NIS 2
NIS 2 øger organisationens robusthed overfor cybertrusler
Formålet med EU’s NIS 2 direktiv er at styrke og ensrette modstandsdygtigheden over for det stigende antal cybertrusler mod EU’s kritiske infrastruktur. Direktivet stiller derfor en række krav til virksomheder og myndigheder om at beskytte deres netværk og informationssystemer.
Den danske NIS 2 lov trådte i kraft 1. juli 2025.
Hos RIT hjælper vi gerne med at sikre jeres tekniske set-up, læs mere nedenfor.
Cybersikkerhed er virksomhedens ‘license to operate’
Et EU-direktiv kan virke fjernt for danske små- og mellemstore virksomheder, men set i en dansk kontekst er der både konkurrence- og sikkerhedsmæssige fordele i at efterleve de nye regler. Desuden kender cyberkriminalitet ikke til landegrænser, og den øgede digitalisering medfører, at et cyberangreb mod én virksomhed eller én sektor ikke kan isoleres til de direkte berørte, fordi det sætter spor i hele forsyningskæden.
Så selv om man opererer i en branche, der i første omgang ikke er direkte omfattet, er det kun rettidig omhu at orientere sig om NIS 2 kravene, så man er forberedt, når kravet rammer.
Hvem er direkte eller indirekte omfattet af NIS 2?
Til forskel fra det første NIS direktiv, omfatter NIS 2 direkte mange flere virksomheder og offentlige organisationer i kritiske og særlig kritiske sektorer. Disse sektorer bliver samtidig holdt ansvarlig for at sikre deres forsyningskæder og leverandørsystemer, hvormed også tusindvis af underleverandører bliver indirekte omfattet af NIS 2 reglerne.
NIS 2’s afsmittende effekt på andre sektorer medfører, at tusindvis af virksomheder bliver indirekte omfattet af det nye direktiv. Se oversigten til højre over direkte omfattede sektorer.
Direkte NIS 2 omfattede sektorer
Sektorer af særlig kritisk betydning:
- Energi
- Transport
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhed
- Drikkevand
- Spildevand
- Digital Infrastruktur
- Forvaltere af IKT-tjenester
- Offentlig forvaltning
- Rummet
Sektorer af kritisk betydning:
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Fødevareproduktion og -distribution
- Fremstilling af diverse maskiner og udstyr, herunder medicinsk udstyr og computere
- Digitale udbydere
- Forskningsorganisationer
Kilde: NIS 2 loven
De væsentligste elementer i NIS 2
NIS 2 stiller krav til risikostyring af cybersikkerhedsrisici. Det betyder, at virksomheder skal træffe passende sikkerhedsforanstaltninger for at beskytte informationssystemer og netværk mod angreb og nedbrud.
De vigtigste foranstaltninger fremgår af §6 og §7 i den nye NIS 2 lov og omfatter blandt andet krav om:
- Driftskontinuitet, herunder backup-styring og reetablering
- Håndtering af hændelser
- Krav til ledelsens tilsyn og kontrol med risikovurderinger
- Leverandørstyring og –sikkerhed
- Politikker og procedurer for kryptering
- Afrapportering og underretningspligt, fx skal mistanke om væsentlige brud på sikkerheden indrapporteres til myndighederne indenfor 24 timer
Det er altafgørende, at organisationens øverste ledelse tager NIS 2 alvorligt og tager ansvar for NIS 2 processen. NIS 2 – og cybersikkerhed i det hele taget – er nemlig ikke noget, der bare lige fikses i IT-afdelingen. Det kræver ledelsesmæssig forankring og strategiske beslutninger, da det kan medføre personlige bøder, hvis virksomheden ikke efterlever kravene.
Det hjælper RIT med
Hos RIT har vi længe rådgivet kunder, som allerede var omfattet af det første NIS direktiv, herunder bl.a. kunder i forsyningssektoren. Uanset om I er direkte eller indirekte omfattet af NIS 2, kan vi understøtte og hjælpe jer på flere parametre inden for det tekniske set-up, herunder:
- 360 graders IT-sikkerhedsanalyse
- Udarbejdelse af IT-politikker
- Backup der understøtter virksomhedens reelle behov
- Professionel IT-dokumentation
- Cybersecurity Framework, herunder håndtering af hændelser
Vi har yderligere udarbejdet en NIS 2 tjekliste, som kan downloades her.
D-mærket flugter med NIS 2-lovens minimumskrav
D-mærket bygger på internationalt anerkendte standarder og rammeværker, som er mappet op mod kravene i NIS 2-direktivet. Det betyder, at D-mærkede virksomheder allerede arbejder med flere af de områder, som NIS 2 stiller krav til.
I takt med at den danske NIS 2 lov trådte i kraft den 1. juli 2025, har D-mærket lanceret et NIS 2-modul, som hjælper med at få overblik over de nye krav og samtidig giver mulighed for at dokumentere efterlevelse af NIS 2-loven, hvis det bliver nødvendigt.
Virksomheder, der er direkte omfattet af NIS 2, kan bruge D-mærket – inklusiv NIS 2-modulet – til at arbejde med og dokumentere efterlevelse. Men også underleverandører til NIS 2-omfattede virksomheder kan bruge D-mærket som dokumentation og dialogværktøj – og derigennem opnå en konkurrencefordel ved at kunne vise deres indsats.
Læs mere om D-mærkets NIS 2-modul her
Du kan også læse mere om RIT’s vej til D-mærket her.
Send formularen...
...vi vender tilbage hurtigt
Send formularen...
...vi vender tilbage hurtigt
Tilmeld nyhedsbrev
Når du tilmelder dig vores nyhedsbrev, modtager du nyheder fast en gang hver måned. Derudover modtager du særskilte invitationer til vores faglige events.
Vores nyhedsbreve indeholder 3-4 korte nyheder om aktuelle og vigtige dagsordener inden for IT, herunder udviklingen indenfor tech og AI, vigtige sikkerhedstiltag, nye trends, regler og love samt andre relevante emner, som det er vigtigt at holde sig opdateret på.
Vi sender også invitationer til vores RIT Brain Booster seminarer, webinarer og andre events.
Indholdet er målrettet beslutningstagere indenfor IT og IT-sikkerhed, IT-professionelle, IT-brugere - og alle der bare gerne vil holde sig ajour med alt det spændende, der sker inden for den teknologiske udvikling.
Vi lover, at indholdet ikke er nørdet.