FØRSTE KVARTAL MED NIS2: TRE TILTAG SKABER DET BEDSTE FUNDAMENT

Efter tre måneder med NIS2 er billedet klart: De NIS2-enheder, der rykker, gør tre ting rigtigt - uddanner ledelsen, dokumenterer den eksisterende sikkerhed og professionaliserer leverandørstyringen. Begynd dér og byg resten ovenpå, det er budskabet fra ekspert i NIS2, partner og erhvervsjuridisk rådgiver, Emil Bisgaard.

To advokater og partnere hos Poul Schmith, Tom Holsø og Emil Bisgaard, kigger ud over Kalvebod Brygge 32

Efter tre måneder med NIS2 er billedet klart: De NIS2-enheder, der rykker, gør tre ting rigtigt - uddanner ledelsen, dokumenterer den eksisterende sikkerhed og professionaliserer leverandørstyringen. Begynd dér og byg resten ovenpå, det er budskabet fra ekspert i NIS2, partner og erhvervsjuridisk rådgiver, Emil Bisgaard.

DE FØRSTE ERFARINGER MED NIS2 - HER STÅR VIRKSOMHEDERNE LIGE NU

Mange befinder sig stadig i de tidlige stadier af NIS2-arbejdet. Flere ventede på den danske gennemførelseslov, som blev forsinket og først trådte i kraft i juli 2025. Da loven kom, viste den sig at ligge tæt op ad direktivet, og hos mange virksomheder blev den oplevet som lige så abstrakt og svær at tolke. Det fik flere til at udskyde arbejdet yderligere og vente på de officielle vejledninger, som først blev offentliggjort lige inden sommerferien. Resultatet er, at mange først har taget hul på arbejdet i sensommeren.

En central udfordring i det første kvartal har været, at mange virksomheder endnu ikke har afklaret, om de overhovedet er omfattet af NIS2. Fristen for selvregistrering var 1. oktober, og det har skabt stor usikkerhed. Myndighederne har heller ikke det fulde overblik og vil formentlig begynde at følge op ved at kontakte virksomheder, de forventer burde være registreret.

Men signalet er klart: Reglerne gælder allerede, og manglende handling kan føre til skarp kritik. At ignorere NIS2 er derfor ikke en mulighed, selvom den hårde bødeblok ikke er taget i brug endnu.

KENDETEGN VED DEM, DER LYKKES 

De virksomheder, der er kommet bedst i gang, deler typisk nogle tydelige fællestræk:

Tværfagligt samarbejde

Jurister og sikkerhedsfolk samarbejder om at fortolke kravene og omsætte dem til praksis. Når de to fagligheder mødes, bliver reglerne både forstået juridisk korrekt og omsat til konkrete sikkerhedstiltag, der kan implementeres i hverdagen. Erfaringen viser, at det netop er i spændingsfeltet mellem jura og teknik, at de bedste løsninger opstår. Virksomheder, der etablerer en klar struktur for dette samarbejde, undgår flaskehalse og skaber hurtigere fremdrift.

Ledelsesforankring

Projekter prioriteres på direktions- og bestyrelsesniveau med klare ressourcer og retning. Ledelsen tager aktivt ejerskab, følger fremdriften tæt og signalerer tydeligt til hele organisationen, at NIS2 er en strategisk prioritet på linje med andre forretningskritiske initiativer – ikke blot et isoleret IT-projekt. Den klare ledelsesopbakning gør det lettere for medarbejderne at prioritere opgaven, fordi arbejdet understøttes og honoreres. Dermed bliver NIS2-arbejdet en integreret del af virksomhedens strategi frem for et sideløbende projekt.

Kontraktdisciplin

Leverandører og forsyningssikkerhed tænkes tidligt ind i udbud og kontrakter. Mange virksomheder opdager, at afhængigheden af eksterne leverandører er større, end de troede, og at aftalerne ikke i tilstrækkelig grad dækker de nye krav. De virksomheder, der lykkes, arbejder systematisk med at kortlægge leverandørkæden, opstille krav til informationssikkerhed og indbygge klare processer for opfølgning i kontrakterne. Det kræver dialog, forhandling og ofte ændringer i eksisterende aftaler, men til gengæld reducerer det væsentlige risici.

Leverandørstyring fylder særligt meget lige nu, fordi leverandørerne udgør en central sårbarhed. Virksomheder derfor er nødt til at gentænke kontrakter og krav i langt højere grad end tidligere – for mange er det et helt nyt fokusområde.

TRE TILTAG, DER BØR PRIORITERES NU

Tre tiltag står særligt stærkt som de første skridt for virksomheder, der vil i gang.

Uddan ledelsen

Start med bestyrelse og direktion. Et kursus eller et e-learningforløb er en enkel, hurtig og tydelig måde at sikre, at ansvaret forstås og prioriteres rigtigt.

Dokumentér eksisterende sikkerhed og gennemfør risikovurderinger

Find ud af, hvad virksomheden allerede har: Politikker, processer og kontroller. Sørg for, at de er dokumenterede og kan fremlægges, når det kræves. 

