NIS2 – få styr på de nye krav til cybersikkerhed
NIS2-loven trådte i kraft i Danmark den 1. juli 2025 og stiller skærpede krav til cybersikkerhed, risikostyring og ledelsesansvar for langt flere virksomheder end tidligere. For mange er det svært at gennemskue, om de er omfattet – og hvad de så skal gøre.
Hos Azend gør vi NIS2 håndgribeligt. Vi hjælper dig med at afklare, om I er omfattet, hvad kravene betyder i praksis, og hvordan I kommer i mål uden at miste overblikket. Konkret NIS2 rådgivning fra mennesker, der taler dansk – ikke paragraffer.
Hvad er NIS2?
NIS2 er et EU-direktiv, der i Danmark er udmøntet i lov om cybersikkerhed. Formålet er at hæve niveauet af cybersikkerhed på tværs af samfundskritiske sektorer og gøre virksomheder mere modstandsdygtige over for cyberangreb. Sammenlignet med den oprindelige NIS-lovgivning udvider NIS2 både kredsen af omfattede virksomheder og kravene markant.
Kort fortalt skal omfattede virksomheder kunne styre deres cyberrisici systematisk, reagere hurtigt på hændelser og kunne dokumentere det hele over for myndighederne. NIS2 hænger tæt sammen med jeres øvrige arbejde med it-sikkerhed og databeskyttelse – og kan med fordel løses i sammenhæng med fx GDPR og ISO 27001, fordi mange krav overlapper.
Er din virksomhed omfattet af NIS2?
NIS2 omfatter en lang række sektorer, der anses for kritiske for samfundet – fra energi, transport og sundhed til digital infrastruktur, fødevarer og fremstilling. Loven skelner mellem to typer:
- Væsentlige enheder – typisk større virksomheder i de mest kritiske sektorer, med skærpet tilsyn
- Vigtige enheder – virksomheder af betydning, men med et lidt lempeligere tilsynsregime
- Underleverandører – I kan blive mødt med krav, hvis I leverer til en omfattet virksomhed (forsyningskæden)
Selvom I ikke er direkte omfattet, kan I altså stadig blive påvirket gennem jeres kunder, fordi NIS2 stiller krav til forsyningskædesikkerhed. Er du i tvivl, kan du bruge myndighedernes officielle NIS2-tjek på sikkerdigital.dk – eller lade os vurdere det sammen med dig. En af de første ting, vi gør i vores NIS2 rådgivning, er netop at fastslå, hvor I står.
Hvad kræver NIS2 af din virksomhed?
Kravene er omfattende, men de kan koges ned til fire kerneområder, vi altid kigger på først.
Risikostyring
I skal arbejde systematisk med at identificere, vurdere og håndtere jeres cyberrisici – herunder politikker, adgangsstyring, backup og kontinuitetsplaner.
Hændelseshåndtering
I skal kunne opdage, håndtere og rapportere væsentlige sikkerhedshændelser til myndighederne inden for de fastsatte frister.
Ledelsesansvar
NIS2 placerer et tydeligt ansvar hos ledelsen. Direktion og bestyrelse skal forstå risici og kunne stå på mål for virksomhedens cybersikkerhed.
Forsyningskædesikkerhed
I skal vurdere sikkerheden hos jeres leverandører og samarbejdspartnere – og selv kunne leve op til krav fra jeres kunder.
NIS2 er trådt i kraft – det haster at komme i gang
Loven har været gældende siden 1. juli 2025, og omfattede virksomheder skulle registrere sig hos myndighederne. Er I ikke kommet i gang endnu, er det vigtigt at handle nu – både for at undgå sanktioner og fordi god cybersikkerhed tager tid at bygge op. NIS2 er ikke et projekt, man overstår på en uge.
Den gode nyhed er, at I sjældent starter fra nul. Har I allerede styr på dele af jeres it-sikkerhed, backup og GDPR, er en stor del af fundamentet på plads. Vi hjælper med at kortlægge, hvad I mangler, og prioritere indsatsen, så I bruger kræfterne det rigtige sted.
