Hvad er NIS2 direktivet og hvilke krav stiller det til virksomheder?

Cybersikkerhed er noget vi alle sammen skal forholde os til. Danmark er nemlig et af de mest digitaliserede lande i Europa, og det gør os desværre mere sårbare overfor trusler som hackerangreb og identitetstyveri. Meget er koblet på internettet i dag, og derfor påvirker denne sårbarhed os alle på den ene eller anden måde. Hver gang du sætter et nyt internetkabel til en enhed f.eks. et overvågningskamera eller en printer, så får du hver gang en ny indgang. Og jo flere indgange du har, desto flere muligheder eller åbninger har du skabt - og desto flere potentielle mål for hackere at angribe.

Hackerne vil søge efter et smuthul, hvor de kan komme ind. De ved nemlig godt, at de ikke skal bruge ’fordøren’. Et eksempel på et smuthul kan fx være en vaskemaskine, der er koblet på internettet. Mange er ikke klar over det, men en hacker kan komme ind i et netværk via en vaskemaskine, printer eller en router, der ikke er opdaterede. Vi er ikke stærkere end det svageste led. Her kommer NIS-direktivet i spil, med en skarp efterfølger af NIS2-direktivet. I artiklen klæder vi dig på, så du ved alt om NIS-direktivet og bliver klar til at implementere sikkerhedsforanstaltninger i din virksomhed. 

 

Hvad er NIS2 direktivet?

NIS2 er Danmarks måde at implementere EU's nye og skærpede cybersikkerhedsdirektiv på. Formålet er enkelt: at sikre, at virksomheder i kritiske sektorer har et højt og ensartet niveau af cybersikkerhed. Direktivet afløser det tidligere NIS1-direktiv og stiller strengere krav til både teknologi og processer.

Direktivet omfatter 18 forskellige sektorer, som EU anser for at være kritiske for samfundet – lige fra energi og transport til digital infrastruktur og sundhed. Det er et vigtigt skridt i retning af at beskytte den kritiske infrastruktur, som vi alle er afhængige af i vores dagligdag.
Hos TDC Alarmnet ved vi, hvor vigtigt det er med sikre forbindelser. Cybersikkerhed handler ikke kun om at beskytte data – det handler også om at sikre, at kritiske alarmer når frem, når det virkelig gælder.

Hvad har ændret sig siden det første NIS direktiv?

Sammenlignet med det oprindelige NIS-direktiv fra 2016 introducerer NIS2 en række betydelige ændringer, der både udvider direktivets rækkevidde og skærper kravene til sikkerhed og ledelsesansvar. Hvor NIS tidligere primært omfattede få kritiske sektorer, dækker NIS2 nu et langt bredere spektrum af virksomheder og tjenesteudbydere. Direktivet stiller større krav til dokumenteret risikostyring og indfører mere detaljerede sikkerhedsforanstaltninger, som organisationer skal implementere.

Her er fire vigtigste forskelle:

  • Flere er omfattet: Langt flere virksomheder og sektorer er nu omfattet af reglerne.
  • Større ansvar til ledelsen: Ledelsen kan holdes personligt ansvarlig for manglende overholdelse.
  • Skærpede krav: Kravene til risikostyring, sikkerhedsforanstaltninger og rapportering er blevet strammet.
  • Mere ensartethed: Reglerne er blevet mere harmoniserede på tværs af EU for at sikre et ensartet højt sikkerhedsniveau.

 

Hvorfor skal man som virksomhed gå op i NIS2 direktivet?

I Danmark er trusselsbilledet intensiveret siden krigen i Ukraine startede. Her er pro-russiske aktører aktive med eksempelvis Ddos-angreb henvendt imod regeringer, transportsektorer og bankverdenen, hvor de forsøger at lukke adgangen til hjemmesider i længere tid. Eller forsøger komme ind via sårbarheder i software, der ikke er opdateret fx via phisingmails. De kan også finde en vej via medarbejdere, der bruger for korte eller de samme passwords. Men det er ikke kun nationer, der angriber andre nationer, når det kommer til hacking. Der findes også almindelige cyberkriminelle, ’den sure skoleelev’ og hacktivster, som gerne vil ind i dit netværk. Og her kan motivet være alt fra økonomisk gevinst, til at fremme politiske budskaber, skabe konkurrencefordele eller at aflede opmærksomheden fra andre angreb. Truslen kan altså komme fra mange steder og med forskellige formål.

 

Er jeres virksomhed omfattet af NIS2?

Det er det helt store spørgsmål for mange virksomheder lige nu. Svaret afhænger primært af to ting: Hvilken sektor I er i, og hvor stor jeres virksomhed er.

NIS2 skelner mellem to kategorier af virksomheder:

  • Vigtige enheder: Typisk virksomheder med mellem 50-249 ansatte eller en årlig omsætning/balance på over 10 mio. euro.
  • Væsentlige enheder: Typisk virksomheder med 250+ ansatte eller en årlig omsætning på over 50 mio. euro og en balance på over 43 mio. euro.

