NIS 2-loven

NIS 2-direktivet (EU 2022/2555) er vedtaget i Danmark og implementeret via 

"Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau". Denne lov trådte i kraft den 1. juli 2025 og stiller skærpede krav til IT-sikkerheden for en lang række virksomheder og organisationer. 

Her er de vigtigste referencer og punkter for NIS 2 i en dansk kontekst:

1. Lovgrundlag og Status

• Dansk navn: Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (ofte omtalt som NIS 2-loven).

• Ikrafttrædelse: 1. juli 2025.

• Baggrund: Direktivet (EU 2022/2555) har til formål at styrke cybersikkerheden i kritiske sektorer i hele EU. 

2. Hvem er omfattet?

NIS 2 omfatter "væsentlige" og "vigtige" enheder inden for en række sektorer. Det gælder generelt virksomheder med over 50 ansatte eller en årlig omsætning/balance på over 10 mio. EUR. 

• Sektorer: Energi, transport, sundhed, finans, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, fødevarer, fremstilling og digitale udbydere.

• Registrering: Virksomheder skal registreres via en løsning på Virk.dk. 

3. Centrale Krav

• Risikostyring: Virksomheder skal implementere tekniske og organisatoriske foranstaltninger (f.eks. adgangskontrol, hændelseshåndtering, kryptering).

• Ledelsesansvar: Ledelsen er direkte ansvarlig for cybersikkerheden og kan holdes strafferetligt ansvarlig.

• Indberetning: Væsentlige hændelser skal indberettes til den nationale CSIRT (Computer Security Incident Response Team), som i Danmark varetages af Forsvarets Efterretningstjeneste (FE). 

4. Værktøjer og myndigheder

• Digitaliseringsstyrelsen: Hovedansvarlig myndighed (kontakt: NIS2@digst.dk).

• Test-værktøj: Virksomheder kan tjekke deres status på nis2tjek.dk.

• Samsik.dk: Styrelsen for Samfundssikkerhed tilbyder vejledninger om NIS

nlaw.dk hjælper organisationer med at forstå og implementere de nye krav til cybersikkerhed, som NIS2 stiller. Typiske aktiviteter er:

• afklaring af om virksomheden er omfattet af NIS2

• kortlægning af kritiske systemer og risici

• etablering af cybersikkerheds-governance, beredskab og incident-rapportering

• udvikling af compliance-programmer og ledelsesansvar.

NIS2 har til formål at styrke cybersikkerheden i EU og stiller krav til organisationer om bl.a. risikostyring, sikkerhedsforanstaltninger og rapportering af cyberhændelser.