Derudover skal virksomhedens IT-systemer og infrastruktur risikovurderes. Risikovurderingerne er grundlaget for virksomhedens vurdering af om sikkerheden passende.

Få styr på leverandørerne

Kortlæg de kritiske leverandører, og gennemgå kontrakter og aftaler. Opdater krav, og sikr at leverandørerne lever op til det ansvar, de faktisk har for driften og sikkerheden. Det fylder meget i virksomhederne, da det er en stor opgave og noget man i langt mindre grad har været vandt til tidligere.

Disse tre spor kan sagtens køre parallelt og giver et solidt fundament for resten af arbejdet. 

NIS2 ER KOMMET FOR AT BLIVE

Reglerne går ingen vegne – tværtimod. Det er sandsynligt, at kravene bliver både mere detaljerede og bredere i omfang i de kommende år. Det er ikke utænkeligt, at der i næste årti kommer et NIS3, måske som EU-forordning, hvilket vil gøre kravene endnu mere bindende. Budskabet er derfor klart: Jo hurtigere I kommer i gang, jo bedre.

Derfor handler det ikke om at vente på flere præciseringer. Det handler om at få etableret en varig governance for arbejdet med compliance, en rytme, hvor ledelse, dokumentation og leverandørstyring bliver en naturlig del af hverdagen.

Risikovurderingsværktøj til datasikkerhed i virksomheder

Få styr på cyber- og informationssikkerheden i din organisation. Med vores webbaserede værktøj vælger du selv detaljegraden – fra hurtig screening til dybdegående analyse. Få en skræddersyet rapport, der er klar til ledelsen og compliance-dokumentation.

Læs mere

Bliv klar til NIS2 med et effektiv kursusforløb for ledelsen

Få styr på de nye krav i NIS2-direktivet med et målrettet forløb for bestyrelse og topledelse. Kurset giver dig den nødvendige viden og konkrete værktøjer til at sikre din organisation mod cybertrusler og leve op til lovgivningen. Lær i dit eget tempo, og bliv klædt på til at træffe de rigtige beslutninger.

Vores NIS2-eksperter er eftertragtede som oplægsholdere og undervisere og får ros for deres evne til at gøre komplekse juridiske emner både klare og engagerende. Den samme formidlingsevne tager de med ind i de skræddersyede kursusforløb, vi tilbyder til bestyrelse og topledelse.

Eksempler på udtalelser om vores team

    - "Superaktuelt, operationelt og vigtigt for alle, der var til stede"

    - "God kommunikator, og ikke uden humor, hvilket er rart at høre fra en jurist"

    - "Et rigtig godt indlæg. Emil Bisgaard ved utrolig meget om NIS2 og formår at få formidlet det - ofte lidt "tøre" indhold - til os på en inspirerende måde. En fornøjelse!"

    - "Meget inspirerende taler og havde rigtig godt fat i publikum med dialog"

Læs mere om forløbet her, eller se videoen herunder.

Tag kontakt til Partner og Erhvervsjuridisk rådgiver, Emil Bisgaard, hvis du er interesseret og vil høre mere om forløbet. 

Hvad er NIS2?

NIS2-direktivet er EU's opdaterede cybersikkerhedslovgivning, der  trådte i kraft den 1. juli 2025. Det erstattede det oprindelige NIS-direktiv fra 2016. Direktivet stiller skærpede krav til virksomheder og offentlige myndigheder inden for kritiske sektorer. NIS2 handler om sikring af net- og informationssystemer – altså både hardware, software og tjenester, som gør det muligt at behandle og udveksle data digitalt. Disse systemer udgør rygraden i enhver organisation, der arbejder digitalt.

Direktivet stiller skærpede krav til virksomheder og offentlige myndigheder inden for kritiske sektorer om at:

- Implementere tekniske og organisatoriske sikkerhedsforanstaltninger
- Etablere procedurer for håndtering af sikkerhedshændelser
- Rapportere cyberhændelser inden for 24-72 timer
- Sikre leverandørkæder og forsyningskædesikkerhed
- Placere ansvaret hos topledelsen med personlige sanktioner

Hvad betyder NIS2-direktivet for jeres organisation?

NIS2 repræsenterer en milepæl i EU's bestræbelser på at opretholde og styrke IT-sikkerheden på tværs af medlemsstaterne. Direktivet er EU's opdaterede lovgivning om cybersikkerhed, der blev effektueret i 2023 som en fortsættelse af det oprindelige NIS-direktiv fra 2016.

Opdateringerne har været nødvendige på grund af de hurtigt skiftende digitale trusler i og imod Europa, og i den forbindelse er NIS2-direktivet en central del af strategien for at øge beskyttelsen imod sådanne trusler. Direktivet sigter mod at styrke EU's samlede cybersikkerhed ved at fastsætte strengere standarder for sektorer, der er afgørende for samfundet, f.eks. energi, sundhed, transport og finans.

