NIS2-lovgivningen træder i kraft den 1. juli - Er du klar?

Den danske implementering af NIS2-direktivet nærmer sig sin endelige vedtagelse. Fra 1. juli 2025 træder de skærpede cybersikkerhedskrav i kraft for både private virksomheder og offentlige myndigheder, herunder kommuner og regioner. Med tre måneder til ikrafttrædelsen står mange organisationer over for betydelige udfordringer i forhold til at sikre compliance med de nye lovkrav.

Med den nye lov er netsikkerhedstjenesten under Center for Cybersikkerhed (CFCS) udpeget som Danmarks nationale Computer Security and Incident Response Team (CSIRT) med ansvar for at overvåge og håndtere cybersikkerhedshændelser samt fungere som nationalt kontaktpunkt i EU’s cybersikkerhedsnetværk. Dette er i øvrigt uændret fra NIS1. Hændelser skal altså rapporteres til både den kompetente myndighed samt CSIRT.

CFCS’ nye organisatoriske placering betyder, at det fra 29. januar 2025 blev en del af Styrelsen for Samfundssikkerhed under Ministeriet for Samfundssikkerhed og Beredskab, hvilket styrker koordineringen af cybersikkerhed på tværs af sektorer.

De vigtigste ændringer i forhold til tidligere dansk lovgivning

Udvidet anvendelsesområde:

  • Kommuner og regioner er nu omfattet af lovgivningen, hvis de opfylder de økonomiske tærskler nævnt i §4, stk. 2.
  • Flere sektorer, herunder digital infrastruktur, vandforsyning og offentlige tjenester, er blevet inddraget.
  • I direktivet lagde man op til, at organisationer med 50 ansatte og 10 mio. euro i omsætning eller balance var omfattet. NIS2-loven definere nu et ELLER, så det enten er 50 ansatte eller mere end 10 mio. euro i omsætning. Det udvider anvendelsesområdet signifikant.

Øgede krav til ledelsesansvar:

  • Direktører og bestyrelsesmedlemmer har nu personligt ansvar for, at deres organisation overholder NIS2-kravene.
  • Ledelsen skal gennemføre cybersikkerhedstræning og godkende sikkerhedspolitikker (§7).

Strammere krav til hændelsesrapportering:

  • Indrapportering af hændelser skal ske trinvis til CFCS:
    • 24 timer: Tidlig varsling.
    • 72 timer: Hændelsesunderretning med foreløbig vurdering.
    • 1 måned: Endelig rapport.
  • CFCS fungerer som national CSIRT og kontaktpunkt for EU-samarbejde.

Nye krav til leverandørstyring og forsyningskæder:

  • Virksomheder og myndigheder skal kunne dokumentere, at deres leverandører overholder NIS2-kravene.
  • Der stilles øgede krav til kryptering, backup og adgangskontrol i leverandøraftaler (§6, stk. 1, nr. 4).

Sanktioner og håndhævelse:

  • Tilsynsmyndigheder kan udstede påbud, bøder og sanktioner for manglende overholdelse (§35-38).
  • Der er risiko for betydelige økonomiske sanktioner, hvis kravene ikke implementeres rettidigt.

 

Udfordringer for virksomheder og kommuner tre måneder før ikrafttræden

Mange organisationer står overfor betydelige udfordringer med at sikre overholdelse af lovkravene:

  • Manglende ressourcer: Implementering af de nye krav kræver både tekniske og organisatoriske investeringer.
  • Utilstrækkelig risikostyring: Mange enheder har endnu ikke etableret den nødvendige cybersikkerhedsgovernance.
  • Leverandørafhængigheder: Forsyningskædesikkerhed kræver omfattende opdateringer af kontrakter og kontrolmekanismer.
  • Stram tidsplan: Med tre måneder til ikrafttrædelsen skal mange organisationer accelerere deres implementeringsplaner.

 

Hvad bør du som organisation gøre nu?

For at imødekomme de nye krav anbefaler vi, at virksomheder og myndigheder:

  1. Gennemfører en NIS2-compliancevurdering for at identificere huller i nuværende cybersikkerhedsforanstaltninger.
  2. Etablerer en hændelsesrapporteringstræning for at sikre korrekt indrapportering til CFCS.
  3. Opdaterer leverandøraftaler for at inkludere NIS2-krav.
  4. Forankrer ledelsesansvar ved at sikre, at direktører og bestyrelser er informeret og uddannet.
  5. Kraftigt vurderer en implementering af ISO 27001:2022, som anvises i lovteksten, for at sikre compliance.

Med tre måneder til ikrafttrædelsen står mange organisationer over for betydelige udfordringer i forhold til at sikre compliance med de nye lovkrav."

René Matthiassen, IT-sikkerhedsekspert og partner i Frontdoor Security ApS

IT-sikkerhed og compliance

Sådan bliver din virksomhed klar til Cyber Resilience Act

10.04.2025

Få en praktisk guide til at afklare din rolle, forstå kernekravene og implementere Cyber Resilience Act (CRA) effektivt.

IT-sikkerhed og compliance

Cyber Resilience Act: Hvad EU’s nye krav betyder for din virksomhed

10.04.2025

Få indblik i, hvordan Cyber Resilience Act ændrer reglerne for produktudvikling med digitale elementer.

Projekt- og programledelse

Fra kapacitetsstyring til ressourcestyring: Den rigtige rækkefølge

17.03.2025

Lær, hvordan du forbedrer din ressourcestyring ved at starte det rigtige sted og undgå faldgruber i projektledelse.

ChangeGroup

Vil du være sælger, eller rådgiver som vi kalder det, i ChangeGroups Public-team?

04.02.2025

Vi søger ny rådgiver i ChangeGroups Public-team. Kontakt os i dag, hvis du mener, at det er dig, vi går og mangler.

IT-sikkerhed og compliance

NIS2 implementering

Vi hjælper med at håndtere alle hjørner af EU's kommende cybersikkerhedsdirektiv, NIS2.

IT-sikkerhed og compliance

NIS2 diplomkursus

To-dages diplomkursus i NIS2 med fokus på, hvordan du kan efterleve og implementere kravene i praksis med ISO/IEC 27001

IT-sikkerhed og compliance

NIS2 ledelsesbrief

Vi har designet et NIS2-ledelsesbrief, som giver ledelse og bestyrelse en solid forståelse af kravene i NIS2

IT-sikkerhed og compliance

NIS2 ledelsesforløb

EU's nye lovkrav NIS2 kræver, at ledelsen og bestyrelsen skal have styr på cybersikkerheden i virksomheden.