Visse typer virksomheder, som f.eks. udbydere af DNS-tjenester og topdomæneadministratorer, er dog altid omfattet som væsentlige enheder, uanset deres størrelse. Mange af de virksomheder, vi arbejder sammen med, er omfattet af NIS2 – fx inden for energi, transport, offentlige institutioner og sundhed. Hvis I er i tvivl om din virksomhed er omfattet, kan I altid kontakte os for en uformel snak om, hvordan det påvirker jer og hvordan I kan stå stærkest mod hackerne.

 

Disse krav stiller NIS2 direktivet til virksomheder

Når jeres virksomhed er omfattet af NIS2, stiller direktivet en række helt konkrete krav til, hvordan I skal arbejde med cybersikkerhed. Det handler i bund og grund om at have en systematisk og veldokumenteret tilgang til at beskytte jeres systemer, data og drift.

Først og fremmest skal I arbejde aktivt med risikostyring. Det betyder, at I løbende skal identificere og vurdere de trusler, der kan ramme jeres virksomhed. Det er ikke nok at gøre det én gang – det skal være en levende proces, der dokumenteres og opdateres, i takt med at trusselsbilledet ændrer sig.

På den tekniske side kræver NIS2, at I implementerer en række sikkerhedstiltag. Det dækker alt fra stærk adgangsstyring og kryptering af data til overvågning af jeres netværk og beskyttelse mod malware. Samtidig skal I have styr på jeres backup og have en beredskabsplan klar, så I kan opretholde driften, hvis uheldet er ude.

Men teknologi kan ikke stå alene. Derfor stiller direktivet også krav til jeres organisation. I skal have klare politikker for cybersikkerhed, tydelige roller og ansvar, og I skal sørge for, at jeres medarbejdere bliver trænet i at spotte og håndtere trusler. En vigtig del af dette er også at have kontrol med jeres leverandører, så sikkerhedsniveauet er højt i hele jeres forsyningskæde.

Skulle en alvorlig sikkerhedshændelse alligevel ramme jer, kræver NIS2, at I har en effektiv proces for håndtering og rapportering. En hændelse skal anmeldes til myndighederne inden for 24 timer, følges op med en opdatering efter 72 timer og afsluttes med en slutrapport inden for en måned.

Det er vigtigt at huske, at ansvaret for at opfylde disse krav i sidste ende ligger hos jeres ledelse. Det er deres ansvar at sikre, at der er de nødvendige ressourcer, processer og dokumentation på plads til at beskytte virksomheden.

 

Tag NIS2 alvorligt – Vi hjælper jer på vej

NIS2 er ikke bare endnu en regel, der skal overholdes, det handler om at beskytte jeres virksomhed og de systemer, som I er afhængige af. Hvis jeres virksomhed er omfattet, er det vigtigt at komme i gang med forberedelserne nu. Det handler om at opbygge en stærk sikkerhedskultur, ikke bare at sætte flueben ved en tjekliste.

Hos Alarmnet forstår vi vigtigheden af sikker og pålidelig infrastruktur, det er kernen i alt, hvad vi gør. Vi er jeres partner, når det handler om at sikre alarmtransmission til jeres mest kritiske systemer. Vores lukkede og konstant overvågede netværk beskytter mod både fysiske og digitale trusler.

Er du i tvivl om, hvordan NIS2 påvirker jeres alarmløsninger? Så tøv ikke med at kontakte os!

 

Ofte stillede spørgsmål om NIS2:j

Hvad er fristen for NIS2 implementering?

Implementeringen af NIS2-direktivet i Danmark trådte i kraft den 1. juli 2025, hvor kravene blev indført som national lov, og omfattede virksomheder derfor skulle være i compliance. Den oprindelige EU-frist var i oktober 2024, men den danske implementering blev forsinket, og tidligere nationale tidslinjer blev dermed overhalet. De virksomheder, der er omfattet af reglerne, skulle have registreret sig hos de relevante myndigheder via Virk.dk senest den 1. oktober 2025, som nu er passeret.

Hvad sker der, hvis man ikke overholder kravene?

Manglende overholdelse af NIS2 kan medføre betydelige bøder, som kan udgøre op til 2% af virksomhedens globale årlige omsætning. Derudover kan ledelsen i visse tilfælde holdes personligt ansvarlig. Men det vigtigste er ikke at undgå bøder, det er at beskytte jeres virksomhed mod de alvorlige konsekvenser, et cyberangreb kan have. Vil I være sikker på, at I overholder kravene, så læs mere her hvor vi gennemgår NIS2 compliance.

Kan vi forvente samme sikkerhed og samme NIS2 krav til vores leverandører?

Ja, NIS2 stiller krav til sikkerheden i hele jeres forsyningskæde. Det betyder, at I skal have styr på sikkerhedsniveauet hos jeres vigtige leverandører, da sårbarheder hos dem kan udgøre en risiko for jer. Det er en del af den risikostyring, som direktivet kræver.

Hvordan påvirker NIS2 alarmsystemer?

Jeres alarmløsninger, som f.eks. ABA-anlæg, er en del af jeres kritiske infrastruktur. Med NIS2 er det vigtigere end nogensinde at sikre, at forbindelsen fra jeres alarmanlæg til brandvæsenet er beskyttet mod digitale trusler. Hos TDC Alarmnet sikrer vi dette med vores lukkede og overvågede netværk, der er adskilt fra det åbne internet.