For at opnå dette kræver NIS2, at medlemsstaterne etablerer relevante IT-response teams for cybersikkerhed. Derudover er virksomheder inden for de kritiske sektorer forpligtet til at implementere øgede sikkerhedsforanstaltninger og rapportere om alvorlige cybersikkerhedshændelser. Direktivet fremhæver behovet for en harmoniseret tilgang til cybersikkerhed for at beskytte EU-borgere og EU’s økonomiske interesser i en fortsat mere digitaliseret verden.

Hvem er omfattet af NIS2?

EU ønsker med NIS2-direktivet at beskytte IT sikkerheden og infrastrukturen inden for EU mod cybertrusler og cyberkriminalitet hos de væsentlige og vigtige enheder, som leverer samfundskritiske ydelser på tværs af offentlige og private virksomheder/organisationer. 

Kapitalselskaber er omfattet af NIS2-direktivet, hvis de har over 50 ansatte, en årlig omsætning og/eller balance på over 10 mio. euro og opererer inden for bestemte sektorer.

Offentlige myndigheder er omfattet uanset størrelse, hvis der er tale om en statslig myndighed.

Bliv klogere på, hvilke sektorer der er omfattet af NIS2 i oversigten herunder. 

Hvilke krav stiller NIS2 til virksomheder?

Mange organisationer lader i dag ansvaret for deres IT-sikkerhed bo i IT-afdelingen. Topledelsen kan i teorien leve op til deres ansvar ved at ansætte en IT-chef eller en sikkerhedschef på posten.

NIS-direktivet placerer sikkerhedsansvaret hos tjenesteudbyderen, mens NIS2 skærper dette ved at gøre ledelsen direkte ansvarlig for IT-sikkerheden. Ledelsen skal godkende og overvåge tiltag for cybersikkerhed, og ledelsesmedlemmer forventes at opdatere deres viden gennem relevante kurser.

Specifikke uddannelsesretningslinjer er endnu ikke fastlagt.

Uagtet om der er tale om en kapitalvirksomhed eller en offentlig myndighed, har ledelsen ansvar for:

  • At godkende foranstaltninger til styring af cybersikkerhedsrisici
  • At føre tilsyn med gennemførelsen
  • At følge kurser, så ledelsen opnår tilstrækkelige kundskaber og færdigheder vedr. cybersikkerhedsrisici
  • At sikre implementering af nødvendige initiativer for NIS2-compliance

I kapitalselskaber kan ledelsen holdes ansvarlig for pligtforsømmelser, jf. selskabsloven og sektorspecifik regulering, overtrædelser, jf. NIS2-reglerne (administrativt og evt. civil- og strafferetligt alt efter implementeringslovgivningen), og kan på baggrund heraf forbydes at udøve ledelsesfunktioner i selskabet, jf. NIS2-reglerne.

Hos offentlige myndigheder kan ledelsen ligeledes holdes ansvarlig for overtrædelser, jf. NIS2-reglerne. Derudover kan de holdes ansvarlige for pligtforsømmelser, jf. straffelovens § 155, 156 og 157 samt tjenestemandsloven, iht. overenskomst og/eller kontrakter.

Medlemmer af Folketinget, regionsråd og kommunalbestyrelser er dog undtaget, da ministeransvarsloven, kommunestyrelsesloven og regionsloven i stedet gør sig gældende på dette område.

Skærpede NIS2-krav til tilsyn

Med NIS2-direktivet stilles der flere krav til IT-sikkerheden generelt. Der forventes større ledelsesmæssig forankring og tilsyn, bedre risikostyring og stærkere sikkerhedsforanstaltninger. Ved tilsyn skal I blandt andet kunne dokumentere, at der løbende bliver gennemført risikovurderinger, og at I har implementeret tilstrækkelig sikkerhed i forhold til risiko, trusler og sårbarheder på området for IT-sikkerhed. Håndhævelse, sanktioner og underretningspligt kommer også i spil.

Hvad sker der, hvis virksomheder ikke opfylder NIS2-direktivet?

Organisationer risikerer bøder på indtil 2% af deres årlige omsætning. Yderligere sanktioner kan omfatte advarsler, krav, forbud, offentliggørelse af forseelser eller udnævnelse af en tilsynsansvarlig i virksomheden.

Hvordan disse foranstaltninger nøjagtigt skal håndhæves afhænger af, hvordan nationale love tilpasser sig NIS2-direktivet.

Sådan forbereder man sig bedst til NIS2

Det bliver en tidskrævende og ressourcetung proces at implementere NIS2-kravene fyldestgørende i jeres virksomhed. Det er en opgave, som kommer til at gå på tværs af jeres ledelse, sikkerhed, IT og jura, og der vil formentlig blive stillet krav fra jeres kunder om, at I har taget tilstrækkeligt initiativ i god tid. Derfor er vores anbefaling, at jo før I kommer i gang med at sikre NIS2-compliance, jo bedre. 

Vores hold af eksperter er i fuld gang med NIS2-projekter hos flere kunder fra en lang række af de berørte sektorer. Vi kan f.eks. starte med at lave en gap-analyse i forhold til NIS2-kravene for jeres virksomhed og derefter bidrage med en passende implementeringsplan for øget cybersikkerhed.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.