NIS2 er vedtaget som lov i Danmark
Fra den 1. juli 2025 træder L141 – Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS2-loven) – i kraft i Danmark. Hvad betyder det for jeres virksomhed?
Loven betyder, at det ikke længere er frivilligt at arbejde med informations- og cybersikkerhed. Det bliver et krav for de omfattede sektorer. Manglende overholdelse kan medføre tilsyn og store bøder.
Ingen overraskelser
Loven er, som forventet, en direkte fortolkning af NIS2-direktivet, med enkelte tilpasninger til dansk lovgivning. Vi har i tidligere blogindlæg beskrevet mange af kravene i NIS2. Hovedprincippet er, at arbejdet skal være risikobaseret.
Identificér jeres risici
NIS2 er risikobaseret. Det kræver, at I identificerer jeres risici inden for informations- og cybersikkerhed. Kapitel 2 i L141 beskriver de områder, der som minimum skal indgå i risikovurderingen. Det er dog vigtigt at bemærke, at der står "minimum" – og virksomheder forventes at inkludere alle relevante områder, der kan true leveringen af tjenester i forhold til informations- og cybersikkerhedsrisici.
Læs gerne mere i vores blog om risikostyring >, eller få hjælp af Cegal til at komme i gang med risikokortlægning.
Opbyg jeres organisation
Det er vigtigt, at jeres organisation har de nødvendige kompetencer til at håndtere informations- og cybersikkerhed. I vores e-bog "Konkrete råd til ledelsen" beskriver vi, hvad ledelsen skal vide for at gøre arbejdet med NIS2 lettere.
Håndtér jeres risici
De identificerede risici skal vurderes og håndteres, enten ved at reducere dem gennem tiltag eller, hvor det er passende, acceptere dem. Præcist hvilke tiltag der kræves, afhænger af jeres virksomhed og jeres risici. En nyttig rettesnor er EU’s gennemførelsesforordning EU 2024/2690, som er bindende for visse sektorer og kan bruges som vejledning for andre.
Sektorer
Loven lister sektorer i bilag 1 og 2. Disse er:
| Sektorer af særlig kritisk betydning: | Andre kritiske sektore: |
| Energi | Post- og kurertjenester |
| Transport | Affaldshåndtering |
| Bankvirksomhed | Fremstilling, produktion og distribution af kemikalier |
| Finansielle markedsinfrastruktur | Produktion, tilvirkning og distribution af fødevarer |
| Sundhed | Fremstilling |
| Drikkevand | Digitale udbydere |
| Spildevand | Forskning |
| Digital infrastruktur | |
| Forvaltning af IKT-tjenester (B2B) | |
| Offentlig forvaltning | |
| Rummet |
Hver sektor har specifikke kriterier for, hvilke virksomheder der er omfattet. Nogle sektorer har desuden særlovgivning, f.eks. lov om styrket beredskab i energisektoren, lov om sikkerhed og beredskab i telesektoren og lov om finansiel virksomhed, som går forud for NIS2-loven.
Er I klar til NIS2?
Det vigtigste er at vurdere, om jeres virksomhed er klar til at opfylde kravene. Vi anbefaler at gennemføre en GAP-analyse, hvis det ikke allerede er gjort, så I kan identificere nødvendige tiltag og prioritere dem.
En del af loven indebærer, at I skal registrere jeres virksomhed i Danmarks NIS2-register og løbende sikre, at jeres registrerede oplysninger er opdaterede. Registreringen skal ske senest 1. oktober 2025, jf. §33, stk. 3.
Relevante hændelser skal rapporteres til CFCS. Jeres procedurer for håndtering af hændelser skal derfor tilpasses, så I har den nødvendige information klar til rapportering og overholder de fastsatte tidsfrister.
Cegal og NIS2
Cegal har mange års erfaring med informations- og cybersikkerhed og kan støtte jer med rådgivning til ledelse og CISO, lede risikoanalyse og GAP-analyser samt styre implementering og forandringsprocesser. Vores tekniske eksperter kan bistå med teknisk sikkerhed, disaster recovery-planlægning og andre sikkerhedsfremmende tiltag.
