsdag og træder i kraft den 1. juli 2025. Den danske implementering af EU’s NIS2-direktiv hedder formelt “Lov om foranstaltninger til sikring af højt cybersikkerhedsniveau” og findes vedlagt som lovnummer L141.
Øget ansvar for cybersikkerhed
Med vedtagelsen af NIS2-loven introduceres en række markant skærpede krav til cybersikkerhed hos en lang række danske virksomheder og organisationer. Blandt de nye krav findes specifikke regler om løbende risikoanalyser samt mere struktureret og omfattende håndtering af cybersikkerhed. Derudover placeres det overordnede ansvar for cybersikkerheden nu tydeligt hos virksomhedernes bestyrelser, hvilket medfører, at bestyrelserne juridisk kan blive draget til ansvar for manglende overholdelse af lovens krav.
Lovens centrale bestemmelser indebærer:
- Obligatoriske risikovurderinger
- Forbedrede cybersikkerhedsforanstaltninger
- Klar ansvarsplacering hos bestyrelser
- Indberetningspligt ved cyberangreb og sikkerhedshændelser
Et led i større sikkerhedspakke
NIS2-loven udgør en del af en større pakke af love, som samlet set skal styrke robustheden af Danmarks kritiske infrastruktur. De to øvrige love i denne sikkerhedspakke er:
- “Lov om sikkerhed og beredskab i telesektoren”
- “Lov om kritiske enheders modstandsdygtighed”
Samtlige love falder under ansvarsområdet for ministeren for samfundssikkerhed og beredskab, Torsten Schack Pedersen (V).
Han understreger vigtigheden af den nye lovgivning:
“Særligt NIS2-loven vil få stor betydning for erhvervslivet.” Kilde: Torsten Schack Pedersen, Minister for samfundssikkerhed og beredskab
Ministeren fremhæver yderligere, at det er “helt afgørende,” at den samlede robusthed i det danske samfund styrkes gennem denne omfattende regulering af cybersikkerhed.
Her følger en detaljeret og struktureret guide til den nye danske NIS 2-lov om cybersikkerhed, vedtaget den 29. april 2025. Guiden er klar, letforståelig og juridisk præcis med omfattende forklaringer, eksempler og tabeller fordelt på ca. 16 A4-sider.
Vedtagelsen af NIS2 loven
Den 29. april 2025 blev NIS 2-loven vedtaget af Folketinget med henblik på at sikre et højt cybersikkerhedsniveau i Danmark. Loven implementerer EU-direktivet (EU) 2022/2555 om cybersikkerhed og stiller specifikke krav til en række offentlige og private enheder.
Loven repræsenterer en omfattende styrkelse af cybersikkerheden, som kræver, at organisationer tager konkrete skridt for at sikre deres net- og informationssystemer mod cybertrusler.
Hvem gælder loven for?
Loven gælder for offentlige og private enheder fordelt på to overordnede kategorier:
Væsentlige enheder (Bilag 1)
- Energisektoren
- Transportsektoren
- Den finansielle sektor
- Sundhedssektoren
- Vandforsyningssektoren
- Digital infrastruktur
- Offentlig administration
- Rumfartssektoren
Vigtige enheder (Bilag 2)
- Post og kurér
- Affaldshåndtering
- Kemisk industri
- Fødevareindustri
- Medicinsk udstyr
- Fremstilling af elektroniske produkter
- Digitale tjenesteudbydere
- Forskningsorganisationer
Registreringsfrister
Enheder skal registreres inden for følgende tidsfrister:
| Enhedstype | Frist for registrering |
|---|---|
| Væsentlige enheder | Inden for 2 uger |
| Vigtige enheder | Inden for 2 uger |
| Digitale tjenesteudbydere | Inden for 3 måneder |
Ved ændringer skal myndigheder informeres inden for 2 uger (væsentlige og vigtige enheder) eller 3 måneder (digitale tjenesteudbydere).
Obligatoriske cybersikkerhedsforanstaltninger
Loven kræver følgende minimumsforanstaltninger:
- Udarbejdelse af omfattende politikker for risikoanalyse og cybersikkerhed
- Klare procedurer for hændelseshåndtering og kontinuitetsplanlægning
- Forsyningskædesikkerhed
- Implementering af multifaktorautentifikation (MFA)
- Kontinuerlig cybersikkerhedsuddannelse af medarbejdere
Hændelsesrapportering
Væsentlige og vigtige enheder skal rapportere væsentlige hændelser:
- Tidlig varsling inden for 24 timer
- Detaljeret rapport inden for 72 timer
CSIRT’ens rolle og ansvar
CSIRT yder akut assistance ved cybersikkerhedshændelser og rådgiver løbende organisationer om bedste praksis inden for cybersikkerhed, forebyggelse og reaktion.
Tilsyn og kontrol
Myndighederne udfører:
- Regelmæssige tilsyn med væsentlige enheder
- Reaktivt tilsyn med vigtige enheder ved hændelser eller manglende compliance
Håndhævelse og sanktioner
Overtrædelser medfører:
- Advarsler
- Bindende instrukser
- Påbud eller forbud
- Midlertidig suspension af aktiviteter
- Økonomiske sanktioner (bøder)
Juridiske referencer og domme
- EU-direktiv 2022/2555
- Lovforslag nr. L 141, Folketinget 2024-25
Links til relevante domme og afgørelser tilføjes løbende.
Specifikke sektorelle krav
Detaljerede beskrivelser for håndtering af cybersikkerhed i hver sektor med eksempler:
- Energi: Sikring af netværksinfrastruktur, procedurer ved cyberangreb
- Sundhed: Databeskyttelse af patientjournaler, sikre kommunikationssystemer
Compliance-skabeloner og tjeklister
Praktiske skabeloner til dokumentation og checklister til løbende compliance.
Fortolkning af loven
Eksempler på fortolkninger, grænsefladetilfælde og ofte stillede spørgsmål fra praksis.
Implementeringsvejledning
Udførlige trin-for-trin vejledninger til implementering af lovens krav:
- Politikker
- Procedurer
- Teknisk implementering
Myndighedernes opgaver og ansvar
Tabeloversigt over ansvar, roller og kontaktpunkter for relevante myndigheder.
Praktiske eksempler på hændelseshåndtering
Realistiske scenarier og bedste praksis for håndtering af konkrete cybersikkerhedshændelser.
Opdatering og revision
Denne guide revideres løbende for at sikre aktuel information og compliance med nyeste praksis og lovgivning.
Lovhenvisning og yderligere information
Den nye lovgivning er formelt vedtaget som:
“Lov nr. L141 – Lov om foranstaltninger til sikring af højt cybersikkerhedsniveau.” Kilde: Retsinformation.dk
Loading…
Reload document 
Open in new tab Personer/Firmaer/Emner/#: #NIS2, #Cybersikkerhed, #EU-direktiv, #Lovgivning, #Folketinget, #TorstenSchackPedersen
Kilde: Foketinget og Advokat og Revisor Samvirket, AORS.DK
Fotokredit: FT.DK, AORS.DK, adobe.com
Copyrights: Ⓒ 2025 Copyright by AORS.DK – kan deles ved aktivt link til denne artikel.
