BlogAktualitetNye krav til cybersikkerhed nærmer sig - er din virksomhed klar til NIS 2?

Nye krav til cybersikkerhed nærmer sig - er din virksomhed klar til NIS 2?

Forfatter:Christian Wintcentsen
Udgivet:15. maj 2025
Opdateret:15. maj 2025
Læsetid:1 minut

Den 1. Juli 2025 træder EU's nye direktiv om net- og informationssikkerhed - NIS 2-direktivet - i kraft. Dette nye direktiv stiller markant højere krav til cybersikkerheden hos både offentlige og private virksomheder. 

Det kan derfor være væsentligt for dig og din virksomhed at tjekke op på, om du eventuelt kan være direkte eller indirekte omfattet af disse nye krav, og om du lever op til de nye sikkerhedsstandarder. Vi giver dig her et overblik over hvad NIS 2 er, hvem der er omfattet og hvad det generelt betyder for virksomhederne.

NIS 2-direktivet - hvad er det?

Er man en mindre virksomhed, er NIS og NIS 2, nok ikke noget der har gjort sig særligt gældende, men i forbindelse med det kommende direktiv, kan det givetvis være en god idé, at sætte sig ind i hvad det kommer til at have af indflydelse fremadrettet.  

NIS2 er en opdatering af EU’s første direktiv for forretningsmæssig cybersikkerhed fra 2016 og udgør en central del af EU's strategi for at skabe et mere sikkert og modstandsdygtigt digitalt indre marked. Baggrunden er, at cybertrusler er blevet mere komplekse og omfattende, og at EU-landene er blevet mere afhængige af digitale løsninger – både i det offentlige og private erhvervsliv.

Hvad er de overordnede mål med NIS 2?

Der er to mål, det forsøges at imødekomme via i forbindelse med det nye direktiv. Disse mål kan overordnet set betegnes således:

  1. Styrke cybersikkerhedsniveauet i samfundskritiske sektorer – fx energi, sundhed, finans og transport – ved at indføre krav til risikostyring og beredskab.
  2. Skabe ensartede regler i hele EU, så virksomheder og myndigheder har en fælles tilgang til cybersikkerhed og håndtering af trusler.

Som virksomhed er det også værd at være opmærksom på, at direktivet ikke kun stiller krav til den tekniske del af sikkerheden, men også på de organisatoriske og strategiske foranstaltninger.

Hvem er omfattet af NIS 2-direktivet?

NIS2 gælder for virksomheder, der leverer samfundskritiske eller vigtige tjenester – fx inden for energi, transport, sundhed, finans, digital infrastruktur og forsyning. Men det er ikke kun store aktører, der er omfattet.

Virksomheder opdeles i to hovedkategorier:

  • Væsentlige enheder – typisk større virksomheder i kritiske sektorer.
  • Vigtige enheder – fx mellemstore virksomheder med digitalt afhængige ydelser.

Som tommelfingerregel gælder direktivet for virksomheder med over 50 ansatte eller over 10 mio. euro i omsætning, hvis de opererer i en relevant sektor.

Men også underleverandører og samarbejdspartnere kan blive påvirket indirekte. Mange større virksomheder vil nemlig begynde at stille krav til cybersikkerhed hos deres leverandører – også for at sikre egen overholdelse af NIS 2.

Du kan læse nærmere om hvem der er omfattet, på Dansk Industris hjemmeside.

Hvad betyder det for danske virksomheder?

NIS2 stiller skærpede krav til cybersikkerhed, som ikke kun rammer virksomheder direkte omfattet af direktivet – men også deres underleverandører og samarbejdspartnere. Det skyldes, at sikkerheden i hele værdikæden bliver central. Dette kan i praksis komme til at betyde: 

  • SMV’er kan blive mødt af krav om it-sikkerhedspolitikker, beredskabsplaner og hændelseshåndtering – som forudsætning for at kunne bevare kunderelationer.
  • Cybersikkerhed bliver et konkurrenceparameter – dem med styr på sikkerheden vil have en fordel.
  • Ledelsen får et ansvar for at sikre, at virksomheden – og dens leverandører – arbejder systematisk med cybersikkerhed.

Virksomheder skal dokumentere, at deres leverandører lever op til passende sikkerhedsforanstaltninger. Derfor vil mange begynde at stille krav til deres it-samarbejdspartnere, softwareleverandører og andre leverandører – også selvom de ikke er formelt omfattet af NIS 2.

Hvad bør du gøre i din virksomhed nu?

Hvis NIS 2 lyder lidt tungt – så bare rolig. Du behøver ikke at lave en komplet sikkerhedsomlægning fra dag ét. Men det er en god idé at komme i gang i god tid og tage nogle enkle, men vigtige skridt. Dette kunne til at starte med være at:

  • Find ud af, om din virksomhed er (direkte eller indirekte) omfattet

Start med at undersøge, om du selv er omfattet – eller om dine kunder er det, og måske begynder at stille krav til dig. Er du leverandør til en større virksomhed, kan det være relevant allerede nu. 

  • Få overblik over din nuværende sikkerhed

Har I styr på adgangskoder? Backup? Hvem gør hvad, hvis der sker et angreb? Lav en simpel gennemgang af jeres it-sikkerhed – det kan du gøre internt eller med hjælp fra en rådgiver.

  • Sæt nogle grundlæggende sikkerhedsregler

Det behøver ikke være kompliceret: to-faktor login, sikre opdateringer, begrænset adgang til data – og en plan for, hvad I gør, hvis uheldet er ude.

Kort sagt; Det handler ikke om at være perfekt – men om at være forberedt. Og jo tidligere du kommer i gang, jo nemmere bliver det at leve op til både kunders og myndigheders forventninger.

Kilder:

Dansk industri

PwC

Relaterede artikler:

  • Nyhed: Momsfritagelse for mindre virksomheder

    • Få overblik over din økonomi

    I Billy gør vi regnskab og bogføring nemt for alle. Send let fakturaer, upload dine kvitteringer med din smartphone og afregn moms med et enkelt klik. Du kan få support alle ugens 7 dage både på mail, telefon og chat.

    Prøv Billy gratis i 30 dage
    Fiolstræde 17B
    1171 København K    CVR-nr. 33239106
    60 24 60 24
    billy@billy.dk
    Om os
    HistorieKontaktJobs
    Revisor
    Find selv revisorFor revisorer
    Samarbejde
    IntegrationerFor udviklereAffiliate partner
    Links
    ForretningsbetingelserDatabehandleraftaleCookie- og privatlivspolitikFinanstilsynet rapport
    BillypediaBlogGuide: Opstart af virksomhedNye funktioner
    © 2025 Billy