NIS2 rådgivning der starter med din virkelighed
Vi tror på, at god rådgivning starter med at lytte. Derfor begynder vi aldrig med en standardpakke, men med at forstå jeres forretning, jeres systemer og jeres udgangspunkt. Herfra giver vi jer en konkret, prioriteret plan for at blive – og forblive – NIS2-compliant.
- Afklaring af om og hvordan I er omfattet af NIS2
- Gap-analyse: hvor lever I op til kravene, og hvor mangler I
- Konkret handleplan med det vigtigste først – ikke en uoverskuelig rapport
- Hjælp til risikostyring, beredskab og hændelsesrapportering
- Løbende drift og opfølgning, så I holder niveauet over tid
Sådan kommer du i gang – tre trin
Vi starter ikke med løsninger. Vi starter med at forstå. Sådan ser et typisk NIS2-forløb ud.
01
Vi afklarer og kortlægger
Vi fastslår, om I er omfattet, og laver en gap-analyse af jeres nuværende cybersikkerhed i forhold til NIS2’s krav.
02
Vi lægger en plan sammen
I får en prioriteret handleplan, hvor det vigtigste og mest risikoreducerende kommer først – på et oplyst grundlag.
03
Vi eksekverer og følger op
Vi hjælper med at implementere tiltagene og holde niveauet over tid, så I bliver ved med at leve op til kravene.
Gør som over +400 andre virksomheder
“Vi oplever tryghed i, at vi bliver hjulpet, når vi står med en udfordring – uanset om det er IT eller fysiske elementer.”
Tina Stendal Svendsen
Direktør, Zampell A/S Danmark
Mød menneskene bag rådgivningen
NIS2 handler i sidste ende om tillid og ansvar – og det bygger man bedst sammen med mennesker, man stoler på. Hos os møder du rådgivere, der er fagligt skarpe, men også nærværende og til at tale med. Vi siger tingene, som de er, og vi står ved vores anbefalinger. Mød vores IT-rådgivere, eller læs mere om Azend.
Ofte stillede spørgsmål om NIS2
Hvornår trådte NIS2 i kraft i Danmark?
NIS2 er i Danmark udmøntet i lov om cybersikkerhed, som trådte i kraft den 1. juli 2025. Omfattede virksomheder skulle registrere sig hos myndighederne og skal allerede nu kunne håndtere og rapportere væsentlige sikkerhedshændelser.
Hvordan ved jeg, om min virksomhed er omfattet?
NIS2 omfatter en række kritiske sektorer og skelner mellem væsentlige og vigtige enheder. Selv hvis I ikke er direkte omfattet, kan I blive mødt med krav gennem jeres kunder på grund af forsyningskædesikkerhed. Vi hjælper gerne med at afklare det konkret som en del af vores NIS2 rådgivning.
Hvad er forskellen på NIS2 og GDPR?
GDPR handler om beskyttelse af persondata, mens NIS2 handler om cybersikkerhed og driftssikkerhed i kritiske sektorer. De overlapper på områder som risikostyring og hændelseshåndtering, og derfor giver det god mening at se dem i sammenhæng.
Hvad sker der, hvis vi ikke lever op til NIS2?
Manglende efterlevelse kan føre til tilsyn, påbud og sanktioner, og NIS2 placerer et direkte ansvar hos ledelsen. Mindst lige så vigtigt er risikoen for et reelt cyberangreb med driftsstop og tab af tillid. God NIS2-efterlevelse er derfor både risikostyring og sund forretning.
Kan Azend hjælpe os hele vejen?
Ja. Vi hjælper fra den indledende afklaring og gap-analyse til implementering og løbende drift. Du får én partner, der kender jeres setup og kan følge op over tid – ikke bare en rapport, I selv skal føre ud i livet.
Klar til at få styr på NIS2?
Book en uforpligtende NIS2-vurdering, så får du et klart billede af, om I er omfattet, hvor I står, og hvad der skal til. Ingen forpligtelser – bare konkret, ærlig rådgivning fra mennesker, der har gjort det før.